Article <h1 style="margin-top:16px">Introduction</h1> L’idée d’un réseau connecté est apparue dans les années 60 et l’adoption généralisée d’Internet a eu lieu quarante ans plus tard. Pourtant, il aura fallu la pandémie du COVID 19 en 2020 pour faire définitivement basculer notre monde dans le digital et réaliser l’ampleur des risques liés à cette transformation. L’unique solution pour se protéger en naviguant sur le web aujourd’hui est la cybersécurité. L’Agence Nationale de la Sécurité des Systèmes d’Information (ANSSI) nous propose la définition suivante de ce néologisme : «État recherché pour un système d’information lui permettant de résister à des événements issus du cyberespace susceptibles de compromettre la disponibilité, l’intégrité ou la confidentialité des données stockées, traitées ou transmises et des services connexes que ces systèmes offrent ou qu’ils rendent accessibles. La cybersécurité fait appel à des techniques de sécurité des systèmes d’information et s’appuie sur la lutte contre la cybercriminalité et sur la mise en place d’une cyberdéfense.». Dans le cadre de cet article, nous allons nous intéresser plus particulièrement à la mise en &oelig;uvre d’une politique de cybersécurité en entreprise. La question paraît plutôt d’ordre méthodologique et de nombreux spécialistes proposent des solutions pour y répondre.  Dans les nombreuses listes des dix étapes à suivre pour protéger au mieux son entreprise, une seule s’intéresse aux employés et au rôle qu’ils joueront. Seulement, la majorité des vulnérabilités sont causées par des collaborateurs, intentionnellement ou non. Nous cherchons ici à comprendre comment transformer les employés en acteurs de la protection de l’entreprise. Désirant modifier durablement un comportement, nous nous intéresserons donc à la gestion et à l’accompagnement du changement pour voir comment ces méthodes peuvent s’appliquer à la cybersécurité en entreprise. La conduite du changement consiste en l’ensemble des opérations menées par l’entreprise pour s’adapter à ce changement. Tout changement est accompagné d’une conduite du changement parce que c’est ce qui le rend possible. Néanmoins, ce qu’il est important de mettre en place, c’est un accompagnement du changement qui met les intérêts des employés au c&oelig;ur de sa stratégie. Une approche uniquement technique et imposée aux collaborateurs est vouée à l’échec. Le sujet de la cybersécurité en entreprise est extrêmement vaste. L’objectif n’est pas de le présenter de manière exhaustive mais de donner suffisamment d’informations au lecteur pour qu’il ait envie de creuser le sujet. Ensuite, si l’approche est internationale dans la recherche des sources, le sujet se concentre sur les entreprises françaises. Les personnes interrogées sont toutes employées par des entreprise françaises bien que plus de la moitié travaille sur des problématiques similaires avec des organismes internationaux. Pour finir, j’ai échangé avec uniquement six personnes. L’échantillonnage était volontaire afin d’obtenir des retours d’expérience différents mais cela induit forcément des biais. Les professionnels interrogés étaient tous favorables à l’idée d’incorporer des techniques de conduite du changement aux pratiques de cybersécurité en entreprise. Je n’ai pas eu l’opportunité de parler avec quelqu’un d’opposé à cette idée. Cela peut être expliqué par le fait que les professionnels acceptant de discuter du sujet sont forcément intéressés par la question. Nous allons chercher à répondre à la problématique suivante : Comment assurer la cybersécurité d’une entreprise évoluant dans un monde en pleine transformation ? Nous allons commencer par prouver que dans un monde bouleversé par la digitalisation, la cybersécurité est un enjeu indispensable aux entreprises. Ensuite, nous chercherons à démontrer que la conduite du changement est devenue un enjeu stratégique pour la sécurité informatique, notamment dans le cadre de l’adoption de bonnes pratiques. Pour finir, nous aborderons les façons de mettre en place une culture de cybersécurité en entreprise en s’appuyant sur l’accompagnement des employés au changement. <h1 style="text-align:justify; margin-top:16px">La cybersécurité, le nouvel enjeu indispensable</h1> Les mentions des termes de « cybersécurité » et « cyberattaques » se retrouvent à la une des médias de plus en plus fréquemment. La croissance technologique exponentielle et la transition numérique ont fait du digital notre quotidien et les cyberattaques semblent en être le prix à payer. <h2 style="text-align:justify; margin-top:3px">Comprendre le cyberespace pour mieux concevoir la notion de cybersécurité </h2> Comme nous l’avons évoqué dans l’introduction, pour l’Agence Nationale de la Sécurité des Systèmes d’Information (ANSSI) « […] La cybersécurité fait appel à des techniques de sécurité des systèmes d’information et s’appuie sur la lutte contre la cybercriminalité et sur la mise en place d’une cyberdéfense.». Nous pouvons faire un raccourci en parlant donc de la sécurité dans le cyberespace. Mais alors qu’est-ce que le cyberespace, comment pourrions-nous le définir et n’a-t-il pas une dimension géographique tangible? Le cyberespace peut être conçu comme une zone intangible créé par le pouvoir du numérique<a href="#_ftn1" name="_ftnref1" style="color:#0563c1; text-decoration:underline" title="">[1]</a>. Un espace dans lequel toute notion de distance est abolie et tout échange instantané (Douzet, 2014). Il est divisé par les chercheurs qui l’étudient en trois couches superposées<a href="#_ftn2" name="_ftnref2" style="color:#0563c1; text-decoration:underline" title="">[2]</a>. Premièrement, il y a une couche physique à travers laquelle les frontières du cyberespace se dessinent. La dimension tangible du cyberespace est constituée des infrastructures techniques physiques et des appareils d’extrémité permettant l’existence des réseaux informatiques. Les vulnérabilités physiques des réseaux sont souvent exploitées par les pirates informatiques, clé USB infectée par un virus, vol de matériel informatique, etc. La seconde couche est appelée la couche logique ou logicielle. Elle contient les technologies et les protocoles de codage et de programmation utilisés par les machines. C’est cette couche qui rend possible le contrôle et la transmission de l’information d’un bout à l’autre du réseau. La dimension sémantique ou informationnelle forme la troisième et dernière couche. Elle concerne les données ou métadonnées acheminées dans les systèmes d’informations<a href="#_ftn3" name="_ftnref3" style="color:#0563c1; text-decoration:underline" title="">[3]</a>. Le cyberespace doit être compris dans la globalité de sa sédimentation et non réduit uniquement à sa couche logique. La cybersécurité, à l’image du cyberespace, est un domaine complexe et très innovant qui change et évolue constamment. <h2 style="text-align:justify; margin-top:3px">La prise de conscience des risques cyber</h2> Le covid a propulsé la transformation digitale sur le devant de la scène mais dans l'urgence du moment les vérifications de sécurité n'ont pas toutes été