Le retour sur investissement de la formation à la sensibilisation à la sécurité

Les solutions de sécurité technologiques telles que les pare-feu, les solutions de détection et de réponse aux points d'accès, les passerelles de messagerie sécurisées, les antivirus de bureau, les logiciels malveillants basés sur le cloud et le filtrage du spam sont des éléments essentiels d'une infrastructure de sécurité. Cependant, trop de décideurs négligent un autre élément important qui est nécessaire pour assurer la sécurité des réseaux, des données, des applications et des ressources financières : les êtres humains qui interagissent avec eux.

La formation à la sensibilisation à la sécurité est conçue pour renforcer la capacité des utilisateurs à reconnaître les menaces telles que les tentatives de phishing, les demandes inhabituelles qui prétendent provenir du PDG de leur entreprise, les publicités malveillantes sur les pages Web et une multitude d'autres menaces conçues pour inciter les utilisateurs à faire quelque chose qui peut faire des ravages au sein d'une organisation. Les utilisateurs bien formés aux questions de sécurité seront plus sceptiques et plus prudents lorsqu'ils ouvriront des e-mails, cliqueront sur des liens de réseaux sociaux ou visiteront des pages Web sans d'abord vérifier s'il existe des indices sur leur validité.

Ce livre blanc examine les résultats d'une enquête approfondie menée auprès d'organisations par Osterman Research en mai et juin 2019. Ce document examine la justification financière du déploiement d'un programme de formation robuste en matière de sensibilisation à la sécurité et démontre le retour sur investissement (ROI) important qui peut en résulter.

Voir aussi : Planification des lacunes d'Office 365

Principaux enseignements de la recherche d’Osterman

Les décideurs en matière de sécurité sont préoccupés par un large éventail de problèmes

L’étude révèle que les décideurs et les influenceurs sont préoccupés par un large éventail de problèmes de sécurité, notamment les attaques de phishing, les logiciels malveillants (y compris les ransomwares) et les violations de données sensibles ou confidentielles. Les grandes organisations ont tendance à être plus préoccupées par ces problèmes que les petites.
Les budgets de sécurité augmentent

Dans la grande majorité des organisations, les budgets consacrés à la sécurité ont augmenté au fil du temps. Il est intéressant de noter que dans de nombreuses organisations, une part relativement faible du budget total de sécurité est consacrée aux technologies anti-phishing, bien que le phishing soit considéré comme la principale préoccupation globale.

Mais les budgets consacrés à la formation à la sensibilisation à la sécurité augmentent encore plus vite

Par employé et par utilisateur de messagerie, les budgets de sensibilisation à la sécurité augmentent à un rythme nettement plus rapide que les budgets de sécurité globaux. La croissance de ces budgets coïncide avec une augmentation significative du nombre de minutes mensuelles de formation à la sensibilisation à la sécurité que reçoivent les utilisateurs, passant d'une moyenne de 17,6 minutes à la mi-2018 à 26,0 minutes prévues d'ici la mi-2020.

Les décideurs considèrent toujours les solutions technologiques comme supérieures

Nous avons constaté que pour les attaques de phishing et de compromission de courrier électronique professionnel (BEC), les décideurs considèrent généralement la formation comme un meilleur moyen de faire face à ces menaces. Cependant, pour d'autres types de menaces de sécurité, les solutions technologiques sont généralement considérées comme supérieures à la formation à la sensibilisation à la sécurité.

La plupart des utilisateurs ne reçoivent pas suffisamment de formation

Près d'un tiers des utilisateurs reçoivent une formation environ une fois par an, voire moins souvent. 29 % reçoivent une formation de sensibilisation à la sécurité seulement deux à trois fois par an. Seuls 39 % des utilisateurs reçoivent une formation trimestrielle ou plus souvent.

La formation améliore considérablement la capacité des utilisateurs à reconnaître les menaces

Avant la formation à la sensibilisation à la sécurité, les équipes informatiques et de sécurité avaient relativement peu confiance dans la capacité de leurs utilisateurs à reconnaître les différents types de menaces. Cependant, après la formation, le niveau de confiance des utilisateurs dans leurs connaissances et leurs capacités augmente considérablement, jusqu'à trois fois dans certains cas.

Téléchargez ce livre blanc, sponsorisé par Mimecast et basé sur une étude menée par Osterman Research. Apprenez-en plus sur la formation à la sensibilisation à la sécurité et sur la manière dont les entreprises gèrent les menaces de sécurité.