Etude de cas

Comment utiliser le design thinking pour déployer un programme de sensibilisation à la sécurité numérique ?

Ma première étape dans ce programme de sensibilisation a été d’organiser un workshop pour les responsables de la sécurité. Le but était de cadrer le problème en prenant tous leurs points de vues en compte. Les résultats ont été utiles pour moi et pour les participants. On a pu extraire une liste de causes qui expliquent la négligence des règles de sécurité au sein de l’entreprise.

Client

Rakuten

Année

2019

Durée

1 mois

Rôle

Project Manager

"Nous pensions que nous étions les experts de la question et comprenions le problème précisément dans une certaine mesure. Après l'atelier Design Thinking, j'ai eu l'impression que c'était faux. L'atelier nous apporte une manière différente d'aborder le problème !"

Head of Rakuten EU Security

Alignement des C-level

Les décideurs ont adhéré à une vision claire et commune de l’idéal à atteindre, alors qu’ils ne pensaient pas ça possible.

3 causes identifiées

qui sont principalement à l’origine de la baisse de sensibilisation des employés à la sécurité, parmi les nombreuses causes possibles et interconnectées

Des indicateurs clés créés

Nous avons établi les mesures de la maturité en sécurité, des pratiques et habitudes, des connaissances et attitudes de chaque équipes pour suivre les progrès sur le long-terme.

Contexte

Le CISO est le Chief Information Security Officer. Il en existe en général un par entreprise. Il est responsable de la sécurité numérique dans son entreprise. Chez Rakuten, les responsables CISO cumulent ce rôle avec leur travail habituel. Ils ont donc peu de temps dédié à la sécurité. Rakuten a créé une équipe sécurité européenne qui produit des guides et des supports pour aider dans leur tâches tous les CISO d’Europe. Cette équipe travaille à créer une sécurité forte dans toutes les entreprise européennes du groupe.

 

En tant qu’entreprise digitale, la sécurité numérique est un enjeu prioritaire. La sensibilisation des employées est donc une priorité. Le projet complexe d’améliorer cette sensibilisation est donc ma mission. Le rêve serait de réussir à faire que chaque employé développe des réflexes liés à la sécurité dans ses tâches quotidiennes.

C'est quoi la sensibilisation à la sécurité ?

Le triangle de la sensibilisation à la sécurité de l’information comprend les connaissances, l’attitude et le comportement. Être « sensibilisé à la sécurité » signifie que vous comprenez qu’il existe un risque potentiel. Certaines personnes peuvent voler, endommager ou utiliser à mauvais escient délibérément ou accidentellement les données stockées dans les systèmes informatiques d’une entreprise.

Le challenge rassemble 8 pays différents

Approche

Apporter de la clarté à l’objectif visé avec ce projet et trouver ce qui unit les parties prenantes

Grâce à notre travail exploratoire, nous avons découvert deux faits

1 • Nous avons analysé les profils de sécurité de chaque entreprise

Nous les avons ensuite comparés entre eux pour trouver les différences. Le profil de sécurité a été mesuré en reprenant le travail de Dr Lance Hayden. Contrairement aux idées reçues existantes chez les leaders, les entreprises ont toutes des profils équilibrés.

2 • Nous avons analysé le gap culturel entre chaque entreprise

Les différences culturelles ont plusieurs fois été mentionnées comme source de problèmes de sécurité à travers l’Europe. J’ai donc mesuré ces différences en utilisant le travail d’Erin Meyer. Il existe bien un gap culturel, évidemment j’ai presque envie de dire. Mais force est de constater que la culture « Rakuten » est plus forte. Les entreprises sont culturellement plus proches les unes des autres que de leur culture locales respectives.

Plus de détails sur les auteurs mentionnés

Erin Meyer est professeure affiliée principale au département du comportement organisationnel de l’INSEAD et spécialisée dans le domaine de la gestion interculturelle, des négociations interculturelles et du leadership multiculturel. Erin est la directrice du programme Leading Across Borders and Cultures. Elle est également l’auteur de « The Culture Map: Breaking Through the Invisible Boundaries of Global Business ». Le travail d’Erin se concentre sur la façon dont les dirigeants les plus prospères du monde naviguent dans la complexité des différences culturelles dans un environnement mondial.

Le Dr Lance Hayden a passé 25 ans à travailler dans le domaine de la sécurité de l’information, commençant sa carrière en tant qu’officier du renseignement humain (HUMINT) à la Central Intelligence Agency. Il a été un conseiller de confiance auprès de clients gouvernementaux, militaires et d’entreprises dans des secteurs tels que la finance et l’assurance, la santé, la vente au détail, l’énergie et les télécommunications. Il est un expert de premier plan sur la culture de la cybersécurité et les comportements de sécurité humaine. Il est l’auteur de « People-Centric Security : Transforming Your Enterprise Security Culture » et « IT Security Metrics: A Practical Framework for Measuring Security and Protecting Data ».

Ces apprentissages ont orientés les activités du workshop

Les participants étaient des CEOs, CTOs, ou autre C-executive avec un emploi du temps chargé. Une heure maximum, c’est ce qu’ils pouvaient me consacrer pour ce workshop.

Spectrum Mapping

Pour construire de l'alignement en partageant des points de vues divergents et en visualisant la tendance de pensée d'un groupe

Root Cause Analysis

L'éternel exercice pour apporter de clarté quand aux causes d'un problème flou ou trop large.

En 1 mois, on est passés du chaos à une roadmap d'actions priorisées

La sensibilisation à la sécurité doit être portée par les leaders

Les leaders doivent assumer leur rôle de porte-parole de la sécurité vis à vis des employés. Pour ça ils doivent prendre conscience des enjeux et des risques.

Les employés ont besoin de transparence sur les menaces existantes

Il est considéré risqué de parler ouvertement des menaces et des risques pour la réputation de l'entreprise. Mais c'est pourtant constructif et utile pour les employés.

Malgré la distance les CISO en Europe sont unis par leur façon de travailler

Et la culture d'entreprise dans le groupe contribue à créer un sentiment d'appartenance et d'unité.

Liste des sujets à adresser en priorité

On a peu prioriser ensemble les sujets qui feront l'objet de travail ciblé pour atteindre l'objectif final.

Pour aller plus loin, demandez votre rendez-vous découverte

C'est parti !