faites. C’est ce qui a conduit certaines entreprises à adopter trop rapidement des solutions non adaptées à leurs besoins notamment en termes de cybersécurité. Lors du <a href="https://atout-dsi.com/article/le-covid-19-accelere-la-digitalisation-de-la-gouvernance/01/07/2020/76" style="color:#0563c1; text-decoration:underline">Digital World Café de 2020 sur la digitalisation de la gouvernance</a> organisé par Atout DSI, communauté d’intelligence collective pour les Directeurs des Systèmes d’Information (DSI), il est ressorti que, de nombreux conseils d’administration (CA) se sont tournés vers des solutions numériques de collaboration “bon marché”. « Achetées dans l’urgence, celles-ci restent trop peu sécurisées pour les opérations du CA réalisées en ligne. » écrit Vincent Pacheco le 11 mars 2022 dans un article pour Diligent, fournisseur de solutions de gouvernance. La cybersécurité se doit d’être indissociable de la transition digitale. Les entreprises ont des responsabilités vis-à-vis de leurs activités en ligne et la résilience numérique est un point clé d’une bonne gouvernance. Il est primordial de réussir à garantir un accès fiable et sécurisé au numérique si nous voulons continuer à en faire la même utilisation. Les risques cyber nous forcent à évoluer. En effet, une étude réalisée par la start-up en cybersécurité Anozr Way sur les ransomwares en 2021 démontre que la France est le pays de l'Union européenne le plus ciblé par les cyberattaques de ce type. Les ransomwares sont des logiciels malveillants donc l’objectif est de bloquer les accès aux réseaux et données afin de demander quelque chose en échange. Depuis sept ans, le Club des Experts de la Sécurité de l'Information et du Numérique (CESIN) publie les résultats de son étude sur la cybersécurité des entreprises française. En 2021, plus de 50% des entreprises ont été victimes d’une ou plusieurs cyberattaques. Les résultats se basent uniquement sur les attaques réussies. Avec l’industrialisation du cyber crime, les entreprises françaises révèlent être encore extrêmement vulnérables. Les risque des attaques informatiques ne peuvent plus être ignorés. D’après le rapport du CESIN six entreprises sur dix ont été considérablement impactées. En conséquence, 21% ont vu leur production perturbée et 14% considèrent que leurs informations ont été compromises. Le manque d’anticipation des risques cyber et l’explosion de cyberattaques suivant l’adoption généralisée d’Internet ont eu de graves conséquences. Nous pouvons penser à l’exemple de Yahoo en 2013 quand trois milliards de leurs utilisateurs ont été victimes d’une cyberattaque massive<a href="#_ftn4" name="_ftnref4" style="color:#0563c1; text-decoration:underline" title="">[4]</a>. Les attaques cyber ciblent les informations et les accès. La protection des données personnelles est indissociable de la sécurité informatique. Face à ces menaces croissantes et industrialisées il est indispensable de repenser les stratégies de cybersécurité. <h2 style="text-align:justify; margin-top:3px"><a name="_Toc116659997"></a><a name="_Toc117887699"></a><a name="_Toc117891482">La cybersécurité n’est pas la construction d’une forteresse imprenable</a></h2> Dans le domaine des technologies de l'information (TI) l'innovation est plus rapide que jamais. Depuis les débuts du World Wide Web en 1991, la croissance technologique est exponentielle. Le changement est devenu quotidien et la cybersécurité, une priorité. Les cyberattaquants étudient longuement les logiciels et les infrastructures de leur cible avant de se lancer. Contrairement aux défenseurs, il leur suffit d’une seule opportunité pour s’insérer dans le réseau. Ainsi, en plus d’être constamment vigilants aux menaces externes, les responsables sécurité des entreprises doivent aussi surveiller chaque changement interne. Un nouveau fournisseur, des mises à jour non effectuées, l’adoption de nouveaux logiciels, chacun de ses exemples peut devenir une source de vulnérabilités. Tout changement dans l’entreprise ouvre une nouvelle porte potentielle à des hackers malveillants<a href="#_ftn5" name="_ftnref5" style="color:#0563c1; text-decoration:underline" title="">[5]</a>. Le modèle traditionnel de défense en forteresse n’est plus adapté<a href="#_ftn6" name="_ftnref6" style="color:#0563c1; text-decoration:underline" title="">[6]</a>. Afin que les organisations puissent avoir une vue globale de la sécurité de leurs systèmes et des changements qui s’y opèrent, il est capital de mettre en place des processus d’audit et de documentation des dispositifs en place. Le journaliste Martin Banks liste les grands principes de la cybersécurité en 2021 pour le média Cybersecurity Magazine. Les règles sont les suivantes : · Considérez que tout est vulnérable. (1) · Supposez que les gens ne suivront pas les règles. (2) · Si vous n'en avez pas besoin, débarrassez-vous-en. (3) · Documentez tout et procédez à des audits réguliers. (4) · Préparez-vous à l’échec. (5) Ces principes sont un bon point de départ pour comprendre l’ampleur que doit prendre la cybersécurité en entreprise. Tout d’abord, il serait naïf d’imaginer qu’un système est sûr à 100% quand de nouvelles failles de logiciels sont exposées tous les jours (1). Par conséquent, imaginer que chaque système est vulnérable aide à anticiper les failles de type zero-day. Ce terme désigne les failles connues mais pas encore corrigées. Ensuite, il est important de mesurer l’impact des erreurs des salariés et des utilisateurs du système d’information en général (2). Le facteur humain est le plus souvent responsable des violations de données (Banks, 2021). Former ses employés est primordial mais la sécurité du système ne doit pas en dépendre. Puis, simplifier le plus possible les dispositifs utilisés aide à réduire la surface d’attaque (3). Simplement supprimer régulièrement les solutions obsolètes est une façon efficace de limiter les vulnérabilités. Documenter les processus et les différents changements et par la suite les auditer permet de savoir où sont les vulnérabilités et comment les gérer (4). Comme nous l’avons mentionné plus haut, chaque changement ouvre une porte aux cyberattaques. Maîtriser les changements c’est limiter les risques. Pour finir, il faut s’attendre au pire pour pouvoir s’y préparer (5). Même en prenant toutes les mesures précédentes, il est impossible d’éradiquer complétement la possibilité d’une attaque. Les entreprises doivent mettre en place des sauvegardes et protocoles de gestion de crise pour s’assurer qu’une faille ne compromette pas le système dans son intégralité. La cybersécurité est un domaine en pleine transformation. Ces cinq règles illustrent l’étendue de son champ d’action. A l’image du cyberespace et des hackers elle est faite de nuances impactant directement la sécurité des systèmes d’informations. Ce changement de paradigme de la compréhension de la cybersécurité est le résultat de l’aboutissement de la transition numérique et de l’explosion des risques cyber. Les menaces sont complexes et quotidiennes, les organisations doivent s’adapter en conséquence. <h1 style="text-align:justify; margin-top:16px">La