Vade (groupe Hornetsecurity) publie une étude dédiée à la sensibilisation à la cybersécurité

juin 2024 par Vade (groupe Hornetsecurity)

L’enquête, qui a compilé les commentaires de plusieurs dizaines d’entités réparties dans le monde entier, révèle également que moins d’une entreprise sur 13 (8 %) propose une formation sur mesure et évolutive, qui s’adapte aux besoins réels des employés en se basant sur des tests de sécurité réguliers. Dans un paysage des menaces en constante évolution, où les acteurs malveillants conçoivent chaque jour de nouveaux moyens de s’infiltrer et de nuire, cette question est centrale pour les entreprises.

Engagement et efficacité de la formation

En matière de stratégie de cybersécurité, les personnes physiques devraient être en première ligne des priorités de chaque entreprise. Le type de cyberattaque le plus répandu est en effet l’hameçonnage, qui table sur la mise en confiance d’une personne. Les employés doivent donc acquérir des compétences et un bon niveau de compréhension et de confiance, qui leur seront nécessaires pour repérer les comportements malveillants. Malheureusement, l’enquête a révélé que non seulement, le manque de formation persiste, mais que les dispositifs de formation sont souvent inefficaces. Près d’un tiers (31 %) des personnes interrogées ont par exemple déclaré que leur formation n’était pas ou peu engageante.

Malgré ces faibles taux d’engagement, 79 % des entreprises estiment que leur formation de sensibilisation à la sécurité informatique est à minima modérément efficace pour lutter contre les cybermenaces. Toutefois, près de quatre entreprises sur dix (39 %) ont déclaré que la formation choisie ne couvrait pas suffisamment les cybermenaces récentes ou alimentées par l’IA. Dans un monde où l’IA accélère et augmente l’ampleur des attaques, ce constat est alarmant.

Daniel Blank, COO de Hornetsecurity, déclare : « Notre toute dernière étude montre un décalage évident entre l’efficacité perçue de la formation à la sécurité et son degré de pertinence et de réactivité réelles face aux cybermenaces modernes, en particulier considérant le récent essor des attaques pilotées par l’IA. Les employés doivent pouvoir bénéficier d’une formation continue pour renforcer toute défense technique et servir de pare-feu humain efficace. Le format en continu et sur mesure est essentiel pour que la formation ait le plus d’impact possible. Certes, il est important d’investir dans les dernières technologies de cybersécurité, mais une véritable culture de sécurité, efficace et durable implique d’investir également dans les personnes. »

Adaptations post-incident et lacunes dans les rapports

L’enquête a également révélé qu’une entreprise sur quatre avait subi une violation ou un incident de cybersécurité, dont 23 % au cours de l’année écoulée. Notamment, 94 % des entreprises interrogées ont pris des mesures pour renforcer leur sécurité en mettant en place des contrôles supplémentaires après incident. Cependant, malgré ces efforts, 52 % des professionnels interrogés au sein de ces entreprises ont noté que les utilisateurs finaux ignorent voire suppriment souvent les menaces identifiées par courrier électronique sans les signaler, et que 38 % oublient le contenu de la formation, ce qui rappelle la nécessité de rendre la formation plus attractive et de la proposer en continu.

L’enquête a montré que les personnels sont particulièrement intéressés par des ressources accessibles post-formation plus efficaces, qui pourraient les aider à retenir et à appliquer les mesures de sécurité apprises. Un autre domaine à améliorer est le retour d’information sur les menaces : 28 % des personnes interrogées indiquent que l’absence de retour d’information est la raison pour laquelle elles n’adhèrent pas aux protocoles de formation.

Le besoin d’une formation actualisée

45 % des décideurs informatiques estiment que leurs programmes de formation actuels sont obsolètes et inefficaces face aux attaques de l’IA. Ce sentiment est partagé par 39 % des personnes interrogées en général, ce qui montre qu’il existe un besoin critique de contenus de formation à la fois actuels et complets.

Daniel Blank ajoute : « Il est impératif que les entreprises fournissent non seulement des formations régulières, engageantes et évolutives, mais aussi qu’elles s’assurent que ces programmes traitent en profondeur des cybermenaces les plus récentes et les plus sophistiquées. C’est pourquoi nous avons développé Hornetsecurity Security Awareness Service, une solution nouvelle génération qui fournit de manière automatisée le bon dosage de formation personnalisée par employé. De cette façon, les entreprises peuvent délivrer le bon niveau de formation continue, sans épuiser les ressources informatiques nécessaires pour la mettre en place et la dispenser.

Daniel Blank a insisté sur le fait que "la proactivité est essentielle : "La proactivité est essentielle : au lieu de se renforcer après les incidents, les entreprises devraient anticiper les attaques et mettre en place des systèmes et des processus solides en amont. Cela permet d’économiser beaucoup de temps, d’efforts et d’argent".

Cyber-assurance et mesures préventives

Plus de la moitié des entreprises interrogées (56 %) ont désormais recours à la cyber-assurance, ce qui indique une dépendance croissante à l’égard des garanties financières contre les cyber-incidents. En outre, 79 % des entreprises attribuent la prévention des incidents de cybersécurité directement à leurs programmes de formation à la sécurité informatique, tandis que 92 % reconnaissent que la formation a permis aux utilisateurs finaux de repérer les menaces de sécurité sur différents supports, et pas uniquement depuis leur courrier électronique.