SANS Security Awareness Report 2022 : Le facteur humain demeure le plus grand danger pour la cybersécurité de votre organisation
Découvrez la marche à suivre pour faire évoluer vos programmes de sensibilisation à la sécurité et comparez votre programme à des points de référence mondiaux
Bruxelles, le 15 juillet 2022 - Avec un nombre sans précédent d’employés travaillant désormais dans des environnements hybrides ou de télétravail complet, aggravés par une augmentation de cybermenaces et une main d'œuvre plus débordée et fatiguée par les informations Covid-19, il n’y a jamais eu de moment plus critique pour créer et maintenir efficacement une main d'œuvre cybersécurisée et une culture de sécurité engagée.
« Les personnes sont devenues le principal vecteur d'attaque pour les cybercriminels du monde entier, » a déclaré Lance Spitzner, directeur de la sensibilisation à la sécurité de SANS et co-auteur du rapport. « Plutôt que la technologie, ce sont les humains qui représentent le risque le plus important pour les organisations. Les professionnels qui supervisent des programmes de sensibilisation à la sécurité sont la clé pour gérer ce risque de manière efficace. »
Après avoir analysé les données de plus de 1 000 professionnels de la sensibilisation à la sécurité dans le monde, SANS Security Awareness, leader mondial de la formation sur la sensibilisation à la sécurité, a publié son septième rapport SANS sur la sensibilisation à la sécurité annuel. Le rapport de 2022 établit des points de référence mondiaux actualisés sur la manière dont les organisations gèrent leur facteur humain et fournit une marche à suivre pour apporter des améliorations avec des mesures clés dans la Matrice des indicateurs du modèle de maturité de la sensibilisation à la sécurité permettant de mesurer les progrès.
« Les programmes de sensibilisation permettent aux équipes de sécurité de gérer efficacement leur facteur humain en changeant la perception de la cybersécurité et en promouvant les comportements sûrs, depuis le conseil d'administration jusqu’aux échelons inférieurs », a expliqué Spitzner. « Ce rapport permet aux professionnels de la sensibilisation à la sécurité de prendre des décisions fondées sur des données quant à la meilleure façon de sécuriser leurs effectifs et de parler des risques aux dirigeants d’une manière convaincante qui démontre la valeur de leurs priorités stratégiques ainsi que le soutien dont elles bénéficient. »
Principales conclusions :
- Main d'œuvre : Plus de 69 % des professionnels de la sensibilisation à la sécurité passent moins de la moitié de leur temps à la sensibilisation. Les données montrent que les responsabilités de la sensibilisation à la sécurité sont le plus souvent confiées à des personnes ayant une formation très technique, qui peuvent ne pas avoir les compétences nécessaires pour engager efficacement leur personnel dans des termes simples à comprendre.
- Rémunération dans le monde : Les professionnels de la sensibilisation à la sécurité en Australie/Nouvelle-Zélande ont la rémunération annuelle moyenne la plus élevée (121 236 $), tandis que l’Amérique du Sud ont la plus faible (56 960 $). Les salaires dans la région EMEA se situent entre les deux, avec une moyenne de 84 656 $ par an. En Amérique du Nord, plus le niveau de maturité du programme de sensibilisation à la sécurité d’une organisation est élevé, plus le salaire des professionnels de la sensibilisation qui y travaillent est élevé.
- Principaux défis signalés : Les trois principaux défis signalés pour la mise en place d’un programme de sensibilisation à la sécurité sont tous liés à un manque de temps ; notamment le manque de temps pour la gestion de projet, les limites du temps de formation pour impliquer les employés et un manque de personnel.
- Conséquences de la pandémie : Les deux principales conséquences signalées étaient le défi d’une main d'œuvre plus distraite et débordée et un environnement de travail où les cyberattaques d’origine humaine sont devenues plus fréquentes et plus efficaces.
- Maturité des programmes par région : Dans toutes les régions du monde, les niveaux de maturité les plus courants des programmes actuels sont axés sur la conformité et la sensibilisation/le changement de comportement.Indicateurs de réussite des programmes : Un soutien fort de la part des dirigeants, une augmentation de la taille de l'équipe et des formations plus fréquentes sont les principaux facteurs de réussite du programme.
Mesures à prendre pour accroître la réussite des programmes :
- Mesures à prendre pour accroître le soutien des dirigeants : Une des meilleures façons d'accroître le soutien des dirigeants est de parler en termes de gestion des risques, et non de conformité, et d’expliquer POURQUOI vous faites quelque chose, et non pas CE QUE vous faites. De plus, il faut créer un sentiment d’urgence en utilisant les données et communiquer des valeurs en démontrant un alignement avec les priorités des dirigeants.
- Mesures à prendre pour accroître la taille des équipes : Il a été recommandé de documenter et comparer combien de personnes dans l'équipe de sécurité se concentrent sur la technologie par rapport au nombre qui se concentrent sur le facteur humain, de créer un document pour expliquer en détails les besoins en personnel, et de développer des partenariats avec les départements clés qui peuvent aider à développer des moyens de communiquer la valeur du programme.
- Mesures à prendre pour accroître la fréquence des formations : Il est recommandé aux organisations de communiquer et d'interagir avec leurs effectifs ou d'organiser des formations au moins une fois par mois. Maintenir une formation simple et facile à suivre était la clé pour accroître les opportunités d’impliquer et d’entraîner sa main d'œuvre.
« Les programmes de sensibilisation à la sécurité les plus matures changent non seulement le comportement et la culture des effectifs,mais ils mesurent et démontrent également leur valeur à diriger via un cadre de mesures, » a continué Spitzner. « Les organisations ne peuvent désormais plus justifier une formation annuelle juste pour cocher la case de la conformité, et il reste essentiel qu'elles consacrent plus de personnel, de ressources et d’outils pour gérer leur facteur humain efficacement. »
Pour une analyse plus détaillée, téléchargez le rapport de 2022 de SANS sur la sensibilisation à la sécurité ici.
À propos du SANS Institute
Le SANS Institute, organisme coopératif de recherche et d’éducation, a été créé en 1989. Aujourd’hui, SANS est le fournisseur le plus fiable et de loin le plus important de formation et de certification en cybersécurité pour les professionnels des institutions gouvernementales et commerciales du monde entier. Des formateurs SANS de renom dispensent plus de 60 cours lors d’événements de cybersécurité en personne et virtuels, ainsi que sur demande.
Le GIAC, affilié à l’institut SANS, valide les compétences des praticiens par plus de 35 certifications pratiques et techniques en cybersécurité, et fournit l’assurance la plus élevée et la plus rigoureuse des connaissances et compétences en cybersécurité au niveau mondial. Le SANS Technology Institute, une filiale indépendante accréditée au niveau régional, offre des diplômes de Master et de licence, des certificats d’études supérieures et un certificat de premier cycle en cybersécurité. SANS Security Awareness, une division de SANS, fournit aux organisations une solution complète de sensibilisation à la sécurité, leur permettant de gérer leur risque « humain » de cybersécurité de manière simple et efficace. SANS fournit également de nombreuses ressources gratuites à la communauté InfoSec, y compris des projets de consensus, des rapports de recherche, des webcasts, des podcasts et des bulletins d’information. L’organisation exploite également le système d’alerte précoce d’Internet, baptisé « Internet Storm Center ».
SANS est centrée sur les nombreux professionnels de la sécurité, représentant diverses organisations internationales, des entreprises aux universités, qui œuvrent ensemble pour soutenir et éduquer la communauté mondiale de la sécurité de l’information.
Paul Geens