Discussion :

[Michael Guilloux]

La sensibilisation et la formation des employés à la sécurité permettent de réduire le risque de l'entreprise, jusqu'à 70% selon une étude

Une nouvelle étude de Wombat Security Technologies et du Groupe Aberdeen a montré un meilleur moyen de réduire le risque de l'entreprise : sensibiliser et former les employés aux pratiques de sécurité.

Alors que les entreprises emploient un éventail de technologies sophistiquées pour lutter contre les risques de sécurité, les chercheurs déclarent que le maillon le plus faible reste l'employé assis devant l'écran. Ils montrent, grâce à un modèle économétrique de Monte Carlo, que le changement du comportement de ce dernier pour mieux réagir aux cyber-menaces via les médias sociaux, le phishing et autres vecteurs d'attaques populaires peut réduire le risque d'une organisation jusqu'à 70%.

Le rapport constate que les nombreux contrôles et mesures de protection qui sont mis en place ne permettent pas de réduire considérablement le risque dès lors que l'employé n'est pas inclus dans le programme. Ils expliquent que les incidents de sécurité signalés résultent de l'action des salariés de l'entreprise, et les investissements dans la formation et la sensibilisation à la sécurité peuvent aider les entreprises à combler l'écart en matière de sécurité.

« Il est important pour les équipes de sécurité de communiquer clairement sur les risques que les organisations acceptent quand la réaction de leurs employés aux menaces cybernétiques n'est pas abordée », dit Derek Brink, vice-président et chargé de recherche pour Aberdeen Group, au Harte Hanks. « Alors que les divulgations publiques des derniers mois ont fourni quelques exemples surprenants sur ce qui peut arriver quand la sensibilisation et la formation en sécurité sont ignorées, Aberdeen et Wombat ont développé ce modèle pour répondre à la question la plus fondamentale et logique que les équipes de sécurité peinent souvent à aborder : Comment un investissement dans le changement de comportement de l'utilisateur final grâce à des solutions de formation de sécurité novatrices réduit-il le risque de l'organisation ?»

Les résultats montrent que l'investissement dans la sensibilisation et la formation des utilisateurs est efficace pour modifier les comportements et réduit mesurablement les risques liés à la sécurité de 45 à 70%. Le rapport estime également que pour une organisation avec 200 millions de dollars de chiffre d'affaires annuel, il y a une probabilité de 80% que les comportements à risques des employés entraînent des coûts totaux de 2,5 millions de dollars, avec une chance de 20% de dépasser 8 millions de dollars.

Source : Rapport téléchargeable sur le site de Wombat Security Technologies

Et vous ?

Qu’en pensez-vous ?

[JayGr]

Bonjour,

Je suis d'accord, et je dirais même que c'est l'éternel combat du domaine de la sécurité informatique : la prise de conscience des utilisateurs "lambda".
Les événements que nous vivons depuis quelques temps (failles en tout genre, infection de Sony, defacement en France, ..) jouent en notre faveur.
La communication et la sensibilisation nous permettrons au fil du temps d'améliorer notre sécurité...

Une bonne étude, mais ce n'est pas la première qui fait ressortir ce sujet.

@+

[Saverok]

La plus grande faille de sécurité se trouve entre la chaise et le clavier
Former les utilisateurs aux gestes de sécu est essentiel
Car non seulement cela permet de faire de la pédagogie et les mesures de sécurité, parfois contraignante, seront mieux acceptées car mieux comprise mais en plus, on aura beau mettre des firewalls, combler toutes les failles de sécu, etc, etc. Si l'utilisateur utilise le même mot de passe pourri partout, techniquement, on ne pourra rien faire