Le constat du SANS Security Awareness Report 2022 n’est pas neuf, il sonne toutefois comme un appel à la mobilisation. Avec un nombre sans précédent d’employés travaillant désormais dans des environnements hybrides ou de télétravail complet, aggravés par une augmentation de cybermenaces et une main d’œuvre plus débordée et fatiguée par les informations Covid-19, il n’y a jamais eu de moment plus critique pour créer et maintenir efficacement une main d’œuvre cybersécurisée et une culture de sécurité engagée.

« Les personnes sont devenues le principal vecteur d’attaque pour les cybercriminels du monde entier, » a déclaré Lance Spitzner, directeur de la sensibilisation à la sécurité de SANS et co-auteur du rapport. « Plutôt que la technologie, ce sont les humains qui représentent le risque le plus important pour les organisations. Les professionnels qui supervisent des programmes de sensibilisation à la sécurité sont la clé pour gérer ce risque de manière efficace. »

Après avoir analysé les données de plus de 1 000 professionnels de la sensibilisation à la sécurité dans le monde, SANS Security Awareness, leader mondial de la formation sur la sensibilisation à la sécurité, a publié son septième rapport SANS sur la sensibilisation à la sécurité annuel. Le rapport de 2022 établit des points de référence mondiaux actualisés sur la manière dont les organisations gèrent leur facteur humain et fournit une marche à suivre pour apporter des améliorations avec des mesures clés dans la Matrice des indicateurs du modèle de maturité de la sensibilisation à la sécurité permettant de mesurer les progrès.

« Les programmes de sensibilisation permettent aux équipes de sécurité de gérer efficacement leur facteur humain en changeant la perception de la cybersécurité et en promouvant les comportements sûrs, depuis le conseil d’administration jusqu’aux échelons inférieurs », a expliqué Spitzner. « Ce rapport permet aux professionnels de la sensibilisation à la sécurité de prendre des décisions fondées sur des données quant à la meilleure façon de sécuriser leurs effectifs et de parler des risques aux dirigeants d’une manière convaincante qui démontre la valeur de leurs priorités stratégiques ainsi que le soutien dont elles bénéficient. »

Quelles sont les principales conclusions?

• Main d’œuvre : Plus de 69 % des professionnels de la sensibilisation à la sécurité passent moins de la moitié de leur temps à la sensibilisation. Les données montrent que les responsabilités de la sensibilisation à la sécurité sont le plus souvent confiées à des personnes ayant une formation très technique, qui peuvent ne pas avoir les compétences nécessaires pour engager efficacement leur personnel dans des termes simples à comprendre.
• Rémunération dans le monde : Les professionnels de la sensibilisation à la sécurité en Australie/Nouvelle-Zélande ont la rémunération annuelle moyenne la plus élevée (121 236 $), tandis que l’Amérique du Sud ont la plus faible (56 960 $). Les salaires dans la région EMEA se situent entre les deux, avec une moyenne de 84 656 $ par an. En Amérique du Nord, plus le niveau de maturité du programme de sensibilisation à la sécurité d’une organisation est élevé, plus le salaire des professionnels de la sensibilisation qui y travaillent est élevé.
• Principaux défis signalés : Les trois principaux défis signalés pour la mise en place d’un programme de sensibilisation à la sécurité sont tous liés à un manque de temps ; notamment le manque de temps pour la gestion de projet, les limites du temps de formation pour impliquer les employés et un manque de personnel.
• Conséquences de la pandémie : Les deux principales conséquences signalées étaient le défi d’une main d’œuvre plus distraite et débordée et un environnement de travail où les cyberattaques d’origine humaine sont devenues plus fréquentes et plus efficaces.
• Maturité des programmes par région : Dans toutes les régions du monde, les niveaux de maturité les plus courants des programmes actuels sont axés sur la conformité et la sensibilisation/le changement de comportement.
• Indicateurs de réussite des programmes: un soutien fort de la part des dirigeants, une augmentation de la taille de l’équipe et des formations plus fréquentes sont les principaux facteurs de réussite du programme.

Mesures à prendre pour accroître la réussite des programmes

• Mesures à prendre pour accroître le soutien des dirigeants : Une des meilleures façons d’accroître le soutien des dirigeants est de parler en termes de gestion des risques, et non de conformité, et d’expliquer POURQUOI vous faites quelque chose, et non pas CE QUE vous faites. De plus, il faut créer un sentiment d’urgence en utilisant les données et communiquer des valeurs en démontrant un alignement avec les priorités des dirigeants.
• Mesures à prendre pour accroître la taille des équipes : Il a été recommandé de documenter et comparer combien de personnes dans l’équipe de sécurité se concentrent sur la technologie par rapport au nombre qui se concentrent sur le facteur humain, de créer un document pour expliquer en détails les besoins en personnel, et de développer des partenariats avec les départements clés qui peuvent aider à développer des moyens de communiquer la valeur du programme.
• Mesures à prendre pour accroître la fréquence des formations : Il est recommandé aux organisations de communiquer et d’interagir avec leurs effectifs ou d’organiser des formations au moins une fois par mois. Maintenir une formation simple et facile à suivre était la clé pour accroître les opportunités d’impliquer et d’entraîner sa main d’œuvre.

« Les programmes de sensibilisation à la sécurité les plus matures changent non seulement le comportement et la culture des effectifs,mais ils mesurent et démontrent également leur valeur à diriger via un cadre de mesures, » a continué Spitzner. « Les organisations ne peuvent désormais plus justifier une formation annuelle juste pour cocher la case de la conformité, et il reste essentiel qu’elles consacrent plus de personnel, de ressources et d’outils pour gérer leur facteur humain efficacement. »

Source : SANS Security Awareness Report 2022: Gérer le risque humain