conduite du changement devient un enjeu stratégique pour la cybersécurité</h1> Selon le rapport de 2022 de l’entreprise Verizon Communication The 2022 Data Breach Investigations Report (DBIR), sur les 1 149 185 différentes attaques et les 8,9 terabytes de données de cybersécurité qu’ils ont étudié, 82% des failles informatiques impliquaient le facteur humain<a href="#_ftn7" name="_ftnref7" style="color:#0563c1; text-decoration:underline" title="">[7]</a>. Qu'il s'agisse de phishing, d’utilisation d'informations d'identification volées ou simplement d'une erreur, les personnes continuent de jouer un rôle très important dans les menaces informatiques. Les cyberattaques utilisent des techniques d’ingénierie sociale pour exploiter le maillon faible de la cybersécurité, l’humain. La théorie du maillon faible – the weakest link<a href="#_ftn8" name="_ftnref8" style="color:#0563c1; text-decoration:underline" title="">[8]</a> est dérivée d’une expression en anglais que nous pourrions traduire de la façon suivante : une chaîne est aussi solide que son maillon le plus faible. Cette métaphore s’applique parfaitement à la cybersécurité (Schmidt, 2011). En l’occurrence, les failles dans les systèmes d’information les plus sécurisés sont matérialisées par les personnes derrière les écrans. Le SI dépend toujours, jusqu’à un certain degré, du facteur humain qui l’utilise. Les collaborateurs représentent la première et la dernière ligne de défense de l’organisation. C’est un sujet que les Responsables de la Sécurité des Systèmes d’Information (RSSI) ont compris puisque les formations semblent se multiplier. <h2 style="text-align:justify; margin-top:3px">L’humain est au c&oelig;ur de la cybersécurité</h2> Pourtant, malgré les moyens alloués, les campagnes de sensibilisation et de formation aux risques cyber n’ont pas l’impact escompté. Nous expliquons ces résultats par les trois arguments suivants. · Les humains sont mauvais en gestion de risques. Notre capacité à détecter les dangers vient de notre cerveau primitif. Il nous protège contre les menaces concrètes, celles que nous pouvons sentir et voir. La cybersécurité en revanche, est un concept dont les risques ne sont pas forcément compris. Dans un article pour CSO Online Why are people so bad at risk assessment ? Blame the brain, Ralf Schmälzle, professeur adjoint à l'université d'État du Michigan affirme que "Le risque d'une cyberattaque semble un concept assez abstrait. Nous ne pouvons pas sentir le danger"<a href="#_ftn9" name="_ftnref9" style="color:#0563c1; text-decoration:underline" title="">[9]</a>. Etant incapable de réaliser qu’il existe une menace puisque nous ne ressentons pas de peur, il devient presque impossible de réagir de manière adaptée. C’est une première réponse à la question : pourquoi de nombreuses personnes sont imprudentes sur Internet. En plus d’en méconnaître les dangers, la majorité des gens les sous-estime. Les sessions de sensibilisation doivent réussir à changer cette vision des choses pour devenir efficaces. Sans effrayer les collaborateurs, il est nécessaire qu’ils comprennent l’ampleur qu’ont prises les cyber menaces dans le quotidien des entreprises. · Les stratégies de sensibilisation et de formation ne s’adaptent pas aux salariés. Le principal point de blocage de la plupart des règles de sécurité est qu’elles sont trop complexes. Face à des indications et des processus compliqués, l’individu est souvent tenté de prendre des raccourcis et d’abandonner tout effort de protection<a href="#_ftn10" name="_ftnref10" style="color:#0563c1; text-decoration:underline" title="">[10]</a>. La facilité l’emporte toujours sur la sécurité (Coventry, Briggs, Blythe & Tran, 2014). Quant aux messages de sécurité menaçants<a href="#_ftn11" name="_ftnref11" style="color:#0563c1; text-decoration:underline" title="">[11]</a>, leur efficacité a été prouvée contre-productive car ils augmentent le stress des salariés qui les pousse parfois à se mettre en danger (Bada, Sasse & Nurse, 2019). · Connaître les risques cyber ne suffit pas à changer son comportement. La transmission d’information est essentiel à la compréhension des menaces mais elle ne suffit pas. Une campagne de communication seule n’a pas le pouvoir de changer les comportements des utilisateurs (Coventry, Briggs, Blythe & Tran, 2014). Il ne s’agit pas que d’informer mais bien d’influencer. Influencer les comportements de manière à les modifier et les rendre plus prudents et sécurisés. C’est ce que les gouvernements cherchent à faire avec leurs citoyens comme les entreprises avec leurs employés. Pour réussir à instituer un changement pérenne il faut par conséquent complétement modifier les campagnes de formation et de sensibilisation. La cybersécurité de l’entreprise doit remettre les salariés et leurs intérêts au centre de sa stratégie de protection. Afin de mettre en place un véritable changement de comportement des employés, la première étape est de repenser l’objectif. Il ne s’agit pas uniquement d’éduquer les salariés mais bien de les amener à adopter de bonnes pratiques de cybersécurité. Il faut joindre en parallèle à la stratégie, une conduite du changement. <h2 style="text-align:justify; margin-top:3px">Une bonne conduite du changement est indispensable </h2> La gestion du changement est arrivée en entreprise dans les années 1980-1990 dans le cadre de projets informatiques. Désormais au c&oelig;ur des problématiques de transformation digitale, cette discipline s’applique aussi  à la cybersécurité. Les entreprises ont depuis leur création, dû s’adapter et transformer leurs manières de faire. Cependant, avec la transformation digitale les changements ne sont plus ponctuels mais quasiment journaliers. Un sondage orchestré par la Chaire ESSEC du changement a démontré que le total des changements en entreprise a triplé lors des vingt dernières années<a href="#_ftn12" name="_ftnref12" style="color:#0563c1; text-decoration:underline" title="">[12]</a>. Pour rester compétitives et innovantes dans un monde en pleine transformation, les organisations doivent savoir gérer et accompagner les changements. Conduire un changement quel qu’il soit ne s’improvise pas. Mal mené, cela peut aller jusqu’à l’échec du projet. Nous pouvons faire un parallèle entre transition digitale et cybersécurité. Ces deux phénomènes poussent les entreprises à modifier leur stratégie et leurs habitudes pour réussir dans un monde où l’innovation rend les changements quotidiens. En cybersécurité ce sont les risques qui se multiplient et avec la transition digitale les outils de performance mais les méthodes de gestion du changement restent les mêmes. Il s’agit désormais de comprendre l’importance de la gestion du changement en cybersécurité alors que sa place lors de transformation digitale est bien établie. Nous allons ici nous intéresser à un type de changement en particulier, le changement organisationnel. Il est définit par Michel Foudriat dans son livre Les chefs de service à l'épreuve du changement, comme « un processus conduisant à une transformation plus ou moins profonde… »<a