Permettre la cyber-résilience
Le rôle des dirigeants dans l'instauration d'une culture organisationnelle
Dans les années 1980, l'entreprise General Motors faisait face a une concurrence féroce de la part des fabricants automobiles japonais qui en un temps plus réduit parvenaient à produire des voitures qui consommaient moins et qui avaient moins de défauts. Pour surmonter ces difficultés, GM s'est engagée dans un partenariat avec Toyota dans le but d'ouvrir une usine de fabrication commune instaurant des techniques de gestion à la japonaise auprès de la main-d'œuvre américaine. Les cadres de direction essayaient de régler plusieurs problèmes contribuant au manque d'efficacité de la production que, toutefois il en est un pour lequel ils ont très rapidement constaté une amélioration, celui de la ponctualité des ouvriers.
Chez GM, avant que la collaboration ne soit mise en place, il existait un grave problème d'absentéisme. À l'inverse, chez Toyota, chaque ouvrier de la chaîne de production jouait un rôle essentiel et chaque seconde était comptée. En cas de retard d'un ouvrier, c'est l'ensemble de la chaîne qui était interrompue. Ainsi, lors de cette joint venture, ils ont introduit une nouveauté qu'ils voyaient comme un changement très simple : chaque ouvrier devait pointer et arriver à l'heure faute de quoi le retard était déduit du salaire.
Ce changement n'a toutefois pas été simple du tout à appliquer. Les ouvriers qui étaient habitués à des heures d'embauche très souples, sans obligations ni conséquences, ont dû changer de comportement du jour au lendemain. Ce que les dirigeants n'ont pas compris, c'est que les raisons de l'absentéisme chronique étaient diverses et variées, allant d'un profond manque de confiance dans la direction à la pression exercée par les autres pour qu'ils ne se conforment pas aux règles. Pour GM, ce qui n'était au départ qu'un changement de règle est soudainement devenu un exercice de transformation globale de la culture de l'organisation.
Les organisations peuvent dégager de nombreux enseignements de l'expérience du partenariat GM/Toyota. Les organisations qui cherchent à améliorer ou à modifier certains aspects de leur activité ne doivent pas se contenter d'évaluer les personnes, les processus et les technologies, elles doivent également s'intéresser à leurs valeurs fondamentales et à la culture qui oriente le comportement des employés. Le but de cet article est d'examiner le rôle que joue le leadership dans la création et, en fin de compte, la transformation des cultures, et les leçons qui peuvent en être tirées et appliquées aux efforts de changement de votre organisation pour la rendre plus cyber-résiliente.
Le rôle des dirigeants dans l'orientation du comportement organisationnel
Dans ma carrière, j'ai étudié l'influence de la direction dans la dynamique de l'organisation, que ce soit chez les géants traditionnels du gaz et du pétrole ou chez les start-ups en plein essor. Ces informations sont généralement utiles pour comprendre l'influence des dirigeants sur les résultats de l'entreprise ou sur l'engagement des employés.
Toutefois, au sein d'une entreprise, le leadership de la direction exerce des influences profondément ancrées et de portée considérable dans la manière dont les humains se comportent, entre faire les choses bien et vénérer la cupidité, ou donner la priorité au durable et à la production de masse et au consumérisme.
Le leadership peut se définir comme un ensemble de valeurs, comportements et dynamiques qui sont nécessaires pour mettre en œuvre la stratégie de l'entreprise. Si pour beaucoup le leadership fait simplement référence à des personnes au niveau exécutif de l'encadrement, on peut lui associer une définition plus large qui comprendrait les valeurs fondamentales de l'entreprise. Les entreprises définissent souvent le leadership selon un ensemble de compétences ou d'attributs qu'elles attendent de la part des dirigeants.
Les valeurs de l'entreprise sont souvent dictées par le secteur et les marchés dans lesquels elles interviennent. Les entreprises spécialisées dans le commerce sont fortement axées sur le client. Les entreprises qui se consacrent à la technologie accordent de la valeur à la rapidité et à l'innovation. Lorsqu'une entreprise a une idée bien claire de ce que sont ses valeurs, le leadership devient le moteur de la culture interne de l'entreprise grâce à l'influence de ses dirigeants. Ceux-ci transmettent la vision, modélisent les comportements, cimentent les valeurs de l'entreprise et prennent des décisions déterminantes pour l'avenir. Comme le fait remarquer Edgar Schein*, « Les dirigeants ne font pas qu'exercer une influence sur la culture ; ils en sont les premiers architectes. »
Que signifie cette remarque dans le contexte de la culture organisationnelle ? Schein définit judicieusement la culture organisationnelle comme « un schéma de pensée adopté par un groupe pendant la résolution d'un problème et qui est ensuite enseigné aux nouveaux membres du groupe comme étant la bonne façon d'envisager, de penser et de ressentir ces problèmes ». Ces schémas de pensée conduisent alors à certains comportements qui sont ensuite consolidés lorsqu'ils sont observés chez d'autres personnes du groupe.
