Sécuriser l'expérience numérique des collaborateurs

Problème actuel

L'expérience des utilisateurs finaux est rarement prise en compte dans la stratégie de cybersécurité.

Un résultat prometteur pour l'UX de sécurité :

Plus de la moitié des professionnels de cybersécurité (57 %) disent que l'expérience utilisateur (UX) de sécurité dans leur entreprise est « très bonne », voire « excellente ».

 

Mais l'UX de sécurité reste une priorité mineure :

Seulement 13 % des professionnels de sécurité que nous avons interrogés considèrent que l'expérience des utilisateurs finaux est une priorité essentielle lors de l'adoption de technologies de cybersécurité.

Est-il vraiment possible d'avoir une expérience utilisateur de sécurité ultraperformante si l'entreprise n'en fait pas une priorité ?

Pourquoi c'est important

Lorsqu'une entreprise néglige l'expérience de sécurité et impose des outils peu maniables, les collaborateurs ont tendance à recourir à des solutions de contournement dangereuses.

La moitié des collaborateurs de bureau disent utiliser leurs périphériques personnels pour se connecter aux réseaux et logiciels professionnels. Et parmi eux, 32 % affirment que leur employeur n'est pas au courant.

Pourquoi ce comportement risqué ? La plupart du temps, les employés n'utilisent pas des périphériques et des logiciels non approuvés dans le but de créer des problèmes ; ils le font parce que ces outils sont plus faciles à utiliser et plus fiables. Et aussi, parfois, parce qu'ils n'ont pas d'autre choix.

Les entreprises doivent prendre des mesures pour mieux comprendre le comportement (bon ou mauvais) de leurs collaborateurs sur le lieu de travail, et créer une expérience qui réduise les points de friction, la frustration et les comportements dangereux.

L'expérience (UX) de sécurité consiste à créer des actions et des workflows qui s'intègrent naturellement aux méthodes de travail préférées de vos collaborateurs. L'objectif est de faciliter la prise de décision et de permettre aux collaborateurs d'exécuter leurs tâches avec efficacité. Tout est question d'équilibre : d'un côté vous mettez en place des mécanismes de surveillance et des contrôles stricts pour protéger l'entreprise, et de l'autre, vous faites en sorte que ces mesures ne créent pas des obstacles et des ralentissements inutiles.

Dr Srinivas Mukkamala
Chief Product Officer chez Ivanti

Problème actuel

Les collaborateurs veulent travailler partout et à tout moment. Toutefois, de nombreuses entreprises ne fournissent pas encore les outils et processus nécessaires pour créer les conditions d'un Everywhere Work productif et sécurisé.

Pourquoi c'est important

L'Everywhere Work n'est pas un phénomène passager. Même les entreprises qui reviennent en arrière en reconsidérant leurs politiques de télétravail doivent fournir à leurs collaborateurs des technologies et workflows leur permettant de rester engagés, productifs et en sécurité, quel que soit l'endroit où ils travaillent.

L'étude d'Ivanti met en lumière un changement significatif par rapport à l'an dernier. On constate en effet une évolution de la perception du télétravail par les dirigeants : ils sont de plus en plus nombreux à vouloir que leurs collaborateurs reviennent au bureau.

En 2024, 60 % des cadres dirigeants pensent que leurs collaborateurs doivent être au bureau pour être productifs, contre 44 % l'an dernier.

Même si les employeurs font pression sur leurs collaborateurs pour qu'ils reviennent au bureau, cela ne signifie pas que le télétravail n'est plus une priorité ou une préoccupation.

Les collaborateurs qui travaillent en présentiel emportent leurs périphériques professionnels chez eux le soir, participent à des visioconférences lors de leurs déplacements ou se connectent à des applis professionnelles depuis leur téléphone personnel. Que la moitié de votre personnel soit en télétravail ou que seules quelques personnes soient concernées, il est essentiel que l'entreprise soutienne tous les modes de travail, notamment en dehors des horaires de travail traditionnels.

Kristen Kamp
SVP, Global Human Resources chez Ivanti

Comprendre les comportements et workflows favoris de vos collaborateurs

De nombreux RSSI sont tellement focalisés sur la sécurité qu'ils en oublient l'expérience utilisateur. Ils déploient des processus d'authentification trop complexes, des contrôles d'accès très restrictifs ou d'autres options peu conviviales. Chaque fois qu'un collaborateur fait face à un point de friction technologique ou est mécontent des outils qu'on lui impose, il a recours à une solution de contournement.