href="#_ftn13" name="_ftnref13" style="color:#0563c1; text-decoration:underline" title="">[13]</a>. Le changement organisationnel, c’est celui qui conduit à l’adoption de nouvelles pratiques au sein de l’entreprise, que ce soit pour réduire son impact environnemental ou pour introduire un nouvel outil de travail. La gestion du changement comprend toutes les étapes passant par l’action de percevoir le besoin (problème d’organisation) à la définition de la démarche permettant l’élaboration et la mise en place d’une stratégie y répondant<a href="#_ftn14" name="_ftnref14" style="color:#0563c1; text-decoration:underline" title="">[14]</a>. Réussir à reconnaître les opportunités puis à instaurer un changement efficace et durable sont deux choses très différentes. La conduite du changement consiste en l’ensemble des opérations menées par l’entreprise pour s’adapter à ce changement. Tout changement est accompagné d’une conduite du changement parce que c’est ce qui le rend possible. Seulement, ce qu’il est important de mettre en place, c’est une bonne conduite du changement. Cette discipline comporte deux points d’étude principaux<a href="#_ftn15" name="_ftnref15" style="color:#0563c1; text-decoration:underline" title="">[15]</a> : l’impact du changement sur les employés et les actions à mettre en place en conséquence (Bornet, 2016). <h2 style="text-align:justify; margin-top:3px">Utiliser la conduite du changement pour la stratégie d’adoption des bons réflexes cyber</h2> Les entreprises consacrent du temps et des moyens aux questions cyber mais pour le faire efficacement elles doivent comprendre le changement de paradigme de la cybersécurité. Il ne s’agit pas de former périodiquement ses salariés à des risques connus mais bien à chercher à instaurer une culture de la sécurité<a href="#_ftn16" name="_ftnref16" style="color:#0563c1; text-decoration:underline" title="">[16]</a> au sein de l’entreprise (Disparte & Furlow, 2017). La cybersécurité est un secteur en pleine évolution et au c&oelig;ur des enjeux de transformation digitale. Il est important de la concevoir comme telle lors de la conception de stratégies de sensibilisation et de formation. C’est un changement impératif impactant tous les collaborateurs de l’organisation et visant à modifier durablement les habitudes de travail. Comme nous l’avons vu précédemment, sans remettre l’humain et plus spécifiquement le salarié au c&oelig;ur du changement, nous risquons d’aller jusqu’à l’échec complet du projet. C’est pourquoi, pour instaurer une stratégie de conduite du changement pérenne sur la cybersécurité, il faut commencer par répondre à la question suivante : comment le changement affecte-t-il les salariés ? Cette question nous amène à chercher à comprendre les employés. Comment travaillent-ils, quels sont leurs priorités et comment utilisent-ils la technologie ? Comment mettent-ils en danger l’entreprise et comment pouvons-nous réduire ces prises de risques ? En s’attaquant à ces problématiques, bien que chronophages, nous pourrons communiquer efficacement avec eux et créer une réelle collaboration entre les équipes IT et les autres salariés. C’est cette étape qui fera la plus grande différence sur le long terme. Elle représente la base de la stratégie. Quand toutes les conséquences sur le quotidien des employés seront déterminées, nous pourrons commencer à nous poser la question de comment y répondre. Une bonne conduite du changement a pour objectif de faciliter la transition, il s’agit ainsi de trouver ce qui compliquera la vie des salariés et d’apporter un moyen d’y remédier. Proposer des alternatives montre aussi aux collaborateurs qu’ils ne sont pas des victimes du changement et que leur voix est écoutée. Il est toujours plus facile de trouver des solutions en amont que de devoir se préoccuper des problèmes une fois que la stratégie est lancée. De plus, ces précautions crédibilisent les responsables du projet de changement, ils ont bien l’intention de changer les choses et considèrent le plus de variables possibles. Il faut aussi prendre en compte le fait que le changement se produit au niveau individuel. Pour qu’un groupe ou une organisation change, tous les membres de ce groupe ou de cette organisation doivent changer. Le changement organisationnel est la somme de tous les changements individuels. Cela nous ramène au point précédent, pour assurer un changement dans une organisation, il faut d’abord comprendre comment il impacte une personne à la fois et comment faire accepter ce changement. Bien sûr, il ne s’agit pas de s’adapter à chaque cas particulier. Par exemple, les salariés qui travaillent dans les transports vont voir cette interdiction au nom de la cybersécurité comme une mesure qui leur fait perdre un temps précieux. Pour pallier à cette résistance il peut être intéressant de mettre à disposition des filtres de confidentialité à placer sur les écrans.  La conduite du changement consiste à prévoir les résistances potentielles et à trouver des solutions en amont afin qu’elles ne bloquent pas l’adoption. En faisant de la cybersécurité une question quotidienne, les salariés développeront de bons réflexes. A l’image de la sécurité en entreprise, tout le monde sait qu’il faut laisser les portes coupe-feu fermées, ne pas prendre l’ascenseur en cas d’incendie, les consignes d’évacuation, etc. La cybersécurité doit devenir toute aussi importante. Même si nous ne percevons pas de menaces physiques, les conséquences des attaques informatiques peuvent être désastreuses et il est primordial de s’y préparer. <h1 style="text-align:justify; margin-top:16px">Comment mettre en place une culture de la cybersécurité en entreprise – Préconisations</h1> Afin de présenter la cybersécurité comme quelque chose de quotidien et d’essentiel, il faut commencer par se fixer des objectifs réalisables, un niveau basique mais qui devient un réflexe. Afin d’entraver le moins possible la productivité des salariés, il faut se contraindre à simplifier au maximum la cybersécurité et son impact sur les collaborateurs. Si les politiques de cybersécurité sont mises en place sans tenir compte de leur impact sur la productivité des employés, il peut y avoir une baisse de résultats ou plus souvent, une sécurité compromise car impossible à maintenir. <h2 style="text-align:justify; margin-top:3px">Voici dix points cruciaux pour vos collaborateurs. </h2> 1) Vous êtes une cible, ce n’est pas une question de « si » mais de « quand ». La cybersécurité de l’entreprise est la responsabilité de chaque collaborateur. Comprendre que le risque est réel est la première étape pour l’adoption des bons réflexes. 2) Une bonne gestion des mots de passe. Fatigués de le changer tous les trois mois, de nombreux utilisateurs choisissent des mots de passe génériques et les utilisent pour différents comptes. Tout le monde a le même problème et certaines personnes gardent même des listes non protégées récapitulant tous leurs mots de passe. Mettre à disposition des employés un gestionnaire de mots de passe fiable ou un système d’authentification à multiples facteurs (AMF) peuvent être des solutions pour assurer une meilleure protection de l’entreprise. 