Comment Salesforce élabore et évalue un programme de sensibilisation à la sécurité
Lorsqu’il s’agit de protéger une entreprise contre la cybercriminalité, vous pensez probablement d’abord aux solutions logicielles et aux services techniques. Cependant, vous pourriez être surpris d’apprendre que la grande majorité (environ 82 %) des failles de cybersécurité résultent d’une erreur humaine. À vrai dire, les employés sont souvent le principal vecteur d’attaque des cybercriminels. En effet, les employés n’ont pas tous les mêmes connaissances en matière de sécurité, les humains ont tendance à faire confiance à certaines demandes simples et nous adoptons tous des comportements sociaux que les assaillants ne connaissent que trop bien.
C’est pour cette raison que la mise en place d’un solide programme de sensibilisation à la sécurité est essentielle pour faciliter la gestion du risque humain et l’instauration d’une solide culture de la sécurité dans toute votre organisation. Mais que contient exactement un programme de sensibilisation à la sécurité et comment les organisations peuvent-elles évaluer leur réussite ?
Chez Salesforce, nous utilisons le Modèle de maturité de sensibilisation à la sécurité SANS comme outil de référence pour prodiguer des conseils sur le niveau de maturité de notre programme de sensibilisation à la sécurité. Nous nous efforçons par ailleurs en permanence d’atteindre et de maintenir des niveaux de référence durables en matière de « changement culturel » et de « cadre des métriques ». Bien que le modèle de maturité SANS constitue un bon point de départ, l’équipe Salesforce de sensibilisation à la sécurité a plusieurs objectifs de programme supplémentaires.
Objectifs de l’équipe
Salesforce s’engage avant tout à fournir le Cloud d’entreprise le plus sécurisé et le plus conforme aux normes du marché. La conformité est primordiale pour bâtir une culture de confiance et de sécurité, ainsi que pour notre capacité à fonctionner en toute légalité en tant qu’entreprise. Nous respectons notamment les exigences de normes telles que la norme de sécurité de l’industrie des cartes de paiement (PCI), le programme fédéral américain de gestion des risques et des autorisations (FedRAMP) et la loi américaine Sarbanes-Oxley (SOX).
Ensuite, nos objectifs sont centrés sur la résolution des problèmes liés aux incidents, en particulier ceux liés aux incidents auto-infligés, causés par la négligence des utilisateurs. Ces incidents impliquent en général un ensemble de comportements de sécurité clés (qu’ils soient ou non en lien avec l’ingénierie), parmi lesquels notamment, les informations (d’identification ou autres) mal gérées, les erreurs de configuration, de code, etc.
Notre troisième objectif est de soutenir la stratégie globale de notre organisation de sécurité. Cette stratégie englobe l’instauration d’une culture axée sur la confiance, le fait peu courant de réussir à mener à bien des tâches courantes (comme la correction des vulnérabilités, la détection et l’atténuation des menaces et la formation des employés sur leur rôle de protecteurs de la sécurité), le fait de reconnaître le rôle de la sécurité comme catalyseur (et non comme agent bloquant) d’innovation commerciale et le fait de relever le niveau de la sécurité. Les attaques sont de plus en plus sophistiquées, tout comme les assaillants qui sont toujours plus précis ; l’incroyable équipe de professionnels de la sécurité de Salesforce travaille donc sans relâche pour conserver une longueur d’avance sur les menaces de demain.
Enfin et surtout, notre quatrième objectif est de favoriser l’évolution des comportements au sein de l’entreprise. Cependant, avec des dizaines de milliers d’employés à travers le monde qui travaillent souvent dans un environnement virtuel, il peut se révéler difficile d’atteindre de tels objectifs ambitieux avec une seule petite équipe. Pour atteindre ce niveau de « cadre de métriques », nous avons décidé de créer un tableau de bord qui intègre diverses saisies de données liées au risque humain dans l’ensemble de l’organisation, en tirant parti de partenariats à travers l’entreprise pour nous aider à y parvenir.
Le monde des données de sécurité est petit
La création d’un tableau de bord de données de sensibilisation à la sécurité est vraiment une question de « qui sait quoi ». Nous nous associons régulièrement à l’équipe Réponse aux incidents de Salesforce (également appelée CSIRT) pour éclairer nos initiatives de sensibilisation et nous aider à réduire le nombre d’incidents auto-infligés liés à la négligence des utilisateurs, tandis que les données de l’équipe Renseignements sur les menaces nous aident à devancer les menaces qui émergent et à éviter les nouveaux incidents qui pourraient se profiler à l’horizon.
En plus des équipes au sein de l’organisation de sécurité, nous nous associons à notre équipe Communication avec les employés, qui nous aide à comprendre les canaux disponibles les plus adaptés pour les campagnes et à partager nos messages en les faisant reposer sur des données. Nous nous associons aussi à notre équipe Stratégie et analyse de la réussite des employés, spécialisée (entre autres) dans la compréhension des comportements des employés grâce aux données.
Ces partenariats ont aidé l’équipe Sensibilisation à la sécurité à mettre au point une approche reposant sur des métriques, qui guide et évalue la réussite de notre programme. Nous avons établi des références et des objectifs en lien avec les changements de comportement, dont des données sur l’accomplissement des formations sur la conformité, des données de simulation d’hameçonnage, une évaluation des risques internes, des problèmes liés aux incidents et une stratégie globale. Et nous utilisons les données fournies par plusieurs équipes et organisations pour continuer à développer le tableau de bord de sensibilisation à la sécurité afin de partager ces métriques clés avec la direction.
De plus, nous sommes en mesure d’utiliser ces métriques pour mieux comprendre où se situe le risque humain dans notre organisation et pour assurer une formation ciblée aux domaines/organisations présentant les niveaux de risque humain les plus élevés. Aujourd’hui, nous sommes en mesure d’examiner ces métriques afin d’améliorer sans cesse notre programme, de mieux hiérarchiser les ressources et de mettre au point des programmes plus innovants grâce à des points communs identifiés parmi les organisations de l’entreprise.
Si vous souhaitez insuffler une culture axée sur la sécurité dans votre organisation, le parcours de spécialiste de la sensibilisation à la sécurité sur Trailhead peut vous aider. Acquérez des compétences recherchées, échangez avec d’autres Trailblazers et bâtissez votre carrière dans la cybersécurité.