Je travaille dans le domaine de la cybersécurité depuis assez longtemps pour constater que notre plus grand défi n'est pas technique, mais motivationnel.
Nous pouvons construire les pare-feux les plus puissants, concevoir les systèmes de détection les plus intelligents et mener des campagnes de sensibilisation sans fin, mais rien de tout cela n'a d'importance si les gens ne le font pas. vouloir prendre soin de.
C'est la vérité inconfortable ; La cybersécurité a un problème de motivation.
Le problème du « rien ne se passe »
Quand la cybersécurité est bien faite, rien ne se passe. Il n’y a aucun résultat visible, aucune récompense immédiate, aucun effet dopaminergique. Vous ne voyez pas la violation de données que vous avez évitée ni l’attaque de ransomware qui n’a pas eu lieu. Le succès dans ce domaine est invisible, et c’est là le cœur du défi de motivation en matière de cybersécurité.
Les humains sont programmés pour réagir à des récompenses visibles et à des conséquences immédiates.
C'est pourquoi les équipes commerciales sont motivées par des objectifs et les spécialistes du marketing s'épanouissent grâce aux mesures d'engagement. Mais en matière de cybersécurité, notre meilleur résultat est le silence. Nous demandons aux gens de rester motivés par quelque chose qui, de par sa conception, ne montre pas les résultats.
Et quand quelque chose n’est pas gratifiant, les gens cessent de s’en soucier.
Qu'est-ce qui vient en premier, la motivation ou l'habitude ?
J'ai demandé aux participants du dernier webinaire Threat Watch Live leur avis. Les résultats ne m'ont pas surpris.
- 67 % ont déclaré qu'ils pensaient qu'il y avait un problème de motivation en matière de cybersécurité ;
- 17 % ont répondu non ;
- 15 % n’étaient pas sûrs.
Une question qui a été soulevée lors du webinaire était l'idée qu'il s'agissait peut-être d'un problème d'habitude ou de routine et non d'un problème de motivation. C'est un bon point ; Cependant, la motivation passe avant les habitudes et les routines.
Disons-le de cette façon : si je veux perdre du poids, je dois manger des aliments sains et faire de l'exercice. La stratégie à long terme pour y parvenir est de l’intégrer à ma routine, afin que je choisisse automatiquement des aliments sains sortis du réfrigérateur au lieu d’une barre de chocolat. Que je vais habituellement au gymnase après le travail le mardi soir, par exemple.
Mais tout cela n’arrive que si je suis motivé au début du voyage. Motivé à créer la routine et à s'efforcer de s'y tenir dès les premiers jours.
La conformité ne génère pas de motivation
Au fil du temps, l’industrie a construit ses systèmes autour de la conformité et non de la conviction. Nous avons transformé la sécurité en une liste de cases à cocher.
Avez-vous terminé votre formation annuelle? Cocher.
Avez-vous changé votre mot de passe ? Cocher.
Avez-vous lu la politique que personne ne comprend ? Cocher.
Le problème est que la conformité ne motive que le strict minimum. Cela n’inspire ni intérêt ni curiosité véritable. Lorsque vous construisez une culture autour de règles plutôt que de valeurs, vous obtenez des gens qui font ce qu’ils doivent faire, non pas parce qu’ils comprennent pourquoi c’est important, mais parce que quelqu’un le leur a dit.
Ce n'est pas de la motivation. C'est l'obligation. Et c’est une base fragile pour quelque chose d’aussi crucial que la cybersécurité.
La motivation en cybersécurité est un défi culturel
Les gens supposent souvent que les échecs de cybersécurité sont dus à des mots de passe faibles, à des systèmes non corrigés ou à des outils obsolètes. Même si ces problèmes sont importants, ils ne sont que des symptômes. Le vrai problème, c'est la culture.
La culture façonne les priorités des gens, la manière dont ils prennent leurs décisions et ce à quoi ils pensent qu’il vaut la peine d’y consacrer du temps. Vous ne pouvez pas résoudre un problème culturel avec un autre outil ou module de formation, vous le résolvez en intégrant la motivation pour la cybersécurité dans l’identité de l’organisation.