3) Utilisez des logiciels anti-virus. Installer ces programmes sur tous vos appareils connectés et assurez-vous surtout qu’ils soient actifs et mis à jour régulièrement. 4) Arrêtez de remettre à plus tard les mises à jour. Activez les mises à jour automatiques pour ne plus risquer d’oublier. Les versions les plus récentes des logiciels sont quasiment toujours les plus fiables car elles corrigent un grand nombre de failles découvertes entre temps. 5) Eteignez votre ordinateur. Eteindre son ordinateur permet de le déconnecter d’Internet et ainsi de réduire drastiquement les risques de piratage. En mode veille, l’ordinateur conserve toutes les informations sensibles dans la mémoire vive et si un hacker arrive à atteindre l’appareil, il peut récupérer ces données dont les clés de chiffrement<a href="#_ftn17" name="_ftnref17" style="color:#0563c1; text-decoration:underline" title="">[17]</a>. Avec ces dernières, le hacker prend facilement possession de la machine et des informations qu’elle contient comme les identifiants pour accéder au réseau d’entreprise. 6) Utilisez uniquement des connexions, des appareils et des sites fiables. Même si certains sites connus et sécurisés se font aussi pirater, il est très risqué de se connecter à n’importe quel site. S’il est difficile de différencier les faux sites des vrais, certains éléments comme le symbole du cadenas à côté de l’adresse URL du site sont de bonnes indications. Il prouve que la connexion est sécurisée. En ce qui concerne la wifi publique et appareils inconnus, il est plus prudent de ne pas les utiliser du tout. Il est très facile de pirater un appareil connecté en utilisant une connexion publique car toutes les informations transitant par cette dernière ne sont pas protégées. 7) Surveiller votre entourage lorsque vous êtes en ligne. Sur leur lieu de travail, les collaborateurs ont tendance à baisser leur garde et laissent des ordinateurs déverrouillés sans surveillance. Comme nous l’avons vu dans la première partie de cet article, la sécurité physique est toute aussi importante que la sécurité en ligne. Les vols d’ordinateurs et les clés USB infectées sont des techniques très fréquentes pour accéder à des informations protégées. Aussi, assurez-vous de ne pas exposer des informations liées à votre entreprise en public. Travailler dans les transports en commun sans protection fait prendre un gros risque à l’entreprise. 8) Protégez et sauvegardez vos données. La protection des données est liée à la cybersécurité car la majorité des cybercrimes cherchent à récupérer des données sensibles pour les monnayer. En plus d’être en conformité avec le Règlement Général sur la Protection des Données (RGPD) il est primordial d’être vigilant, de classer les données par importance et de conserver les plus sensibles hors de vos appareils connectés. En prévention d’attaques de type ransomware, il est indispensable d’effectuer des sauvegardes fréquentes stockées à des endroits différents. L’entreprise peut alors continuer de fonctionner malgré l’incident. 9) Restez vigilant et surveillez l’actualité. Ne pas cliquer sur n’importe quel lien : les attaques type phishing sont les plus répandues, méfiez-vous des mails provenant de l’extérieur de votre réseau d’entreprise. Cherchez à comprendre pourquoi vous recevez ce message avant de cliquer, est-ce que j’attends un colis, pourquoi recevrais-je ce message sur mon adresse professionnelle, etc. De la même manière, ne pas télécharger des logiciels ou des documents à partir de sources non fiables. Restez au fait des cyberattaques permet de continuer à se sensibiliser aux risques. Cela peut prendre la forme d’une courte lettre d’information hebdomadaire ou mensuelle envoyée aux employés. De cette manière, nous facilitons l’accès à l’information pour les collaborateurs. 10)  Faire remonter les activités suspectes. L’objectif de mettre en place une culture de la sécurité est de faire des salariés des personnes capables de reconnaître un potentiel danger et de le communiquer aux personnes compétentes. En 2016, un employé de la Deutsche Bank a empêché une cyberattaque en reconnaissant une faute d’orthographe<a href="#_ftn18" name="_ftnref18" style="color:#0563c1; text-decoration:underline" title="">[18]</a>. Bien qu’il soit rare de pouvoir agir de la sorte, il est indispensable de rester alerte et de faire remonter les moindres activités suspectes. Ces bonnes pratiques sont à adapter à la culture de l’entreprise et à son fonctionnement mais elles donnent des pistes intéressantes pour construire les bases d’un comportement sécurisé. Pour s’assurer de leur adoption pérenne, elles doivent être mises au premier rang. <h2 style="text-align:justify; margin-top:3px">Une collaboration difficile et des intérêts contradictoires</h2> Comme nous l’avons abordé plus haut, en réaction à la digitalisation du monde et aux transformations majeures qui en découlent, nos façons de travailler ont évolué et la cybersécurité est d’autant plus pertinente. Nous avons vu que la communication transparente était essentielle pour que la sécurité informatique trouve sa place en entreprise. Plus la cybersécurité prend de la place en entreprise, plus son cercle de compétences s’élargit. La sécurité des systèmes d’information est un mouton à six pattes En échangeant avec Emmanuel, Directeur de la sécurité des systèmes d’information dans une entreprise éditrice de logiciels, au sujet de la responsabilité des directeurs cybersécurité, il nous a expliqué que le domaine devenait une sorte de « mouton à six pattes » plus rare encore que le mouton à cinq pattes. Le métier de Directeur des Systèmes d’Information (DSI) ou RSSI se transforme et demande des expertises de plus en plus larges et diverses qui sont difficiles à trouver chez une seule personne<a href="#_ftn19" name="_ftnref19" style="color:#0563c1; text-decoration:underline" title="">[19]</a>. En plus d’avoir des compétences techniques pointues, il faut s’intéresser au management, au secteur juridique, à la communication, à la sureté, etc. Effectivement tout cela coïncide avec ce que nous avons vu précédemment, la cybersécurité ne peut se limiter à l’aspect technologique. Comme nous l’a indiqué Lionel, Formateur en sécurité de l’information, c’est un processus de changement et d’amélioration continue qui prend en compte différents aspects de l’entreprise. La cybersécurité est un domaine complexe avec une très forte capacité d’innovation. Les équipes de cybersécurité constituées uniquement d’informaticiens ne peuvent s’attaquer à tous ces aspects dont ils ne sont pas spécialistes. S’il est intéressant qu’ils se renseignent sur ces sujets, ils ont aussi besoin d’experts pour les guider, notamment en terme de conformité et de conduite du changement. Ouvrir la cybersécurité à diverses expertises est indispensable pour réussir à suivre tous les avancements de ce secteur. L’enjeu grandissant de la cybersécurité pousse à transformer durablement l’organisation de l’entreprise. Il ne s’agit pas uniquement d’encourager la collaboration d’experts sur cette problématique