Les utilisateurs finaux, grands oubliés des formations à la sécurité

C’est un fait bien connu : mieux vaut prévenir que guérir. Cette expression s’applique parfaitement à la cybersécurité. Plus les utilisateurs finaux sont formés, moins ils ont de chance d’être victimes d’une attaque par hameçonnage. Cependant, la plupart des formations à la cybersécurité auxquelles prennent part les utilisateurs finaux ne sont pas particulièrement captivantes, c’est pourquoi la majorité de leur contenu est rapidement oublié.

Des enquêtes indépendantes menées par Osterman Research auprès de 141 personnes qui gèrent, contribuent ou influencent des programmes de formation de sensibilisation à la sécurité, et de plus de 1 000 salariés américains, démontrent l’ampleur de la situation à laquelle les entreprises doivent faire face.

Seulement la moitié des participants ont déclaré apprécier la qualité de rédaction de la formation reçue, alors que 48 % ont apprécié le format utilisé. De même, 45 % des participants ont estimé que la formation était visuellement attrayante. Seulement 23 % des participants ont déclaré demander régulièrement à leurs employés leur avis sur la formation qu’ils ont suivie, un peu plus de la moitié (52 %) indiquant le faire de manière occasionnelle.

Il n’est donc pas vraiment surprenant d’apprendre que seulement 12 % des employés ont déclaré avoir apprécié leur formation à la sécurité car elle leur permet d’adopter les bons gestes de prévention, chez eux et sur leur lieu de travail. La bonne nouvelle, c’est que 50 % des personnes interrogées ont indiqué être favorables à ces programmes, car elles en comprennent les avantages. Seuls 14 % ont admis y avoir participé car ils y étaient obligés.

Susciter l'intérêt des employés

L’enquête révèle également qu’il existe une corrélation évidente entre la qualité de la formation à la cybersécurité et la fréquence à laquelle les employés y participent. 69 % des utilisateurs qui trouvent la formation de sensibilisation à la sécurité « très intéressante » consacrent plus de 15 minutes par mois à des formations en tout genre. En revanche, seuls 37 % des utilisateurs qui trouvent la formation de sensibilisation à la sécurité « assez intéressante » consacrent autant de temps à d’autres formations, tandis que 16 % des utilisateurs qui trouvent la formation « ennuyeuse » consacrent plus de 15 minutes par mois à d’autres formations.

Compte tenu de la nature des menaces de cybersécurité auxquelles les entreprises doivent faire face, 15 minutes semblent bien loin de suffire. En effet, d’un point de vue éducatif, on constate que de nombreux employés sont « en retard » en matière de formation à la cybersécurité. Bien entendu, si les élèves ne souhaitent pas apprendre, ce n’est pas toujours de la faute du professeur. Cependant, tout le monde a assisté, à un moment ou à un autre, à un cours ennuyeux qui aurait pu être donné de manière plus captivante. Jamais personne ne se rappelle du thème, seulement de l’ennui ressenti.

En revanche, les employés qui se sentent impliqués sont plus susceptibles de suivre les recommandations. Selon l’enquête, les utilisateurs qui consacrent plus de 15 minutes par mois à des formations de sensibilisation à la sécurité sont presque deux fois plus susceptibles d’utiliser un mot de passe unique pour chaque appareil et chaque application, par rapport à ceux qui y consacrent moins de cinq minutes par mois.

Les préoccupations en matière de sécurité demeurent

Dans le sillage de la pandémie de COVID-19, les entreprises sont plus inquiètes que jamais concernant les attaques par hameçonnage. Étant donné le nombre actuel de télétravailleurs, le niveau de sécurité des entreprises est au plus bas. Selon une enquête menée auprès de managers, leurs plus grandes inquiétudes concernent à parts égales les pièces jointes contenant des malwares, les menaces véhiculées par e-mail comme le phishing, ainsi que les ransomwares et les tentatives de piratage de compte et de vol d’identifiants.

Dans chacun des cas, la première ligne de défense est toujours l’utilisateur final. Si ces utilisateurs ne se sentent pas impliqués, cependant, cela équivaut plus ou moins à demander à quelqu’un d’être plus vigilant que jamais alors qu’il ne comprend pas vraiment la raison de cet effort. L’élève se sent rarement plus impliqué que le professeur. En fait, si les équipes de sécurité faisaient preuve d’un peu plus d’enthousiasme, cela serait plus que bénéfique, car l’effort le plus efficace est celui qui n’était pas nécessaire en premier lieu.