Fuites de données et motivation des employés

Comment la motivation des employés influence les pertes de données des entreprises.

human-angle-motivation-featured

Quelles sont les conséquences des fuites de données pour les employés ? Pour répondre à cette question, nous commençons par étudier les causes de la plupart de ces incidents qui, selon mon expérience, sont souvent dus à un manque de rigueur, à l’irresponsabilité des employés ou à l’inefficacité de la direction. En d’autres termes, quelle que soit la manière dont on aborde la question, le facteur humain est au cœur du problème.

Quand les employés ne prennent pas leurs responsabilités

Essayez de demander aux employés quels changements dans leur flux de travail les aideraient à améliorer leur productivité et leur niveau de satisfaction au travail. Les gens veulent généralement travailler d’une manière qui leur convient et sans interférence. Ils veulent, par exemple, avoir des droits d’administrateur sur leur ordinateur, pouvoir installer n’importe quel logiciel, et accorder l’accès aux données et aux systèmes de leur équipe à leur guise. Ils veulent également inviter des personnes externes au bureau. Ce genre de choses.

Cependant, presque personne n’est vraiment prêt à assumer la responsabilité de ce qu’il veut ou trouve pratique. De nombreux employés (et leurs supérieurs aussi, parfois) sont complaisants et pensent qu’ils sont en quelque sorte protégés quoi qu’ils fassent, et que quelqu’un pourra toujours remédier à la situation d’un coup de baguette magique. Bien sûr, nous, les experts en cybersécurité des entreprises, faisons toujours de notre mieux pour protéger les utilisateurs, mais nous ne sommes pas omnipotents.

Les mauvaises décisions de la direction

La deuxième cause des incidents les plus graves est, d’une manière générale, une gestion inefficace des processus d’entreprise, qui englobe également les actions ou l’inaction du personnel chargé de la sécurité de l’information et de l’informatique. Une entreprise qui prend la cybersécurité au sérieux ne subit pas de dommages importants si un employé insère une clé USB avec un fichier infecté, ouvre un e-mail avec une pièce jointe malveillante ou suit une URL infectée. Dans tous les cas, une chaîne d’erreurs doit se produire dans la bonne combinaison :

  • Le processus d’entreprise a été organisé de manière à permettre ce type d’erreur ;
  • Une personne a fait une erreur ou a violé les politiques de sécurité de l’information ;
  • Les systèmes d’information ou les services d’infrastructure contenaient des vulnérabilités non détectées ou non corrigées ;
  • Les systèmes étaient trop complexes, ce qui a engendré un manque de ressources suffisantes pour assurer une configuration sécurisée, une gestion des correctifs en temps utile et la mise en œuvre des mesures de sécurité.
  • Le service de sécurité n’a pas été en mesure (par manque de compétences ou de possibilités) d’identifier l’incident avant qu’il ne cause des dommages.

Chacun de ces facteurs est la conséquence d’une décision. Cependant, la cause globale de l’incident est une combinaison de ces facteurs. La manière dont l’incident affecte la motivation des employés dépend largement de la réaction de la direction ; parfois, les mesures adoptées par une entreprise pour empêcher la répétition de tels incidents peuvent faire beaucoup plus de dégâts que l’incident lui-même.

Voici un exemple concret. Une banque a connu à plusieurs reprises des incidents à cause d’attaques externes et d’erreurs commises par les employés. Les systèmes de la banque ont donc été hors service pendant un certain temps. La direction, soucieuse de motiver le personnel responsable et de punir les fautifs, a licencié à plusieurs reprises son personnel informatique et de cybersécurité. Dans le même temps, bien qu’elle sût que le système bancaire automatisé présentait des vulnérabilités structurelles, la direction n’a alloué aucun budget pour créer un nouveau système ou pour réparer l’ancien. Les employés expérimentés ont réalisé que n’importe qui pouvait faire une erreur un jour, et l’entreprise a choisi d’embaucher de nouvelles personnes plutôt que de résoudre le problème sous-jacent. Ils ont donc vite cherché un emploi ailleurs. Les nouveaux employés ne connaissaient pas bien le système de l’entreprise, qui avait été développé en interne, et de ce fait, ils commettaient encore plus d’erreurs et passaient plus de temps à entretenir les systèmes parce qu’il leur manquait des connaissances essentielles. Le résultat : des clients ont quitté la banque, et celle-ci est passée d’une position dans le top 50 à se retrouver au-delà de la 200e place.

Que faut-il faire

Je crois qu’il est important de ne pas démotiver vos employés. Aidez-les plutôt à comprendre leurs responsabilités, les valeurs de l’entreprise et l’importance de la contribution de leurs collègues. Vous pouvez leur démontrer tout cela par un soutien matériel, un respect mutuel et des règles claires.

Les règles de l’entreprise en matière d’informatique doivent expliquer simplement et précisément ce qui est autorisé et ce qui ne l’est pas, et ce que le personnel doit faire en cas de cyber-incident, y compris en termes de vie privée et de confidentialité. Le chef d’équipe doit communiquer clairement les informations à ses subordonnés. Pendant un cyber-incident, mais aussi après, il doit expliquer le problème et ses conséquences (qui peuvent inclure des sanctions). Cela permet de garder une atmosphère d’équipe saine et peut aider l’entreprise à éviter de reproduire les mêmes erreurs.

Vous pouvez utiliser cette feuille de route en matière de sécurité de l’information pour vous concentrer sur la motivation de l’équipe et la réduction de l’impact des cyber-incidents :

  • Organisez une formation du personnel, non seulement pour éviter les erreurs, mais aussi pour apprendre à votre personnel ce qui peut être une erreur ;
  • Motivez vos employés ;
  • Établissez des règles claires en matière de sécurité de l’information dans l’entreprise ainsi que des mesures pour les contrôler dans la pratique ;
  • Utilisez des outils de détection et de réaction aux incidents ;
  • Mettez en place des systèmes pour vous protéger des erreurs, de l’imprudence, des négligences et des actes de malveillance des personnes internes ;
  • Révisez régulièrement les mesures ci-dessus pour réduire la probabilité qu’une personne fasse deux fois la même erreur.

Pour plus d’informations sur l’aspect humain des incidents de cybersécurité, consultez notre dernier rapport (en anglais) : « Taking care of corporate security and employee privacy » (Prendre soin de la sécurité des entreprises et de la vie privée des employés).

Conseils