Cet article s’inscrit dans la série 12 principes stratégiques en gestion des risques liés au respect de la vie privée, à la cybersécurité et à l’IA. Cette série offre aux équipes de direction et aux conseils d’administration canadiens des conseils pratiques qui favorisent la résilience, la confiance et la responsabilisation.
Sans culture d’entreprise forte, même les meilleures politiques ne donnent rien. La culture influence le respect des procédures et le signalement des risques par les employés, ainsi que la probabilité que l’un d’entre eux provoque un incident.
Pourquoi est-ce important?
Une étude récente révèle que les erreurs humaines sont à l’origine de nombreuses atteintes à la sécurité des données. Ces erreurs – ouverture de liens, non-respect des procédures, accès non autorisé – découlent généralement d’un manque d’information et non de problèmes technologiques. Autrement dit, la cybersécurité est une affaire de comportements autant que d’infrastructures.
La culture part d’en haut. Le conseil d’administration et l’équipe de direction la façonnent par leurs actions, leur attribution des ressources, leurs communications et leurs priorités. Une saine culture de la sécurité et du respect de la vie privée responsabilise les employés, réduit les risques et favorise la conformité aux lois, notamment la Loi 25 et la LPRPDE.
Ce que les équipes de direction et les conseils d’administration doivent prioriser
1. Formation et sensibilisation continues
Les formations sur la cybersécurité doivent être continues, adaptées au rôle de chacun et consolidées régulièrement. Devant l’évolution des menaces, on ne peut plus se contenter d’une formation simpliste une fois par année.
2. Clarté des rôles et des attentes
Chaque employé·e doit connaître ses responsabilités en matière de sécurité et de protection de la vie privée. L’équipe de direction doit communiquer clairement les attentes, surtout au sein des équipes particulièrement à risque (ex. : finances, affaires juridiques, TI et opérations).
3. Mesure et gestion de la culture
Le conseil d’administration doit demander d’être informé régulièrement du degré de familiarité avec les consignes de sécurité, des résultats des simulations d’hameçonnage et des évaluations de la culture. Le suivi de ces indicateurs aide à cibler les points à améliorer.
Dernières réflexions
La culture d’entreprise est l’infrastructure invisible qui sous-tend vos objectifs de cybersécurité et de protection de la vie privée. En investissant dans la formation, en montrant l’exemple et en clarifiant les attentes, vous passerez d’une gouvernance réactive à une gouvernance résiliente.