Quelle est l'efficacité de la formation de sensibilisation à la sécurité ?
Si vous deviez demander à un certain nombre de professionnels de l'informatique s'ils pensent ou non que la formation de sensibilisation à la sécurité est efficace pour réduire les risques humains, vous obtiendriez probablement des réponses mitigées...
« La nôtre a fonctionné à merveille, l'équipe a vraiment suivi la formation »
« Nous avons essayé, mais nos utilisateurs ont quand même continué à se faire avoir par le phishing »
« C'est encore le début mais ça a l'air de marcher ! »
Le problème est que ces critiques incomplètes ne donnent pas vraiment à votre entreprise une idée claire de l'efficacité de ce type de formation, de ce qui fonctionne bien et du retour sur investissement global.
Donc, dans cet article, nous discuterons des points suivants :
- Dans quelle mesure la formation de sensibilisation à la sécurité est-elle efficace pour réduire les risques ?
- Quel est le retour sur investissement ?
- Cinq façons de faire fonctionner la formation de sensibilisation à la sécurité
- Comment démarrer sur la bonne voie
Quelle est l'efficacité de la formation de sensibilisation à la sécurité ?
L'efficacité et le retour sur investissement de la formation à la sensibilisation à la sécurité peuvent varier en fonction d'un certain nombre de facteurs, notamment le format, les canaux et la fréquence.
Mais, si elle est bien faite, la formation des employés peut être une solution très efficace pour réduire les erreurs humaines, améliorer les comportements de sécurité au quotidien et atteindre les normes clés de conformité.
Dans une étude récente , 80 % des organisations ont déclaré que la formation de sensibilisation à la sécurité avait réduit la vulnérabilité de leur personnel aux attaques de phishing. Cette réduction ne se produit pas du jour au lendemain, mais elle peut arriver rapidement — une formation régulière étant présentée pour réduire le risque de 60 % à 10 % au cours des 12 premiers mois .
Même les programmes de formation les moins efficaces ont un retour sur investissement sept fois plus élevé , et le programme des performances moyennes se traduit par un retour sur investissement 37 fois supérieur .
L'institut Ponemon
Le graphique ci-dessous donne un aperçu visuel d'une étude qui a mesuré la façon dont le personnel était capable de reconnaître les menaces avant et après la formation :
Comme cela le montre, la formation de sensibilisation à la sécurité rend le personnel beaucoup plus capable d'identifier les cybermenaces potentielles.
Toutes ces infos sur le retour sur investissement ont l'air pas mal, mais comment sont-elles calculées ?
Avec autant de facteurs différents jouant dans le retour sur investissement de la formation de sensibilisation à la sécurité, y compris la taille de l'entreprise , l'emplacement et les coûts de formation - il est assez difficile de produire une prévision précise des chiffres qui peuvent être pertinents pour chaque entreprise.
Cela étant dit, Osterman Research a produit l'un des modèles de coûts et de retour sur investissement les plus renommés développés pour la formation à la sensibilisation à la sécurité.
Leur étude a montré qu'en moyenne, les petites entreprises (moins de 1 000 employés) peuvent atteindre un retour sur investissement de 69 % grâce à un programme de formation à la sensibilisation à la sécurité. Tandis que les grandes entreprises (plus de 1 000 employés) peuvent atteindre un retour sur investissement de 562 %.
La mise en garde ici est que le rapport a été basé sur une série d'hypothèses - que vous pouvez consulter plus en détail ici — y compris les coûts d'exploitation et la perte potentielle de clients et de revenus, qui varie évidemment d'une entreprise à l'autre.
Mais ne vous perdez pas trop dans les données. Le point clé est — que la formation fonctionne .
Cinq façons de faire fonctionner votre formation de sensibilisation à la sécurité
Pour rendre la formation de vos employés aussi efficace que possible, vous devez inclure un certain nombre d'ingrédients clés :
#1 Faites en sorte qu'il soit régulier
Selon USENIX , les employés commenceront à oublier leur formation au bout de quatre mois, il est donc essentiel d'organiser des séances de sensibilisation régulières pour s'assurer que les informations restent fraîches dans leur esprit.
Comme on le voit dans le rapport ci-dessus , de nombreuses entreprises choisissent de former leur personnel sur une base mensuelle pour que les employés n'oublient rien.
Cela peut sembler beaucoup, mais ce type de formation est souvent dispensé par des courses rapides et ludiques pour éviter la fatigue et toute entrave à la productivité.
#2 Gardez le cap
Plutôt que de diffuser une liste de points au cours d'une présentation PowerPoint, essayez de proposer des vidéos de formation et des cours de formation sur ordinateur interactifs plus mémorables.
Voici un exemple rapide de vidéo de formation tiré de la plateforme de sensibilisation à la sécurité de usecure, uLearn :
#3 Couvrir les sujets essentiels
Il est facile de penser que former le personnel à la détection d'une attaque de phishing est suffisant pour réduire le risque humain, mais se concentrer uniquement sur quelques sujets sélectionnés laisse la porte grande ouverte aux erreurs humaines et aux attaques.
La formation continue de vos employés doit couvrir une grande variété de conseils et de normes de conformité. Consultez les les 12 principaux sujets de formation de sensibilisation à la sécurité de usecure .
#4 Lancer des simulations de phishing pratiques
Vous avez donc formé votre personnel à la détection d'une attaque de phishing ? C'est bien, mais comment réagiront-ils lorsqu'un e-mail frauduleux de la part du patron arrive dans leur boîte de réception, leur demandant de payer une facture « dès que possible » ?
En exécutant des simulations de phishing contre les employés , vous pouvez détecter quels employés seraient victimes d'une attaque dans le monde réel, donnant à votre entreprise une chance d'éduquer de manière proactive cette personne sur ce qu'elle a manqué.
#5 Mesurer l'impact de la formation
Il est important de mesurer l'impact de la formation afin que votre entreprise puisse a) Signaler si votre approche fonctionne et b) Avoir une vue d'ensemble de toutes les zones à risque potentielles.
Lancer un quiz rapide à la fin de chaque session de formation est un bon moyen de comprendre ce que chaque personne a appris.
Avec uLearn , chaque employé est interrogé avec quelques questions, leurs résultats étant enregistrés et ajoutés à leur profil individuel, tout en contribuant au score global de risque humain de l'entreprise.
Comment démarrer sur la bonne voie
L'essentiel de tout programme efficace de formation à la sensibilisation à la sécurité se résume à former fréquemment le personnel, à l'aide de matériel ludique, couvrant l'essentiel et mesurant l'impact continu.
Mais trouver le temps et le budget nécessaires pour planifier, dispenser et gérer ce type de formation peut sembler être une grosse perte de ressources.
C'est pourquoi nous avons élaboré un guide complet de formation à la sensibilisation à la sécurité pour vous aider à lancer une formation de sensibilisation à la sécurité rentable et simplifiée dès le premier jour.