mais bien de faire émerger une intelligence collective du groupe. Chaque collaborateur est concerné, quel que soit son service, ressources humaines, finance, marketing, etc. C’est en mobilisant tous les acteurs de l’entreprise que nous pourrons mettre fin aux injections contradictoires<a href="#_ftn20" name="_ftnref20" style="color:#0563c1; text-decoration:underline" title="">[20]</a>. Les intérêts des parties prenantes de l’organisation varient et se contredisent parfois. Encourager cette collaboration et mobilisation des ressources à travers une stratégie claire et cohérente ayant pour finalité la protection de l’entreprise permettra de palier à ces difficultés internes. Nous nous intéressons ici à la mise en place d’une intelligence collective dans la cybersécurité en entreprise mais l’idée de la mise en commun de ressources partagées et la réflexion collaborative en sécurité informatique n’est pas nouvelle. L’initiative Open Source se base sur la participation bénévole et la mobilisation des compétences d’individus. Ce terme désigne à l’origine un mouvement promouvant la création et l’entretien de logiciels libres d’accès. Né en 1998, l’open source est un exemple concret de l’application de l’intelligence collective. Il nécessite de l’organisation et de la méthodologie pour s’assurer de son bon fonctionnement mais le plus important est de fixer un objectif commun ayant du sens. A l’image de l’open source, la cybersécurité en entreprise a besoin de cette intelligence collective. Nous proposons ici qu’elle prenne la forme d’une équipe avec des profils divers et représentants les services et les différents enjeux de l’entreprise prêts à réfléchir ensemble sur la mise en &oelig;uvre de la politique de sécurité informatique. La cybersécurité dépend de la capacité des différentes équipes à collaborer. <h2 style="text-align:justify; margin-top:3px">Prioriser la cybersécurité pour coconstruire le changement </h2> Nous avons vu l’impact de mesures de cybersécurité non adaptées sur la productivité, intéressons-nous maintenant à l’inverse. Les objectifs priment sur ces aspects et doivent être pris en compte pour s’intégrer à la vie quotidienne sans devenir un poids supplémentaire. Mettre les objectifs de cybersécurité au même rang que ceux de performance permet aussi de crédibiliser le changement organisationnel. C’est une manière de prouver que ce n’est pas une nouvelle lubie passagère du top management mais bel et bien un changement profond et permanent. Il est impossible de mettre de côté les priorités de production, l’objectif d’une entreprise étant de réaliser des bénéfices. Mais, l’entreprise doit aussi assurer sa pérennité et les risques informatiques sont des menaces considérables. Il faut trouver un équilibre viable entre les deux sinon la cybersécurité passera toujours au second plan. Lors de notre échange avec Charlotte, Manager en cybersécurité pour un cabinet de conseil, elle nous révélait que pour mettre en place une culture durable de cybersécurité en entreprise, il fallait exploiter deux axes. Le premier ciblant le comportement des employés au quotidien et le second intégrant la sécurité dans les processus métiers. Comme nous l’avons vu ci-dessus, il est difficile de concilier productivité et cybersécurité. En modifiant les processus établis pour y ajouter des éléments de sécurité, nous accordons indiscutablement une importance certaine à la cybersécurité. La sécurité n’est pas uniquement une problématique pour les informaticiens, elle existe tout autant dans l’aspect des affaires. Nous retrouvons ici la conception de Security by Design, quelle que soit la nature du projet que je souhaite conduire, je dois me poser la question de la sécurité. Ai-je le droit de faire cela ? Faire participer les salariés S’attacher à établir une relation de confiance entre les équipes chargées de la cybersécurité et le reste de l’entreprise est un point à ne pas négliger. Etant une science changeante, les experts ne s’accordent pas toujours sur les bonnes pratiques à suivre, par exemple, qu’est-ce qui constitue un mot de passe fort ? Vaut-il mieux utiliser l’authentification à multiples facteurs ou un gestionnaire de mot de passe ? Au final, ayant différentes informations se contredisant, ce n’est pas toujours clair pour les employés et c’est ce qui peut leur faire perdre confiance vis-à-vis de la cybersécurité. Expliquer la situation telle qu’elle est sans dramatiser pour bien faire comprendre aux collaborateurs qu’avec les changements du secteur il est impossible de tout prévoir pose les bases d’une communication transparente. Echanger avec les collaborateurs au sujet des enjeux de la mise en place d’une culture de cybersécurité sans les infantiliser est indispensable pour les faire adhérer au projet. Ils doivent se sentir responsabilisés et comprendre qu’ils font partie, dans une certaine mesure, du système de protection de l’entreprise. Marc, Spécialiste en renseignement, sûreté, cybersécurité et gestion de crises, nous a démontré qu’il est contre-productif de sous-estimer l’intérêt potentiel des employés, leur faire confiance et les faire participer au changement aura un impact considérable sur leur adhésion au projet. Il a notamment rencontré un cas où l’accompagnement au changement a été particulièrement bien réalisé. Une entreprise de dermo-cosmétique avait un problème de sécurité car ses employés refusaient de porter des badges, les trouvant peu seyants. Or, cette problématique était à prendre au sérieux puisque les équipes de sécurité n’avaient aucun moyen de différencier les employés des visiteurs curieux ou malintentionnés. Imposer un moyen d’identification aurait été un échec et la relation avec les collaborateurs en aurait pâti. La solution proposée par l’entreprise a été de mettre en place un concours du plus beau cordon de badge dans lequel chaque service de l’organisation était en compétition. Très rapidement, chaque employé portait fièrement un badge l’identifiant, symbole de son service. En comprenant les motivations des salariés et en leur proposant de participer au projet, le problème a été réglé. Encourager les initiatives Comme nous développions dans les bonnes pratiques à suivre, l’un des points clés de la culture de cybersécurité est de rendre les employés capables de reconnaître et de signaler de potentielles menaces. L’ENISA a conduit une étude en 2017 sur un échantillon de 24 personnes afin de déterminer quelles sont les manières les plus efficaces pour que les collaborateurs rapportent aux équipes de sécurité des activités suspectes<a href="#_ftn21" name="_ftnref21" style="color:#0563c1; text-decoration:underline" title="">[21]</a>. Les personnes interrogées travaillent dans des entreprises européennes multinationales et 75% d’entre eux ont des responsabilités concernant la mise en &oelig;uvre d’une culture de cybersécurité en interne. La leçon principale retirée de ce projet de recherche est de simplifier au maximum le processus de signalement. Si une activité suspecte est repérée sur le réseau de l’entreprise il est important d’agir le plus vite possible et un long