Rapport de sensibilisation à la sécurité SANS 2018 : les programmes de sensibilisation à la sécurité gagnent du terrain

Le niveau de maturité s'est amélioré, les plus grands obstacles sont maintenant les Finances et les Opérations.

SANS Security Awareness, le principal fournisseur de formation en matière de sensibilisation à la sécurité et une division du SANS Institute, a publié son rapport de sensibilisation à la sécurité 2018 intitulé Building Successful Security Awareness Programs (« Créer des programmes efficaces de sensibilisation à la sécurité »). Le rapport a constaté que, bien que le domaine de la sensibilisation à la sécurité soit encore très immature, plusieurs indices donnent à penser que les programmes de sensibilisation à la cybersécurité commencent à gagner du terrain parmi les entreprises. Par exemple, 85 % des personnes interrogées déclarent que leur travail a un impact positif sur la sécurité de leur organisation. De plus, 71 % s'identifient à l'étape « comportementale » ou plus dans le Security Awareness Maturity Model (« Modèle de maturité pour la sensibilisation à la sécurité »), en hausse par rapport aux 65 % rapportés en 2017. L'étude de cette année, avec des données provenant de plus de 1 718 personnes interrogées, s'est également penchée spécifiquement sur le niveau de maturité par industrie et sur la nature des plus grands obstacles au sein des organisations. 

Niveau de maturité
En collaboration avec des chercheurs du Kogod Cybersecurity Governance Center (KCGC) sur une initiative de l'université américaine Kogod School of Business (KSB), l'enquête a révélé que l'industrie de la défense est la plus mature, avec plus de 10 % au stade le plus élevé du Modèle de maturité pour la sensibilisation à la sécurité. L'industrie manufacturière a été signalée comme étant la moins mature, avec seulement 2 % à l'étape du Robust Metrix Framework. Alors que les rapports de 2017 (et 2016) sur la sensibilisation à la sécurité indiquaient que les services des communications étaient le principal obstacle à la réussite du programme, le rapport de 2018 indique que ce sont désormais les services des Finances et des opérations qui sont les principaux facteurs de blocage. Il suggère que les professionnels de la sensibilisation à la sécurité sont de mieux en mieux à même d'établir des passerelles entre leurs équipes de communication respectives.

« À la lumière des récentes violations importantes telles que celles subies par Equifax, Yahoo ! et l'attaque de rançongiciel de WannaCry sur le NHS, et compte tenu des nouvelles réglementations comme le Règlement général sur la protection des données (RGPD) de l'UE qui met l'accent sur la protection des données, un nouveau sentiment d'urgence en matière de cybersécurité est en train d'émerger qui suscite à la fois soutien et changement », a déclaré Lance Spitzner, directeur chez SANS Security Awarness. « La sensibilisation à la sécurité peut s'avérer difficile, mais c'est nécessaire et cela en vaut la peine », a-t-il poursuivi.

Manque de temps, de budget et de ressources
Le rapport fait aussi clairement apparaître les domaines dans lesquels peu de progrès ont été réalisés. De nombreux professionnels responsables de la mise en œuvre de leur programme de sensibilisation continuent d'être confrontés à un manque de temps, de budget et de ressources. De plus, la majorité des professionnels de la sensibilisation sont toujours issus d'une formation technique, avec moins de 20 % provenant de domaines non techniques tels que les communications, le marketing, le juridique ou les ressources humaines.

« Le rapport révèle qu'une nette majorité (80 %) des professionnels de la sensibilisation à la sécurité considèrent que leur programme de sensibilisation ne représente qu'une partie de leurs responsabilités professionnelles », déclare Dan DeBeaubien, directeur produit de SANS Security Awareness. « Beaucoup prétendent ne pas avoir de budget pour un programme de sensibilisation ou ne pas savoir quel est leur budget, et la plupart n'ont pas les compétences et/ou l'expérience nécessaires pour communiquer efficacement le programme aux employés et pour les impliquer activement ».

Sans Security Awareness Report
Le rapport de SANS Security Awareness a été élaboré pour permettre aux professionnels de la sensibilisation à la sécurité de prendre des décisions fondées sur des données quant à la manière d'améliorer leurs programmes de sensibilisation à la sécurité et de les comparer à d'autres programmes. En bref, son objectif vise à répondre de manière plus catégorique à la question de savoir ce qui contribue au succès des grands programmes de sensibilisation à la sécurité. Cette année, les données analysées auprès de plus de 1 718 personnes interrogées donnent une idée encore plus précise de la manière de comparer et de mettre au point un programme de sensibilisation à la sécurité.

Le rapport utilise le Security Awareness Maturity Model© comme guide pour identifier le niveau d'impact d'un programme au sein d'une organisation et la manière de mesurer le risque humain et de modifier le comportement de l'utilisateur final.

Pour une analyse plus détaillée et les mesures recommandées pour améliorer la sensibilisation à la sécurité, vous pouvez télécharger le Rapport de sensibilisation à la sécurité SANS 2018 ici.

À propos du SANS Institute
Le SANS Institute a été créé en 1989 comme centre de recherches et de formation coopératif. Le SANS est une institution de pointe, extrêmement bien positionnée au niveau mondial dans la formation et la certification en matière de cybersécurité des professionnels travaillant pour des organismes gouvernementaux et commerciaux. Les formateurs très réputés du SANS assurent plus d’une soixantaine de cours proposés sur plus de 200 événements de formation à la cybersécurité sur site ou en ligne. Le GIAC affilié au SANS Institute assure la validation de compétences professionnelles de plus de 30 certifications spécialisées et délivre des certifications techniques en matière de cybersécurité. Le SANS Technology Institute, une filiale indépendante régionale, propose des formations de niveau de master en cybersécurité. SANS constitue une ressource gratuite et très complète pour la communauté InfoSec, incluant des projets de concertation, des rapports de recherche ainsi que des bulletins d’information. Il exploite également l’Internet Storm Center, un système d’alerte précoce pour internet. Les membres du SANS sont des professionnels de la sécurité travaillant aussi bien pour des entreprises internationales que pour des institutions ou des universités. Tous ces acteurs travaillent en collaboration pour améliorer le travail de la communauté de la sécurité et de l’information. (www.SANS.org)

A propos de SANS Security Awareness
SANS Security Awareness, une division du SANS Institute, fournit aux organisations une solution complète et exhaustive de sensibilisation à la sécurité, leur permettant de gérer facilement et efficacement leur risque « humain » de cybersécurité. SANS Security Awareness a collaboré avec plus de 1

Contactez-nous
Ymke Deprez PR consultant, Evoke
Ymke Deprez PR consultant, Evoke
A propos de Evoke

Founded in 2011, Evoke is a communication agency specialized in public relations and content marketing. We get your story told. Whether through press relations, social media, websites, newsletters or print, our consultants make sure you and your message will reach your target audience.

Evoke
Witte Patersstraat 4
1040 Brussel