Selon un rapport de Fortinet, près de 70% des entreprises estiment que leurs collaborateurs ne sont pas suffisamment sensibilisés aux fondamentaux de la cybersécurité. L’acteur mondial du secteur digital annonce la publication de son rapport d’étude 2024 sur la formation et la sensibilisation à la sécurité, qui souligne notamment le rôle crucial de la sensibilisation des collaborateurs à la cybersécurité dans la gestion et la maîtrise des risques en entreprise.

John Maddison, Chief Marketing Officer, Fortinet:  « Face à des cybercriminels qui capitalisent sur de nouvelles technologies comme l’IA pour affiner leurs attaques, les collaborateurs ont un rôle essentiel : constituer une première ligne de défense robuste pour leur entreprise. La nouvelle étude de Fortinet souligne l’importance de faire émerger une culture de la cybersécurité, ainsi que la nécessité de sensibiliser et de former tous les utilisateurs aux bonnes pratiques. Les conclusions de l’étude valident la pertinence de notre service de sensibilisation et de formation à la sécurité à destination des professionnels, ainsi que de sa version gratuite proposée aux écoles primaires et secondaires du monde entier. Ce sont des leviers majeurs de cyber-résilience. »

Les principales conclusions du rapport mondiale pour la région EMEA sont les suivantes :

• Alors que les acteurs malveillants misent sur l’IA pour accélérer et multiplier leurs attaques, les dirigeants d’entreprise estiment que ces menaces sont plus difficiles à détecter par leurs collaborateurs. Pour plus de 60% des personnes interrogées, les collaborateurs seront plus nombreux à être victimes d’attaques optimisées par IA. Cependant, la bonne nouvelle est que la plupart des personnes interrogées dans le monde (80%) affirment que ces attaques plus sophistiquées rendent leur entreprise plus ouverte à un cursus de sensibilisation et de formation à la sécurité.
• Les collaborateurs peuvent constituer une première ligne de défense pour leur entreprise, mais les dirigeants s’inquiètent de leur faible sensibilisation aux principes de sécurité. Près de 70% des personnes interrogées dans le monde estiment que leurs utilisateurs ne présentent pas un niveau suffisant de connaissance des fondamentaux de la cybersécurité, contre 56% en 2023.
• Les dirigeants valorisent la formation et de la sensibilisation à la sécurité et estiment que l’efficacité d’un programme dépend de certains critères. Alors que les trois quarts des dirigeants interrogés déclarent disposer d’un plan pour leurs campagnes de sensibilisation, avec diffusion de contenu mensuelle (26%) ou trimestrielle (45%). Ils soulignent également qu’un contenu de qualité est un facteur clé du succès d’un programme.

Les nouvelles menaces que les collaborateurs doivent déjouer

Avec l’IA, les cybercriminels rendent leurs campagnes de phishing plus crédibles et plus difficiles à détecter. Étant donné que le phishing cible directement chaque utilisateur, les entreprises se font une priorité d’enseigner aux collaborateurs comment reconnaître ces attaques pour éviter d’en être victime.

• Les utilisateurs finaux restent des cibles privilégiées. Plus de 80% des entreprises dans le monde ont été confrontées à des attaques l’année dernière, qu’il s’agisse de malwares, de phishing ou de détournements de mots de passe ciblant directement les individus.
• Face à des attaques qui évoluent, sensibiliser et former restent essentiels. 93% des personnes interrogées dans la région EMEA déclarent que leur direction générale encourage la formation et la sensibilisation des collaborateurs à la sécurité.
• L’écrasante majorité des répondants (82%) affirment que la prévention du phishing est abordée dans leurs programmes et plans de formation. La sécurité des données (42%) et la confidentialité (37%) sont également des thématiques prioritaires de formation.

Les collaborateurs, première ligne de défense robuste contre les attaques

Si le rôle des équipes Sécurité et Informatique est crucial pour protéger les entreprises contre les cybermenaces, les collaborateurs sont également des acteurs majeurs de la prévention des intrusions.

• Les collaborateurs sont ouverts aux possibilités de formation en cybersécurité. La majorité des dirigeants (84%) déclarent que leurs équipes valorisent les programmes de sensibilisation et de formation à la sécurité.
• Les résultats sont positifs suite à la mise en œuvre de programmes de formation et de sensibilisation. Une grande majorité de dirigeants (85%) constate une amélioration de la posture de sécurité de leur entreprise suite à des formations en cybersécurité. Aucune des personnes interrogées n’indique n’avoir perçu aucun progrès.

La formation à la cybersécurité est essentielle, mais tous les programmes ne se valent pas.

La plupart des entreprises sont motivées à mettre en place un dispositif de sensibilisation et de formation à la sécurité en fonction de leur vécu vis-à-vis des intrusions ou de leur connaissance des menaces qui pèsent sur leur secteur d’activité. Presque tous les décideurs (93%) affirment que la formation et la sensibilisation à la cybersécurité sont encouragées par leur direction générale.

L’enquête 2024 pointe que 97% des dirigeants pensent qu’une meilleure sensibilisation des collaborateurs renforcerait la posture de cybersécurité de leur entreprise. Pourtant, ils s’accordent également à penser que l’efficacité des programmes de formation dépend de certains critères clés.

• La pertinence du contenu est un facteur de succès. 82% des décideurs se disent satisfaits de leur programme actuel de sensibilisation à la sécurité.Cependant, la principale remarque formulée par ceux qui se déclarent peu satisfaits porte sur l’absence de contenu attrayant.
• Investir de son temps, au plus juste. Les apprenants sont suceptibles de présenter une certaine lassitude lors de sessions trop longues. Des sessions de 1 à 2 heures sont le plus souvent proposées, la moyenne reste néanmoins de 3 heures.

Source: Fortinet – L’enquête a été menée auprès de plus de 1.850 professionnels (cadres dirigeants et managers) issus de 29 pays différents et évoluant dans des organisations disposant d’un programme de sensibilisation et de formation à la sécurité. Les personnes interrogées proviennent de différents secteurs d’activité, dont la production industrielle (17%), les services financiers (13%) ainsi que les technologies et services professionnels associés (11%).