Si votre entreprise valorise la confiance, la fiabilité ou l'innovation, alors la sécurité doit être intégrée à ces mêmes valeurs. Elle ne doit pas être considérée comme une initiative informatique, elle doit représenter la manière de tenir vos promesses, de protéger votre réputation et de remplir votre mission.
Faites que cela arrive à tout le monde
J'ai récemment parlé de l'efficacité opérationnelle lors du Brigantia Partner Day. J'ai utilisé plusieurs exemples pour démontrer l'importance de la culture dans l'application de mon message.
Utilisons un exemple pour donner vie à ce que je dis.
Disons que vous êtes une entreprise manufacturière de taille moyenne. La promesse de leur marque est la fiabilité : « nos vis ne tombent jamais en panne ». Mais si une attaque de ransomware met votre production hors ligne, cette fiabilité disparaît du jour au lendemain. La cybersécurité ne concerne pas seulement les données ou la conformité, mais aussi le maintien de cette promesse.
Lorsque les gens comprennent ce lien, la cybersécurité protège ce qu'ils ils valeur, devient significative. Cela cesse d’être une charge technique et devient une partie de votre fierté professionnelle. C'est là que commence la motivation et c'est à ce moment-là que nous commençons tous à tirer dans la même direction.
Le même problème existe à la maison
Ce problème de motivation ne se produit pas uniquement dans les salles de réunion ou les bureaux. C'est aussi le cas dans notre vie personnelle.
Beaucoup d'entre nous savent que nous devrions utiliser des mots de passe plus forts, activer l'authentification multifacteur et mettre à jour nos appareils, mais nous ne le faisons pas car les résultats sont invisibles. La récompense pour avoir bien fait est que rien de grave n'arrive. Et si rien ne se passe, on n’a pas l’impression de gagner.
Alors, on tarde, on ignore, on « s’en sort ». Jusqu'à ce que finalement nous ne le fassions pas. J'ai vu cette réalité à plusieurs reprises alors que je travaillais comme cyberdétective.
Changer cet état d’esprit commence par recadrer la cybersécurité comme un acte de respect de soi, quelque chose que nous faisons pour protéger notre temps, notre identité et notre tranquillité d’esprit. Non pas parce que quelqu’un nous l’a dit, mais parce que cela fait partie de la façon dont nous prenons soin de nous dans un monde numérique.
Rendre visible l'invisible
Si nous voulons que les gens se soucient de la cybersécurité, nous devons rendre visibles ses avantages. Nous devons relier la motivation en faveur de la cybersécurité à ce que les gens apprécient déjà : la confiance, la réputation et la fiabilité.
Lorsque la cybersécurité s’inscrit dans un objectif commun plutôt que dans un exercice de cases à cocher, la motivation surgit naturellement.
En fin de compte, les gens protègent ce qu’ils croient et non ce qu’on leur dit de faire.
Si vous avez aimé cet article, suivez-nous sur LinkedIn, X, Facebook et Youtube pour plus d'actualités et de sujets sur la cybersécurité.
Maintenir la motivation pour la cybersécurité
La motivation en matière de cybersécurité ne s'arrête pas à la prise de conscience, elle se développe grâce au partage de connaissances et d'histoires réelles. C'est pourquoi nous avons créé Le podcast du manuel de sécurité MSPapporté à vous par Heimdal.
Chaque épisode explore les défis et les succès auxquels les MSP sont confrontés chaque jour, de la création d'une culture de sécurité au maintien de la motivation des équipes.
Vous pouvez regarder ou écouter tous les épisodes sur Spotify, YouTubeet Podcasts Apple.
Et n'oubliez pas de rester au courant des dernières discussions et mises à jour en suivant Le manuel de sécurité MSP dans LinkedIn, votre centre de référence pour la formation continue et la motivation en cybersécurité.