procédé n’est pas la solution. Comme le souligne le rapport, le fait de pouvoir l’indiquer à une personne référente comme un supérieur ou un membre de l’équipe de sécurité des systèmes d’information est la manière la plus rapide et la plus rassurante pour l’employé. Dans le cas de phishing, avoir une simple case à cocher ou un bouton sur lequel appuyer peut pousser jusqu’à 70% des employés à participer à la protection de l’entreprise selon le rapport Human Risk Review 2022 : An analysis of the European cyberthreat landscape de l’entreprise SoSafe. De plus, l’étude menée par l’ENISA aborde aussi le droit à l’erreur. Les collaborateurs doivent avoir cette possibilité et pouvoir être corrigés sans être blâmés. Il est préférable d’avoir plusieurs fausses alertes plutôt que de passer à côté d’une cyberattaque car un salarié a peur de se tromper. L’implication des employés est nécessaire à l’entreprise et il serait contre-productif de prendre des mesures correctives s’ils font des erreurs. Maintenir un environnement d’échange et de confiance est primordial si nous voulons pouvoir compter sur les collaborateurs. Aussi, comme nous l’avons abordé ci-dessus, il est néfaste de sous-estimer l’implication des salariés. Certains auront des idées, réalisables ou non, et souhaiteront les partager avec les équipes en charge de la sécurité. Prendre le temps de s’intéresser à ces suggestions prouve aux employés qu’ils sont écoutés. Même si c’est dans le cadre d’un processus en les faisant remonter aux managers et d’y répondre uniquement une fois par mois ou moins fréquemment. La cybersécurité et la productivité ne sont pas contradictoires dans la mesure où la légitimité de la sécurité informatique est comprise par tous. S’appuyer sur les collaborateurs est la manière la plus efficace de faire adopter durablement un comportement sécurisé pour l’entreprise. Les points abordés ci-dessus sont des exemples et des suggestions de techniques pour amener tous les acteurs de l’organisation à participer activement au changement. En priorisant la cybersécurité et en incluant les collaborateurs dans le processus, l’entreprise possède tous les outils pour renforcer considérablement sa protection. <h1 style="margin-top:16px">Conclusion</h1> Nous avons ici cherché à démontrer dans cet article l’importance d’intégrer des méthodologies de conduite du changement aux pratiques de cybersécurité en entreprise. Intégrer la sécurité informatique au quotidien de l’entreprise n’est pas juste une question de changement de processus et de priorités, c’est changer complétement de paradigme. L’arrivée du numérique et la croissance exponentielle des innovations ont bouleversé nos vies. Il est essentiel de comprendre que la cybersécurité n’est pas un simple atout ou une contrainte supplémentaire mais bien une condition pour continuer son activité. La sécurité informatique est généralement mise en place à travers des mesures de protection basée sur la technologie. Cependant, la cybersécurité ne peut être réduite à son aspect technique. C’est un processus continu de changement dans lequel l’humain à sa place. Les collaborateurs représentent la plus grande vulnérabilité de l’entreprise. Les menaces sont complexes et quotidiennes et les organisations doivent s’adapter en conséquence. La cybersécurité de l’entreprise doit remettre les salariés et leurs intérêts au centre de sa stratégie de protection. S’ils ne sont pas préparés, ils peuvent ouvrir la porte de l’entreprise aux pirates informatiques, intentionnellement ou non. Les actions ponctuelles de formation et de sensibilisation ont prouvé ne pas être suffisamment efficaces. Il ne s’agit pas uniquement d’éduquer les salariés mais bien de les amener à adopter de bonnes pratiques de cybersécurité. Nous suivons ainsi deux objectifs principaux : l’adoption d’un comportement sécurisé et développer la capacité de réaction des collaborateurs face à une cyberattaque. Cependant, les entreprises voulant faire adopter à leurs employés un nouveau comportement nécessitent d’être en capacité de gérer et de conduire le changement. Modifier durablement les méthodes de travail des collaborateurs prend du temps et passe par la mise en place d’une stratégie concrète. Instaurer le changement ne s’improvise pas. Celui-ci bouleverse le quotidien de chacun au nom de la protection de l’entreprise. Si l’objectif est légitime, les méthodes d’approche ne peuvent ignorer le fait que nous nous nous intéressons ici à l’humain et c’est celui qui fera la force ou la faiblesse de la sécurité de l’entreprise. Nous proposons trois mots clés pour la mise en &oelig;uvre d’une politique de cybersécurité efficace : simplifier, prioriser et coconstruire. Simplifier, car nous privilégions l’adoption de certaines règles incontournables plutôt que d’imposer de suivre une série de mesures invivables au quotidien. Sacrifier un idéal de sécurité pour se tourner vers une solution plus réaliste où les employés n’ont pas à contourner les règles pour faire leur travail efficacement. Prioriser pour que la cybersécurité puisse devenir un objectif journalier. C’est ainsi que les collaborateurs pourront développer de bonnes pratiques. Coconstruire parce que la cybersécurité dépend aussi de la capacité des différentes équipes à collaborer et qu’elle doit être adaptée aux personnes qu’elle impacte. Afin que tous les collaborateurs soient équipés face aux cybermenaces, la sécurité informatique doit être le fruit d’une réflexion entre les différents représentants des services et des équipes sécurité. De plus, faire participer les personnes impactées par le changement au projet est une manière très efficace de gagner leur confiance et leur adhésion. Une culture de sécurité construite autour de ces trois principes permettrait aux collaborateurs de devenir acteurs de la protection de l’entreprise. L’idée défendue dans cet article n’est pas la mise en place d’une politique de cybersécurité parfaite mais de se donner des objectifs ambitieux. La sécurité informatique est un processus de changement continu. Avec le nombre exponentiel d’inventions technologiques et la créativité des hackers, une politique de cybersécurité doit constamment être améliorée. C’est pourquoi nous préférons ici nous concentrer sur l’humain et la manière dont nous devons aborder le changement. Les mesures de sécurité techniques sont importantes mais elles vont évoluer. En revanche, apprendre et aider ses collaborateurs à appréhender le domaine de la cybersécurité sera toujours utile. D’autres outils pertinents auxquels nous pourrions nous intéresser pour approfondir ce sujet sont les exercices de gestion de crise et les techniques très appréciées de ludification des formations. <div>  <hr align="left" size="1" width="33%" /> <div id="ftn1"> <a href="#_ftnref1" name="_ftn1" style="color:#0563c1; text-decoration:underline" title="">[1]</a> Douzet, F. (2014). La géopolitique pour comprendre le cyberespace. Hérodote, 152-153, 3-21. </div> <div id="ftn2"> <a href="#_ftnref2" name="_ftn2" style="color:#0563c1; text-decoration:underline" title="">[2]</a> Huyghe, F. Kempf, O. & Mazzuchi, N. (2015). Gagner