La sécurité moderne exige une approche axée sur l’empathie envers les initiés

Le risque interne peut survenir n’importe où au sein d’une entreprise, par n’importe qui. Cela peut provenir d’anciens employés mécontents qui volent des secrets commerciaux de l’intelligence artificielle ou d’une personne débauchée par un concurrent qui prend des secrets de conception de puces mobiles en sortant. Cela peut même provenir de la suite C, comme une entreprise l’a appris récemment lorsque son directeur financier a accidentellement partagé un document avec l’ensemble de l’entreprise intitulé « Restructuration ». L’exposition non intentionnelle de données peut provoquer des troubles chez les employés, voire déclencher des exigences de dépôt de la réglementation Fair Disclosure (Reg FD) de la Securities and Exchange Commission (SEC) des États-Unis pour les entreprises publiques, si les données divulguées peuvent affecter les actionnaires.

Pour l’équipe de sécurité, il peut être inapproprié d’adopter une approche combative – destinée aux menaces extérieures – avec un directeur financier sur un partage de données involontaire. Il y a un meilleur moyen.

Une approche empathique des enquêtes sur les employés

La façon dont nous devrions aborder un risque externe – comme les logiciels malveillants, par exemple – par rapport à celui des initiés est très différente.

Tableau des risques de logiciels malveillants par rapport aux risques internes

De nombreux facteurs doivent être pris en compte lors de la gestion des risques internes, en particulier en ce qui concerne les résultats commerciaux souhaités. Les enquêtes d’initiés ne doivent pas relever uniquement de la compétence de l’équipe de sécurité et nécessitent souvent la collaboration de la sécurité, des RH et du service juridique. Selon Gartner, « les données d’enquête… indiquent que plus de 50 % des incidents d’initiés ne sont pas malveillants », ce qui signifie que, le plus souvent, l’employé à l’origine de l’incident essayait simplement de faire son travail, en faisant un erreur ou prendre un raccourci. Les traiter comme si leurs actions étaient intentionnellement malveillantes est une mauvaise approche et pourrait se retourner contre eux. Les personnes impliquées dans l’enquête doivent adopter une approche empathique dépourvue de jugement. Sinon, le risque que cet employé fasse à nouveau la même erreur ou devienne mécontent et privé de ses droits augmente considérablement.

Aborder les enquêtes d’initiés avec empathie nécessite un changement psychologique. C’est la première étape pour instaurer la confiance, afin d’obtenir le meilleur résultat pour l’organisation. Voici cinq éléments importants d’une approche empathique des enquêtes d’initiés :

  • Connectez-vous pour comprendre : Lorsqu’un événement se produit, la première communication peut être aussi informelle que « Hé, nous avons remarqué que vous avez déplacé un document vers votre compte cloud personnel. Vouliez-vous faire ça ? » Leur réponse sera souvent une surprise, parce que c’était une erreur, ou parce qu’ils n’ont pas réalisé que ce n’était pas permis. Peut-être avaient-ils simplement besoin de faire le travail, et c’était le moyen le plus rapide.
  • Explorez les préjugés inconscients : Tous les humains ont des préjugés conscients et inconscients qui affectent nos actions et nos décisions. L’équipe RH peut aider d’autres parties prenantes à explorer ces préjugés et à les atténuer. Il est important de traiter tous les individus de la même manière, qu’il s’agisse de pairs, du PDG ou de quelqu’un d’un groupe ou d’une culture différente de la vôtre.
  • Rassurer pour accompagner le partenariat : Si l’événement était une erreur, informez l’employé qu’il n’est pas en difficulté. Il est probable que l’employé le croit et se demande s’il pourrait perdre son emploi. C’est un instinct humain naturel de devenir sur la défensive et de nier un comportement. Rassurez-les que cet événement peut être inversé et que vous êtes là pour les aider. Ils sont plus susceptibles d’être honnêtes sur ce qu’ils essayaient de faire et vous serez mieux placé pour les aider et pour récupérer les données exposées ou divulguées.
  • Éduquer: En cas d’incident négligent ou accidentel, il est important de fournir à l’employé des informations sur la bonne façon d’agir à l’avenir. Les conseils au moment de l’erreur sont très percutants et plus susceptibles d’être retenus que, disons, une session de formation annuelle. Vous pouvez renforcer la conversation avec de courtes vidéos d’une à trois minutes sur une situation spécifique.
  • Passer à l’action: Il est important d’aborder chaque enquête avec empathie, mais il y a toujours une partie des violations d’initiés qui sont vraiment malveillantes. Dans ces cas, la documentation est importante. S’il est déterminé que l’employé a délibérément pris des mesures risquées et s’il est clair qu’il présente un risque permanent pour l’organisation et ses données, il est temps de rassembler toutes les parties prenantes clés de la sécurité, des RH et du service juridique pour fournir un plan d’action recommandé à l’équipe de direction.

Aborder les enquêtes d’initiés avec empathie aide à bâtir une culture de confiance, de communication ouverte et de respect. Il crée et perpétue une culture de sécurité positive et, mieux encore, il contribuera à assurer la sécurité des données les plus précieuses de votre organisation.

Ce contenu a été produit par Insights, la branche de contenu personnalisé de MIT Technology Review. Il n’a pas été rédigé par la rédaction de MIT Technology Review.