Le modèle ci-dessous illustre à quel point ce qui est visible pour les autres (les comportements) comporte des racines et une signification beaucoup plus profondes pour une entreprise que le comportement en lui-même.
La façon dont vous percevez les choses et ce que vous en pensez finit par déterminer la façon dont vous vous comporterez et dont vous réagirez. C'est ainsi que la culture influence les comportements qui deviennent une seconde nature et sont difficiles à modifier.
Faire évoluer la culture de l'entreprise
Quels enseignements peut-on tirer de la manière dont General Motor a transformé la culture de l'entreprise ?
Un. Admettez que le changement de comportement ne passe pas uniquement par des interdits en matière de comportement. En observant en détail le comportement de l'absentéisme dans le cas de GM, il apparaît de manière évidente que les racines de ce comportement sont profondes et ce sont elles qu'il faut comprendre et traiter en premier. Si on ne commence pas par cela, les personnes risquent de finir par reprendre un jour leurs anciennes habitudes.
Deux. Trouvez un compromis lorsque des valeurs sont en oppositions. Il est utile d'observer jusqu'à quel point la culture de l'entreprise peut entrer en conflit avec les nouveaux comportements que l'entreprise souhaite inculquer. Imaginez que la culture de l'entreprise repose sur la vitesse, l'agilité et la devise « demander pardon, pas la permission ». Le fait de mettre en place encore plus de règles, procédures et bureaucratie ne pourrait-il pas sembler contraire à cette culture ?
Trois. Abordez le changement sous tous les angles. Cela signifie que l'entreprise doit faire évoluer à la fois les personnes mais également leur mode de pensée. En s'inspirant du modèle de l'iceberg, il conviendrait de distinguer les initiatives visant la partie émergée et celles visant la partie immergée :
Dans la partie émergée, les entreprises doivent être très précises sur le comportement que les collaborateurs doivent adopter et elles doivent leur en faire part clairement et régulièrement.
Dans la partie immergée, les entreprises doivent définir et instiller leurs valeurs fondamentales dans l'esprit des collaborateurs et c'est également ce que signifie être un dirigeant dans une entreprise.
De nombreuses entreprises s'intéressent à la première partie mais très peu à la deuxième.
Faire entrer la cybersécurité dans la culture
L'idée que la cybersécurité ne relève plus d'un service, mais d'une culture s'est désormais imposée.
Selon l'index des informations sur les menaces d'IBM Security, 95 % des violations de cybersécurité découlent d'erreurs humaines. Du fait de la nature complexe et imprévisible des humains, il est beaucoup plus difficile de répondre au facteur humain que de mettre en place des processus et des technologies.
C'est pourquoi la cyber-résilience ne peut être intégrée à la culture d'une entreprise qu'au prix d'un changement d'état d'esprit et de comportement. La liste ci-dessous regroupe huit idées conçues pour aider les dirigeants organisationnels à renforcer la cybersécurité en tant que culture. Ces idées s'appuient sur les principes essentiels qui ont permis à diverses initiatives de changement de la culture de réussir :
Vos dirigeants vous accompagnent ou vous freinent dans vos efforts de création d'une culture de la cybersécurité. Votre tâche se révèle infiniment plus difficile s'ils ne prennent pas ces efforts au sérieux, s'ils discréditent le message ou s'ils se prêtent à des comportements non sécurisés. Vos politiques n'en seront que plus efficaces si vous parvenez à faire en sorte que vos dirigeants saisissent toutes les occasions possibles pour évoquer la cybersécurité, notamment du fait de leur influence dans l'entreprise. Trouvez vos champions et collaborez étroitement avec eux afin d'en faire des ambassadeurs de vos idées.
Selon une célèbre citation, « ce qui peut être mesuré peut être amélioré ». Réfléchissez aux indicateurs autour de la cybersécurité qui peuvent être communiqués ouvertement au sein de l'entreprise et n'hésitez pas à les diffuser régulièrement, en les accompagnant d'exemples et d'anecdotes concrets.