les Cyberconflits – Au-delà du technique. Economica. </div> <div id="ftn3"> <a name="_Hlk113370805"></a><a href="#_ftnref3" name="_ftn3" style="color:#0563c1; text-decoration:underline" title="">[3]</a> Gasançon, C. (2018, 22 mai). Le cyberespace, nouvel espace de souveraineté à conquérir. GeoStrategia - Centre des Hautes Etudes Militaires. Consulté le 6 septembre 2022, à l’adresse https://www.geostrategia.fr/le-cyberespace-nouvel-espace-de-souverainete-a-conquerir/ </div> <div id="ftn4"> <a href="#_ftnref4" name="_ftn4" style="color:#0563c1; text-decoration:underline" title="">[4]</a> Le Point.fr. (2017, 4 octobre). Cyberattaque : les trois milliards de comptes de Yahoo ! touchés. Le Point. Consulté le 8 septembre 2022, à l’adresse https://www.lepoint.fr/high-tech-internet/cyberattaque-les-trois-milliards-de-comptes-de-yahoo-touches-04-10-2017-2161870_47.php </div> <div id="ftn5"> <a href="#_ftnref5" name="_ftn5" style="color:#0563c1; text-decoration:underline" title="">[5]</a> Lussan, P. (2021, octobre). Cybersécurité : la gestion du changement et une meilleure visibilité sur l’environnement IT sont clés. Global Security Mag. Consulté le 8 septembre 2022, à l’adresse https://www.globalsecuritymag.fr/Cybersecurite-la-gestion-du,20211019,117298.html </div> <div id="ftn6"> <a href="#_ftnref6" name="_ftn6" style="color:#0563c1; text-decoration:underline" title="">[6]</a> Jolly, C. (2021, 17 décembre). Le changement de paradigme de la cybersécurité est la clé de la transformation numérique. ITnumeric. Consulté le 9 septembre 2022, à l’adresse http://www.itnumeric.com/le-changement-de-paradigme-de-la-cybersecurite-est-la-cle-de-la-transformation-numerique/ </div> <div id="ftn7"> <a href="#_ftnref7" name="_ftn7" style="color:#0563c1; text-decoration:underline" title="">[7]</a> Bassett, G., Hylender, D., Langlois, P., Pinto, A. & Widup, S. (2022). The 2022 Data Breach Investigations Report (DBIR). Verizon Business. Consulté le 12 septembre 2022, à l’adresse https://www.verizon.com/business/resources/reports/2022/dbir/2022-data-breach-investigations-report-dbir.pdf </div> <div id="ftn8"> <a href="#_ftnref8" name="_ftn8" style="color:#0563c1; text-decoration:underline" title="">[8]</a> Schmidt, J. (2011, 3 novembre). Humans : The Weakest Link In Information Security. Forbes. Consulté le 17 septembre 2022, à l’adresse https://www.forbes.com/sites/ciocentral/2011/11/03/humans-the-weakest-link-in-information-security/?sh=5f0d4362de87 </div> <div id="ftn9"> <a href="#_ftnref9" name="_ftn9" style="color:#0563c1; text-decoration:underline" title="">[9]</a> Fiscutean, A. (2021, 9 novembre). Why are people so bad at risk assessment ? Blame the brain. CSO Online. Consulté le 14 septembre 2022, à l’adresse https://www.csoonline.com/article/3639608/why-people-are-bad-at-risk-assessment.html </div> <div id="ftn10"> <a href="#_ftnref10" name="_ftn10" style="color:#0563c1; text-decoration:underline" title="">[10]</a> Coventry, D.L., Briggs, P., Blythe, J., Tran, M. (2014). Using behavioural insights to improve the public’s use of cybersecurity best practices. Government Office for Science, London, UK. https://www.gov.uk/government/uploads/system/uploads/attachment_data/file/309652/14-835-cybersecurity-behavioural-insights.pdf </div> <div id="ftn11"> <a href="#_ftnref11" name="_ftn11" style="color:#0563c1; text-decoration:underline" title="">[11]</a> Bada, M., Sasse, A. M., and Nurse, J. R. (2019). Cyber Security Awareness Campaigns: Why Do They Fail to Change Behaviour? arXiv Cornell University. </div> <div id="ftn12"> <a name="_Hlk114576794"></a><a href="#_ftnref12" name="_ftn12" style="color:#0563c1; text-decoration:underline" title="">[12]</a> Autissier, D., Johnson, K. et Metais-Wiersch, E. (2018). Chapitre 3. Changement exponentiel et difficultés de transformation. Dans Du changement à la transformation. Stratégie et pilotage de transformation (pp. 65-94). Dunod. </div> <div id="ftn13"> <a href="#_ftnref13" name="_ftn13" style="color:#0563c1; text-decoration:underline" title="">[13]</a> Foudriat, M. (2015). Le changement organisationnel. Réflexions sur les conceptions méthodologiques. Dans Les chefs de service à l'épreuve du changement (pp5-30). Dunod. </div> <div id="ftn14"> <a href="#_ftnref14" name="_ftn14" style="color:#0563c1; text-decoration:underline" title="">[14]</a> Graziani, M. (2013, 22 décembre). La gestion du changement dans l’entreprise - Centre de Ressources en Économie-Gestion. Consulté le 20 septembre 2022, à l’adresse https://creg.ac-versailles.fr/La-gestion-du-changement-dans-l-entreprise#outil_sommaire_5 </div> <div id="ftn15"> <a href="#_ftnref15" name="_ftn15" style="color:#0563c1; text-decoration:underline" title="">[15]</a> Bornet, C. « Changement et conduite du changement », Gérard Valléry éd., Psychologie du Travail et des Organisations. 110 notions clés. Dunod, 2016, pp. 74-78. </div> <div id="ftn16"> <a href="#_ftnref16" name="_ftn16" style="color:#0563c1; text-decoration:underline" title="">[16]</a> Disparte, D. & Furlow, C. (2017, 16 mai). The Best Cybersecurity Investment You Can Make Is Better Training. Harvard Business Review. Consulté le 16 septembre 2022, à l’adresse https://hbr.org/2017/05/the-best-cybersecurity-investment-you-can-make-is-better-training </div> <div id="ftn17"> <a href="#_ftnref17" name="_ftn17" style="color:#0563c1; text-decoration:underline" title="">[17]</a> <a name="_Hlk126089420">Ortega, G. (2018, 17 octobre). Le mode veille est un mode vulnérable. F-Secure Blog. Consulté le 29 septembre 2022, à l’adresse https://blog.f-secure.com/fr/le-mode-veille-est-un-mode-vulnerable/</a> </div> <div id="ftn18"> <a href="#_ftnref18" name="_ftn18" style="color:#0563c1; text-decoration:underline" title="">[18]</a> <a name="_Hlk126089392">Reporter, G. S. (2016, 10 mai). Spelling mistake prevented hackers taking $ 1bn in bank heist. </a>The Guardian. Consulté le 10 octobre 2022, à l’adresse https://www.theguardian.com/business/2016/mar/10/spelling-mistake-prevented-bank-heist </div> <div id="ftn19"> <a name="_Hlk126089355"></a><a href="#_ftnref19" name="_ftn19" style="color:#0563c1; text-decoration:underline" title="">[19]</a> Le DSI, nouveau mouton à 5 pattes en charge du management des SI ?  (2022, 21 janvier). Référence DSI. Consulté le 12 octobre 2022, à l’adresse https://www.referencedsi.com/dsi-mouton-a-5-pattes-management-des-si/ </div> <div id="ftn20"> <a href="#_ftnref20" name="_ftn20" style="color:#0563c1; text-decoration:underline" title="">[20]</a> Maret, V. (2021, 7 décembre). Face aux cyberattaques, mobilisons l’intelligence collective. Consulté le 13 octobre 2022, à l’adresse https://www.journaldunet.com/solutions/dsi/1507305-face-aux-cyberattaques-mobilisons-l-intelligence-collective/ </div> <div id="ftn21"> <a name="_Hlk116654040"></a><a href="#_ftnref21" name="_ftn21" style="color:#0563c1; text-decoration:underline" title="">[21]</a> European Union Agency for Cybersecurity, (2018). Cyber security culture in organizations, European Network and Information Security Agency (ENISA). https://data.europa.eu/doi/10.2824/10543 </div> </div>