Les utilisateurs finaux, grands oubliés des formations à la sécurité

Version imprimable, PDF et e-mail

C'est un fait bien connu : mieux vaut prévenir que guérir. Cette expression s'applique parfaitement à la cybersécurité. Plus les utilisateurs finaux sont formés, moins ils ont de chance d'être victimes d'une attaque de phishing. Cependant, la plupart des formations à la cybersécurité auxquelles prennent part les utilisateurs finaux ne sont pas particulièrement captivantes, c'est pourquoi la majorité de leur contenu est rapidement oubliée.

Des enquêtes indépendantes menées par Osterman Research auprès de 141 personnes qui gèrent, contribuent ou influencent des programmes de formation de sensibilisation à la cybersécurité, et de plus de 1 000 salariés américains, démontrent l'ampleur de la situation à laquelle les entreprises doivent faire face.

Seulement la moitié des participants ont déclaré apprécier la qualité de rédaction de la formation reçue, alors que 48 % ont apprécié le format utilisé. De même, 45 % des participants ont estimé que la formation était visuellement attrayante. Seulement 23 % des participants ont déclaré demander régulièrement à leurs employés leur avis sur la formation qu'ils ont suivi, un peu plus de la moitié (52 %) indiquant le faire de manière occasionnelle.

Il n'est donc pas vraiment surprenant d'apprendre que seulement 12 % des employés ont déclaré avoir apprécié leur formation à la sécurité, car elle leur permet d'adopter les bons gestes de sécurité, chez eux et sur leur lieu de travail. La bonne nouvelle, c'est que 50 % des personnes interrogées ont indiqué être favorables à ces programmes car elles en comprennent les bienfaits. Seuls 14 % ont admis y avoir participé car ils en étaient obligés.

Susciter l'intérêt des employés

L'enquête révèle également qu'il existe une corrélation évidente entre la qualité de la formation à la cybersécurité et la fréquence à laquelle les employés y participent. 69 % des utilisateurs qui trouvent la formation sur la sécurité « très intéressante » consacrent plus de 15 minutes par mois à des formations en tout genre. En revanche, seuls 37 % des utilisateurs qui trouvent la formation sur la sécurité « assez intéressante » consacrent autant de temps à d'autres formations, tandis que 16 % des utilisateurs qui trouvent la formation « ennuyeuse » consacrent plus de 15 minutes par mois à d'autres formations.

Compte tenu de la nature des menaces de cybersécurité auxquelles les entreprises doivent faire face, 15 minutes semble bien loin de suffire. En effet, d'un point de vue éducatif, on constate que de nombreux employés sont « en retard » en matière de formation en cybersécurité. Bien entendu, si les élèves ne souhaitent pas apprendre, ce n'est pas toujours la faute du professeur. Cependant, tout le monde a assisté, à un moment ou un autre, à un cours ennuyeux qui aurait pu être donné de manière plus captivante. Jamais personne ne se rappelle du sujet, seulement de l'ennui ressenti.

En revanche, les employés qui se sentent impliqués sont plus susceptibles de suivre les recommandations. Selon l'enquête, les utilisateurs qui consacrent plus de 15 minutes par mois à des formations de sensibilisation à la cybersécurité sont presque deux fois plus susceptibles d'utiliser un mot de passe unique pour chaque appareil et application, par rapport à ceux qui y consacrent moins de cinq minutes par mois.

Les préoccupations en matière de sécurité demeurent

Dans le sillage de la pandémie de covid-19, les entreprises sont plus inquiètes que jamais concernant les attaques de phishing. Étant donné le nombre actuel de télétravailleurs, le niveau de sécurité des entreprises est au plus bas. Selon une enquête menée auprès de managers, leurs plus grandes inquiétudes concernent à parts égales les pièces jointes contenant des malwares, les menaces véhiculées par e-mail comme le phishing, ainsi que les ransomwares et les tentatives de piratage de compte et de vol d'identifiants.

Dans chacun des cas, la première ligne de défense est toujours l'utilisateur final. Si ces utilisateurs ne se sentent pas impliqués, cependant, cela équivaut plus ou moins à demander à quelqu'un d'être plus vigilant que jamais alors qu'il ne comprend pas vraiment la raison de cet effort. L'élève se sent rarement plus impliqué que le professeur. En fait, si les équipes de sécurité apportait un peu plus d'enthousiasme, cela serait plus que bénéfique, car l'effort le plus efficace est celui qui n'était pas nécessaire en premier lieu.

Leave a Reply

Your email address will not be published. Required fields are marked *

Remonter en haut de page
Tweeter
Partager
Partager