Avant que l'entreprise n'investisse dans de nouvelles technologies de sécurité, les RSSI doivent prendre le temps de comprendre les habitudes de travail, les workflows et les outils favoris des collaborateurs. Ainsi, les nouveaux investissements en sécurité correspondront davantage aux attentes des collaborateurs. Finalement, une bonne UX (Expérience utilisateur) contribue à une meilleure sécurité.

Développer des directives claires pour l'utilisation de l'IA générative

Pour éviter les risques de sécurité liés à l'IA générative, les collaborateurs doivent être formés correctement, non seulement aux outils mais aussi au type de données qu'il convient d'utiliser pour chaque outil. Il faut qu'ils comprennent à la fois l'outil proprement dit, et le lieu de stockage des données utilisées.

D'abord et surtout, les entreprises doivent déterminer les outils d'IA que leurs collaborateurs pourront utiliser. Ensuite, il faut établir des directives et des pratiques concernant les types de données pouvant être importés et utilisés dans ces outils. Les données sensibles relatives à l'entreprise, aux clients ou même les données personnelles des collaborateurs ne doivent pas être entrées dans un outil d'IA non contrôlé par l'entreprise. Le stockage de données en dehors de l'entreprise peut provoquer différents problèmes, notamment des fuites de données ou la violation des réglementations en vigueur.

Déployer une automatisation proactive pour éviter d'interrompre les workflows

La meilleure interaction de sécurité se produit lorsqu'il n'y aucune interaction. Dans l'idéal, il faut limiter les interactions des utilisateurs avec les outils de cybersécurité et éviter qu'ils soient impliqués dans ce type de procédure. La tendance des collaborateurs à contourner les contrôles et les outils de sécurité est un facteur de risque pour l'entreprise. Ne demandez pas à l'utilisateur s'il veut faire une mise à jour. Mettez plutôt en place un système d'automatisation, et déployez les mises à jour proactivement et automatiquement, à l'arrière-plan. C'est un exemple simple, mais il montre comment il faudrait intégrer la sécurité (et la rendre relativement invisible) dans les workflows quotidiens.

Est-il vraiment nécessaire de confier à des humains la supervision de certaines tâches ? C'est là qu'interviennent l'IA générative et les outils d'automatisation modernes. L'objectif est de limiter le triage humain, de réduire l'interaction humaine et d'éviter que les êtres humains soient impliqués dans les tâches à faible valeur ajoutée.

Étendre votre périmètre de sécurité jusqu'à la périphérie

Le travail hybride et l'Everywhere Work sont devenus une réalité et se sont généralisés dans les entreprises. Comment protéger les actifs de vos collaborateurs sur tous leurs lieux de travail ? La sécurité doit dépasser votre périmètre et aller jusqu'à la périphérie. C'est là que l'on constate une augmentation des technologies comme le SASE et le Zero Trust. La protection ne peut pas être réduite aux 4 murs du bureau ni à un périmètre défini. Aujourd'hui, le périmètre, c'est votre navigateur. C'est aussi le collaborateur qui utilise les périphériques du lieu de travail, où qu'il se trouve. Considérez que le réseau n'a aucun périmètre : vous ne pouvez faire confiance à personne. C'est un important changement de mentalité.

Demander aux RSSI de s'impliquer dans la stratégie et la planification DEX

Les RSSI doivent comprendre, proactivement, comment leurs projets et leurs stratégies de sécurité impactent la productivité de l'entreprise et l'engagement des collaborateurs. En garantissant que les responsables de sécurité ont accès aux informations sur la DEX (Expérience numérique des collaborateurs), les RSSI deviennent plus proactifs quant à la définition et à l'implémentation des politiques de sécurité. Ils n'ont plus besoin de réajuster leur politique à chaque fois que les utilisateurs font face à un point de friction ou contournent les mesures de sécurité.

Les changements de configuration constituent l'un des principaux moteurs d'évolution technologique au sein des entreprises... poussés, bien sûr, par la nécessité de réagir aux variations du paysage des menaces. Malheureusement, le changement est un frein majeur à la productivité des collaborateurs.

Il est essentiel que les RSSI et autres responsables de sécurité soient impliqués dans la stratégie DEX pour :

• Garantir le contrôle et la gouvernance des outils DEX.
• Incorporer les outils DEX dans les workflows de sécurité (afin de limiter les appels réactifs au centre de support de la part des utilisateurs finaux impactés).
• Mesurer l'impact des mesures « Shift Left », comme les changements de configuration proactifs et l'application des correctifs.
• Compléter les outils de sécurité existants par des fonctions DEX.