Pour passer d'un schéma de pensée à un autre, tout le monde a besoin d'être guidé. Au moment de fixer les modalités de la formation, cherchez des options qui permettent aux participants de travailler sur des scénarios complexes, de discuter et de résoudre des dilemmes, et de ne pas se contenter de faire défiler les cours en ligne. D'après les études on ne retient que 10 % de ce qu'on entend, mais on retient 90 % de ce que l'on pratique.
Encouragez les dirigeants à raconter des histoires et des exemples de cyberincidents et de comportements humains qui y ont contribué, que ce soit en bien ou en mal. Les dirigeants doivent être en première ligne lors de chaque incident, pour en communiquer les résultats et pour être un modèle du comportement qu'ils attendent des autres. Voyez les réunions et assemblées plénières comme d'excellents forums pour évoquer ces histoires.
Faites en sorte de présenter les comportements de manière positive plus que négative. Des études de psychologie ont démontré que les comportements positifs, ou ceux qui sont présentés de manière positive, cadrent davantage avec une image positive de soi et sont donc beaucoup plus susceptibles d'être suivies (par exemple, présentation négative : « Ne faites pas ceci... » ou présentation positive : « Faites ceci... »).
Reconnaissez publiquement les collaborateurs qui signalent des menaces ou des vulnérabilités potentielles (surtout si la sécurité ne relève pas de leurs fonctions) et récompensez-les activement en insistant sur le fait que la cybersécurité relève de la responsabilité de tous.
Le recrutement constitue généralement un moment clé pour susciter l'adhésion et faire naître un sentiment d'appartenance. C'est également le moment idéal pour présenter la culture de l'entreprise. Les nouveaux collaborateurs peuvent être initiés à vos politiques et à vos directives en matière de cybersécurité dès le premier jour afin de leur permettre de prendre conscience de leur importance et de mieux comprendre les comportements attendus.
Réfléchissez à la manière dont vous pouvez évaluer les connaissances et les bonnes pratiques en matière de cybersécurité au cours du processus de recrutement. Les dirigeants qui arrivent dans l'entreprise en étant déjà fortement sensibilisés aux risques favoriseront également les comportements appropriés au sein de leurs équipes.
Depuis que je travaille chez Cloudflare, j'ai pu constater par moi-même dans quelle mesure ces principes ont une incidence sur une organisation. Prenons l'exemple de la formation. J'ai entendu des histoires horribles de la part de collègues qui prévoyaient du temps avec des cadres pour rester à leur côté tandis qu'ils suivaient la formation annuelle de sensibilisation à la sécurité. Chez Cloudflare cependant, nos cadres sont généralement les premiers à suivre la formation. Montrer l'exemple de cette manière si simple contribue à l'efficacité des politiques.
Repenser la culture organisationnelle
Le changement met du temps à prendre racine. Si le partenariat GM/Toyota s'est d'abord heurté à quelques obstacles, un grand nombre des modifications apportées à la culture de l'organisation ont fini par porter leurs fruits et conduire à des répercussions positives.
Le fait que GM n'ait pas capitulé malgré les premières difficultés doit servir de leçon positive aux RSSI qui pourraient se sentir découragés ou frustrés. Si les comportements étaient faciles à faire évoluer, leur travail serait beaucoup plus simple (et pour être honnête, le mien aussi). En ce qui concerne l'aspect humain de la cybersécurité, ne vous contentez pas de ce qui se voit en surface et tâchez de vous intéresser aux valeurs situées au cœur de l'entreprise.
Cloudflare a fait de la cybersécurité une de ses valeurs fondamentales. Nous invitons et encourageons ainsi tous nos membres, aussi bien les dirigeants que les collaborateurs, à prendre part à la culture de la sécurité. Comme nous avons déjà mis en place les processus et la technologie, nos dirigeants peuvent se concentrer sur l'aspect humain et se saisir des opportunités offertes par la cyber-résilience.
Cet article fait partie de notre série consacrée aux nouvelles tendances et évolutions susceptibles d'affecter les décideurs en matière de technologies d'aujourd'hui.
*Schein, E.H. (2010). Organizational Culture and Leadership
Auteur
Xiaolu Coenen — @xiaolucoenen
Responsable du Global Leadership Development, Cloudflare
Points clés
Cet article vous permettra de mieux comprendre les points suivants :
Comment aborder la question des personnes dans la gestion du changement organisationnel
Le rôle des dirigeants dans la transformation des mentalités et des comportements pour parvenir au changement
8 idées pour renforcer la culture de la cyberrésilience
Ressources associées
La transformation de la cybersécurité commence en conseil d'administration
Adopter le changement : les mesures pratiques que peuvent prendre les dirigeants