« Managing Human Risk » : conclusions du SANS 2023 Security Awareness Report®
Un rapport riche en analyses et en actions fondées sur des données pour les professionnels de la sécurité
Le 8 août 2023 – Avec l’aide de l’IA, les attaques de phishing, vishing et smishing augmentent en fréquence et en sophistication. Dans ce contexte, il n’a jamais été aussi important de comprendre et de gérer les cyberrisques humains. C’est ce que conclut le SANS Institute, leader mondial des formations en cybersécurité, à l’occasion de la publication du SANS 2023 Security Awareness Report®, intitulé Managing Human Risk. Le rapport, qui s’appuie sur les expériences de près de 2.000 participants de 80 pays, souligne les enjeux croissants des cyberrisques humains – surtout quand on sait qu’en 2022, 20 % des organisations mondiales ont signalé des incidents de sécurité avec leurs télétravailleurs.
« Le monde digital s’étend à grande vitesse, ce qui accroît l’importance du facteur humain de la cybersécurité, à mesure que celui-ci s’impose comme une cible majeure des cybermenaces mondiales », souligne Lance Spitzner, SANS Security Awareness Director et co-auteur du rapport. « Le rapport doit servir de boussole aux entreprises, pour les aider non seulement à comprendre les cyberrisques humains, mais aussi à gérer ces risques de manière proactive. En rassemblant des données de milliers de participants du monde entier, nous avons mis à jour des schémas et des approches pratiques qui pourront aider les organisations à transformer leur paysage des risques humains.
Le rapport fournit une analyse approfondie et des mesures concrètes, qui aideront les professionnels de la sécurité à progresser, à affiner leurs programmes de sensibilisation et à assurer le benchmarking mondial de leurs programmes à l’aide du Security Awareness Maturity Model®.
Principales conclusions
Risques humains majeures : les principales menaces comprennent les attaques de phishing, vishing et smishing ; les risques d’authentification et ceux liés aux mots de passe (malgré les outils avancés existants) ; le défi d’encourager une culture de sécurité en vue d’une détection/d’un reporting efficace ; et le risque de configurations erronées par les gestionnaires IT, surtout dans des environnements cloud complexes.
Vision de la direction : comme les années précédentes, la sensibilisation à la sécurité reste largement envisagée comme une tâche à temps partiel au sein des organisations. Pas moins de 70 % des experts en sensibilisation à la sécurité déclarent y avoir consacré la moitié ou moins de leur temps de travail en 2023. Ce résultat pointe une fois de plus le défi persistant qui consiste à souligner l’importance d’une sensibilisation continue et quotidienne à la sécurité dans les opérations quotidiennes des organisations.
Rémunération : pour la première fois, nos données révèlent que les professionnels spécialisés en gestion du risque humain gagnent jusqu’à 5 % de plus que leurs collègues employés dans des fonctions de sécurité plus larges. Il en ressort que ces compétences sont de plus en plus demandées et valorisées par le secteur.
Actions importantes pour favoriser la réussite du programme
Nommer le risque humain : souvent, les dirigeants et les équipes de sécurité ne voient pas la sensibilisation à la sécurité comme une composante de la sécurité, mais plutôt comme un effort de conformité sans véritable rapport avec la gestion du risque humain. Mieux vaut donc utiliser le terme de human risk management qui répond davantage aux priorités de sécurité stratégiques de l’entreprise et rencontrera plus d’écho au sein de la direction et de l’équipe de sécurité. Aidez cette dernière à comprendre la nature de l’aide que vous lui apportez et collaborez avec ses membres pour identifier les principaux risques humains, ainsi que les comportements clés pour maîtriser ces risques. Montrez à quel point une communication efficace, des formations et l’implication de chacun peuvent modifier ce comportement et réduire les risques. Collaborez avec le Security Operations Center et les équipes Incident Response et Cyber Threat Intelligence, non seulement pour vous familiariser avec leur travail, mais aussi pour leur montrer que vous pouvez les aider à relever leurs défis en matière de risques humains.
Soutien des dirigeants : consacrez deux à quatre heures par mois à la collecte de données sur l’impact et la valeur de votre programme de sensibilisation à la sécurité, et communiquez-les à la direction. Il peut s’agir d’indicateurs informels, de KPI ordinaires et même de success stories. Grâce à ces éléments, la direction comprendra mieux et constatera régulièrement la valeur de votre programme.
Taille de l’équipe : si la sécurité technique a toujours été une préoccupation majeure des organisations, le côté humain de la sécurité a souvent été négligé. Ce déséquilibre fait du personnel une cible de choix des cyberattaques. Il n’est pas rare de voir une équipe de sécurité de 50 membres, dont 49 se consacrent à la technologie et seulement un aux risques humains. Ce sous-investissement contribue à la prolifération des cyberrisques humains. Pour combler cet écart, nous recommandons de commencer par un rapport de 10:1 entre experts en sécurité technique et experts en sécurité humaine.
« Dans le contexte actuel des cybermenaces, le modèle traditionnel des formations annuelles ciblant la conformité ne tient plus. C’est pourquoi notre rapport regorge de conseils pratiques, immédiatement applicables », poursuit Lance Spitzner. « De la gestion des principaux risques humains, comme le phishing par e-mail, au défi classique consistant à libérer les ressources et le budget nécessaires, notre objectif est double : doter les entreprises des outils nécessaires pour améliorer leurs stratégies de gestion du risque humain et les aider à investir de manière proactive dans du personnel, des ressources et des outils, qui leur permettront de s’attaquer de manière approfondie à la dimension humaine des cybermenaces. »
Cliquez ici pour lire l’intégralité du SANS 2023 Security Awareness Report® et pour évaluer votre programme à l’aune des normes du secteur.
À propos du SANS Institute
Le SANS Institute, organisme coopératif de recherche et d’éducation, a été créé en 1989. Aujourd’hui, SANS est le fournisseur le plus fiable et de loin le plus important de formation et de certification en cybersécurité pour les professionnels des institutions gouvernementales et commerciales du monde entier. Des formateurs SANS de renom dispensent plus de 60 cours lors d’événements de cybersécurité en personne et virtuels, ainsi que sur la plateforme OnDemand.
Le GIAC, affilié à l’institut SANS, valide les compétences des praticiens par plus de 35 certifications pratiques et techniques en cybersécurité. Le SANS Technology Institute, une filiale indépendante accréditée au niveau régional, offre des diplômes de Master et de licence, des certificats d’études supérieures et un certificat de premier cycle en cybersécurité. SANS Security Awareness, une division de SANS, fournit aux organisations une solution complète de sensibilisation à la sécurité, leur permettant de gérer leur risque « humain » de cybersécurité de manière simple et efficace. SANS fournit également de nombreuses ressources gratuites à la communauté InfoSec, y compris des projets de consensus, des rapports de recherche, des webcasts, des podcasts et des bulletins d’information. L’organisation exploite également le système d’alerte précoce d’Internet, baptisé « Internet Storm Center ».
SANS est centrée sur les nombreux professionnels de la sécurité, représentant diverses organisations internationales, des entreprises aux universités, qui œuvrent ensemble pour soutenir et éduquer la communauté mondiale de la sécurité de l’information.
Paul Geens