Les formations en matière de sécurité ont peu d'effet sur la réduction des erreurs humaines
Les formations de sensibilisation à la sécurité et les simulations de phishing auraient peu d'effet sur la réduction des erreurs humaines, selon la Cyentia Institute
Selon un nouveau rapport, les techniques traditionnelles telles que les formations de sensibilisation à la sécurité et les simulations de phishing ont un impact limité sur l'amélioration des pratiques de cybersécurité des employés dans le monde réel.
L'étude, préparée par la Cyentia Institute, utilise les données agrégées de 114 000 utilisateurs d'Elevate Security Platform au cours des trois dernières années, en examinant les données relatives aux logiciels malveillants, au phishing, à la sécurité des e-mails et à d'autres attaques dans le monde réel.
Le rapport révèle que si la formation à la sécurité entraîne une légère baisse du taux de clics sur les simulations de phishing chez les utilisateurs, elle n'a aucun effet significatif au niveau de l'organisation ou lors d'attaques réelles. De plus, une augmentation des simulations et des formations peut s'avérer contre-productive, le rapport révélant que les utilisateurs ayant suivi cinq sessions de formation ou plus sont en fait plus susceptibles de cliquer sur un lien de phishing que ceux qui ont reçu peu ou pas de formation. 11,2 % des utilisateurs qui n'ont suivi qu'une seule session de formation ont cliqué sur un lien de phishing, alors que 14,2 % de ceux qui ont suivi cinq sessions de formation ont cliqué sur le lien.
"Avec près de deux tiers des violations de données liées au risque humain, nous avons cherché à vraiment comprendre la cause profonde : l'erreur humaine, qui a longtemps été considérée comme l'un des plus longs problèmes non résolus de la cybersécurité", déclare Masha Sedova, cofondatrice et chef de produit d'Elevate Security. "Les données ont révélé de manière concluante que les formations traditionnelles de sensibilisation à la sécurité et les exercices de phishing simulé ont peu d'effet sur la protection de l'organisation. Ces programmes à taille unique répondent aux besoins de conformité et d'audit, mais ne parviennent pas à réduire réellement les risques."
Il semble que la formation et la simulation aient un effet limité sur le comportement à risque des utilisateurs individuels, mais il n'y a pas de changement significatif dans l'exposition au risque au niveau de l'organisation. Les simulations de phishing, par exemple, n'entraînent que six pour cent d'utilisateurs accrochés. Sur plusieurs simulations, ces signes encourageants commencent à s'estomper, puisque 40 % des utilisateurs se laissent prendre à l'hameçon et que deux tiers des services se font avoir.
Il est intéressant de noter que les utilisateurs disposant d'un gestionnaire de mots de passe actif sont 19 fois moins susceptibles de télécharger ou d'exécuter des logiciels malveillants que ceux qui n'en ont pas. Il se pourrait qu'un bon comportement dans un domaine entraîne un bon comportement ailleurs. Par ailleurs, les personnes situées en haut de l'organigramme sont plus susceptibles de disposer de gestionnaires de mots de passe, puisque près de 30 % des dirigeants en utilisent, contre 20 % des employés.
Source : Elevate Security Platform
Et vous ?
Trouvez-vous que les résultats de cette étude sont pertinents ou pas ?
Voir aussi :
Répondre avec citation
Pour diablement plus efficace . 
Partager