Les résultats du « Security Awareness Report » du SANS Institute met en évidence les principaux défis auxquels sont confrontés les formateurs pour mener à bien leur mission de sensibilisation des employés à la sécurité informatique.
SANS Institute, organisme reconnu dans le domaine de la formation et la recherche dédiée à la sécurité des systèmes d’information, publie les résultats de la troisième édition de son rapport « « Security Awareness Report » dédié à identifier les clés du succès et les freins aux programmes de sensibilisation à la sécurité informatique en entreprise.
« Il est important qu’un programme de sensibilisation à la sécurité soit mené dans de bonnes conditions pour être efficace », précise Lance Spitzner, Directeur, SANS Securing The Human. « La sensibilisation et la formation des employés sont aujourd’hui un maillon essentiel pour garantir la sécurité des systèmes d’information, chaque employé devenant un maillon essentiel dans la posture de défense de son entreprise face aux attaques extérieures, mais également pour éviter les erreurs internes susceptibles d’être exploitées par des cybercriminels. L’objectif de notre rapport est donc de permettre aux entreprises de mieux identifier les facteurs qui contribuent au succès ou au contraire à l’échec d’un programme de formation et de prendre les décisions qui permettront à leurs employés d’adopter les bons comportements. »
Parmi les résultats significatifs :
Si 7,6 % des entreprises n’ont toujours aucun programme de sensibilisation, il est encourageant de constater que plus de la moitié des répondants (54,6 %) ont mis en place des programmes destinés à sensibiliser et faire changer les comportements, 9,8 % ayant optés pour des programmes sur le long terme et durables.
La communication (15,98 %) et l’adhésion (l’engagement) des employés (14,29 %) sont les deux premiers principaux défis auxquels sont confrontés les entreprises. Ils sont étroitement liés puisqu’une mauvaise communication ne trouvera que peu d’écho chez les employés.
Concernant la communication, une majorité écrasante des professionnels dédiés à la sensibilisation (80 %) provient d’un cursus technique. Moins de 8 % ont des compétences générales telles que la communication, le marketing, la formation ou les ressources humaines.
La ressource « temps » représente un défi conséquent pour 13,44 % des répondants. Ainsi, seuls 8 % des professionnels dédiés à la sensibilisation s’y consacrent à plein temps. Pire, 75 % des professionnels dédiés à la sensibilisation n’y consacrent que 25 % ou moins de leur temps.
Le budget n’est pas LE problème. Seules 5,94 % des personnes en charge de la sensibilisation pensent que le budget est un frein.
30 % des professionnels dédiés à la sensibilisation sont des femmes (58 % chez les professionnels qui s’y consacrent à plein temps). Si le chiffre reste perfectible pour obtenir une égalité de 50/50, c’est l’un des secteurs de la cybersécurité où les femmes sont les plus présentes.
« Il n’est pas simple de faire évoluer les comportements et mener un programme de sensibilisation est donc un exercice difficile », commente Lance Spitzner, Directeur, SANS Securing The Human. « Employer un langage trop technique, ne pas y consacrer suffisamment de temps ou avec des formateurs qui ne sont pas adaptés à la cible sont autant de points qui peuvent nuire à l’efficacité d’un programme. Notre rapport permet d’identifier tous les facteurs pouvant être améliorés et les recommandations pour que les entreprises, les employés mais aussi les professionnels dédiés à la sensibilisation travaillent de manière à ce que l’action mise en œuvre soit profitable à tous. »
En tant que spécialiste de la formation, le SANS Institute est le premier à tirer profit des enseignements de ce rapport. La division Securing The Human du SANS Institute fournit aux entreprises un ensemble complet de solutions de sensibilisation à la sécurité afin de leur permettre de mieux gérer le facteur risque humain. Disponibles dans le monde entier, dans plus de 20 langues, les contenus et formations Securing The Human sont dispensées par des experts reconnus de la cybersécurité. Le programme de sensibilisation à la sécurité « SANS Security Awareness Training » a été nommé Leader pour la 2ème année consécutive dans le Magic Quadrant Security Awareness Computer-Based Training Vendors du Gartner.