Andrey Popov - Fotolia
Des efforts de sensibilisation à la sécurité encore insuffisants
Une étude montre la sensibilisation des utilisateurs aux bonnes pratiques de sécurité informatique reste largement insuffisante. Les directions ne semblent pas croire à l’efficacité de ces efforts.
La toute dernière étude de l’institut Ponemon pour Experian tend à montrer que les efforts pour sensibiliser les utilisateurs finaux aux bonnes pratiques de la sécurité informatique sont encore largement insuffisants. Conduite auprès de 601 employés d’entreprises dotées d’un programme de formation à la protection des données et à la confidentialité, choisies pour avoir une bonne connaissance de ces programmes, l’étude fait ressort des résultats assez peu encourageant.
Ainsi, 60 % des sondés estiment que les utilisateurs finaux ne sont finalement pas au courant – ou n’ont qu’une compréhension limitée – des risques informatiques s’appliquant à leur organisation. Et ce n’est pas vraiment une surprise car les directions apparaissent assez peu impliquées : seulement 35 % des sondés considèrent que leurs dirigeants font de cette sensibilisation une priorité. D’ailleurs, 29 % des personnes interrogées indiquent leurs dirigeants sont exemptés de formation, y compris lorsqu’elle est obligatoire – ce qui n’est le cas que pour 45 % des sondés.
Mais les programmes de formation au sujet ne semblent pas exempts de tout reproche. Ainsi, selon l’institut Ponemon, « nombre de ces programmes n’ont pas l’étendue ou la richesse de contenu nécessaires pour conduire à des changements comportements significatifs et réduire le risque interne ». Seulement la moitié des sondés pensent que les formations en cours réduisent effectivement l’occurrence de comportements non conformes aux bonnes pratiques. Et 43 % expliquent que la formation se limite à une session relativement basique pour tous les employés, une session trop simpliste pour réellement susciter une prise de conscience sur les pratiques conduisant à des brèches de sécurité.
Les critiques ne manquent pas et paraissent fortement justifiées : moins de 49 % des sondés indiquent que la formation couvre le hameçonnage (phishing) et l’ingénierie sociale ; la question de la sécurité des terminaux mobiles n’est abordée que selon 38 % des sondés ; et enfin l’utilisation sûre des services Cloud ne serait évoquée que pour 29 % des sondés.
L’institut recommande au final d’associer sensibilisation et création d’une culture interne de la sécurité en jouant sur « la carotte et le bâton ». Dans cette perspective, il suggère d’offrir aux utilisateurs « des encouragements à rapporter les problèmes de sécurité et à protéger les données confidentielles et sensibles », mais également de communiquer sur les conséquences d’un incident provoqué par un comportement à risque. Et de souligner qu’il est essentiel que le La soit donné au sommet de la hiérarchie, la direction devant se poser en exemple en participant activement aux programmes de sensibilisation.