LA SÉCURITÉ COMMENCE PAR LES GENS
La gestion des risques liés au personnel dans les organisations modernes
La cybersécurité n'est plus seulement une question informatique ; le comportement humain joue un rôle déterminant.
Le plus grand risque en matière de cybersécurité réside souvent dans le comportement humain
La plupart des incidents de cybersécurité ne commencent pas par des attaques sophistiquées.
Tout commence par les décisions du quotidien :
- cliquer sur des liens suspects
- en contournant les procédures informatiques
- partage des identifiants
- utiliser des logiciels non approuvés
- en faisant fi des recommandations de sécurité
- le téléchargement de données sensibles dans des outils d’IA
- privilégier la rapidité au détriment de la méthode
Les organisations investissent massivement dans les technologies de cybersécurité, mais même les infrastructures de sécurité les plus solides peuvent être compromises lorsque les pratiques opérationnelles créent des failles de sécurité.
La cybersécurité moderne repose à la fois sur la technologie et sur la responsabilité humaine.
Pourquoi le risque humain est-il important ?
des violations ont commencé par l’exploitation de vulnérabilités.*
la plupart des violations ont commencé par une tentative d’hameçonnage.*
La plupart des attaques contre les applications Web impliquaient l’utilisation d’identifiants volés.*
*Référence :Verison DBIR 2025
VOUS NE SAVEZ PAS OÙ SE SITUENT VOS RISQUES ?
Réservez une évaluation rapide de la sécurité et découvrez clairement à quels risques vous êtes actuellement exposé.
APPROVISIONNEMENT ET GOUVERNANCE LOGICIELLE
L'acquisition de logiciels est désormais un enjeu de cybersécurité
L’un des risques liés à la cybersécurité qui connaît la croissance la plus rapide est l’adoption incontrôlée de logiciels dans l’ensemble des services.
Il arrive souvent que les employés s’abonnent à des plateformes SaaS, à des outils d’IA, à des extensions de navigateur, à des plateformes de stockage en nuage ou à des intégrations tierces sans que cela fasse l’objet d’un examen de sécurité ou d’une autorisation d’achat.
Même si l’objectif est généralement d’améliorer la productivité, cela peut avoir pour conséquence :
- divulgation de données
- infractions aux règles
- faible niveau de sécurité des fournisseurs
- intégrations non autorisées
- autorisations non contrôlées
- lacunes opérationnelles
- informatique parallèle
Cybersecurity teams cannot protect systems they do not know exist.
Ce dont les organisations ont besoin
- Processus d’évaluation des fournisseurs
- Flux de travail d’approbation informatique
- Gouvernance de l’utilisation de l’IA
- Contrôles de sécurité des achats
- Politiques de gestion des accès
- Évaluations des risques liés aux tiers
- Contrôles du cycle de vie des logiciels
- Normes de responsabilité des employés
RESPECTER LES RECOMMANDATIONS EN MATIÈRE D’INFORMATIQUE ET DE SÉCURITÉ
Les politiques de sécurité ne sont efficaces que si les gens les respectent
De nombreux incidents de cybersécurité surviennent parce que les recommandations en matière de sécurité ont été ignorées, reportées ou contournées.
Parmi les exemples courants, on peut citer :
- Reporter les mises à jour logicielles
- Désactiver l’authentification à deux facteurs
- Réutilisation des mots de passe
- Partage des identifiants
- Valider les factures suspectes
- Cliquer sur des courriels d’hameçonnage
- Connexion d’appareils non gérés
- Contourner les processus sécurisés pour des raisons de commodité
Les défaillances en matière de cybersécurité sont souvent d’abord des défaillances liées aux pratiques opérationnelles avant de devenir des défaillances techniques.
Les organisations ont besoin d’une harmonisation des orientations stratégiques, d’une responsabilisation vis-à-vis des processus et d’un renforcement continu des pratiques en matière de cybersécurité.
L'IA modifie l'exposition des personnes aux risques
Les employés ont de plus en plus souvent recours à des outils d'IA sans en saisir pleinement les risques.
- Où les données sont-elles stockées ?
Comment les informations sont-elles conservées ? - Les invites sont-elles sécurisées ?
- Qui peut consulter les informations téléchargées ?
- What data should never be shared
Sans gouvernance, l’adoption de l’IA peut entraîner :
- L’exposition de données sensibles
- Des risques liés à la conformité
- La fuite de propriété intellectuelle
- Des risques de désinformation
- Un accès externe non contrôlé
Les organisations ont besoin de politiques de gouvernance de l’IA concrètes qui concilient innovation et sécurité opérationnelle.
SERVICES / COMPÉTENCES
Domaines de la gestion des risques liés au personnel
Programmes de sensibilisation à la sécurité
Formation pratique en cybersécurité axée sur les risques opérationnels réels et les comportements des employés.
Gestion des achats et des fournisseurs
Processus d’évaluation des logiciels, des fournisseurs, des plateformes d’IA et des intégrations avant leur mise en œuvre.
Gouvernance de l’utilisation de l’IA
Politiques et contrôles opérationnels visant à garantir une adoption responsable de l’IA au sein de toutes les équipes.
Préparation face au phishing et à l’ingénierie sociale
Sensibiliser davantage aux tactiques de manipulation visant les employés et les dirigeants.
Harmonisation des politiques de sécurité
Aider les organisations à améliorer l’adoption et le respect des normes de sécurité internes.
Réduction des risques internes
Réduire les risques, qu’ils soient intentionnels ou non, causés par les utilisateurs internes ou par des lacunes opérationnelles.
Sécurité du personnel à distance
Soutien aux pratiques de travail à distance sécurisées, à la gestion des accès et à la sécurité des appareils.
Processus de sécurité opérationnelle
Intégrer la cybersécurité dans les processus d’intégration, d’approvisionnement, d’approbation et les flux de travail quotidiens.
Une cybersécurité pratique fondée sur les comportements humains réels
Renforcer la culture de la cybersécurité grâce à la sensibilisation, à la responsabilisation et à la résilience opérationnelle.
Citadelis aide les organisations à réduire les risques liés à la cybersécurité d’origine humaine grâce à une gouvernance opérationnelle, des stratégies de sensibilisation, des conseils en matière d’approvisionnement, une gouvernance de l’IA et des processus concrets axés sur la sécurité.
Notre approche ne repose pas sur une cybersécurité fondée sur la peur.
Nous mettons l’accent sur la résilience opérationnelle, la responsabilisation et la réduction de l’exposition aux risques évitables à tous les niveaux de l’organisation.
Foire aux questions
La gestion des risques liés au facteur humain vise à réduire les vulnérabilités en matière de cybersécurité découlant du comportement des employés, des processus opérationnels et des décisions organisationnelles.
Le « Shadow IT » désigne les logiciels ou les systèmes adoptés sans l’accord officiel du service informatique ou de la sécurité.
Toute plateforme logicielle, tout outil d’IA, toute intégration ou tout fournisseur peut présenter des risques opérationnels et de cybersécurité s’il n’est pas soumis à un examen rigoureux.
Les outils d’IA peuvent exposer des renseignements sensibles et créer des risques liés à la conformité lorsque les employés les utilisent sans politiques ni mesures de protection claires.
Non. La cybersécurité touche les opérations, les achats, les ressources humaines, les finances, la direction et les employés à tous les niveaux de l’organisation.
UNE CYBERSÉCURITÉ AXÉE SUR L’HUMAIN