- Une étude Hornetsecurity révèle que 26 % des entreprises ne dispensent pas de formation à la sécurité informatique à leurs personnels.
- Une personne interrogée sur quatre déclare pourtant avoir subi une atteinte à sa cybersécurité – dont 23 % au cours de l’année écoulée.
- Près de quatre sur dix (39 %) estiment que leur formation ne couvre pas suffisamment les cybermenaces récentes ou alimentées par l’IA.
ExCeL London, Royaume-Uni (le 4 juin 2024) – Une enquête menée par l’éditeur européen de solutions de cybersécurité Hornetsecurity a mis en évidence des lacunes importantes en matière de formation à la sécurité informatique en entreprise, révélant qu’un quart (26 %) d’entre elles ne proposent toujours pas de formations à leurs utilisateurs finaux. Les résultats de cette enquête sont publiés à l’occasion du salon Infosecurity Europe 2024, où l’entreprise est présente du 4 au 6 juin, stand E60.
L’enquête, qui a compilé les commentaires de plusieurs dizaines d’entités réparties dans le monde entier, révèle également que moins d’une entreprise sur 13 (8 %) propose une formation sur mesure et évolutive, qui s’adapte aux besoins réels des employés en se basant sur des tests de sécurité réguliers. Dans un paysage des menaces en constante évolution, où les acteurs malveillants conçoivent chaque jour de nouveaux moyens de s’infiltrer et de nuire, cette question est centrale pour les entreprises.
Engagement et efficacité de la formation
En matière de stratégie de cybersécurité, les personnes physiques devraient être en première ligne des priorités de chaque entreprise. Le type de cyberattaque le plus répandu est en effet l’hameçonnage, qui table sur la mise en confiance d’une personne. Les employés doivent donc acquérir des compétences et un bon niveau de compréhension et de confiance, qui leur seront nécessaires pour repérer les comportements malveillants. Malheureusement, l’enquête de Hornetsecurity a révélé que non seulement, le manque de formation persiste, mais que les dispositifs de formation sont souvent inefficaces. Près d’un tiers (31 %) des personnes interrogées ont par exemple déclaré que leur formation n’était pas ou peu engageante.
Malgré ces faibles taux d’engagement, 79 % des entreprises estiment que leur formation de sensibilisation à la sécurité informatique est à minima modérément efficace pour lutter contre les cybermenaces. Toutefois, près de quatre entreprises sur dix (39 %) ont déclaré que la formation choisie ne couvrait pas suffisamment les cybermenaces récentes ou alimentées par l’IA. Dans un monde où l’IA accélère et augmente l’ampleur des attaques, ce constat est alarmant.
Daniel Blank, COO de Hornetsecurity, déclare : « Notre toute dernière étude montre un décalage évident entre l’efficacité perçue de la formation à la sécurité et son degré de pertinence et de réactivité réelles face aux cybermenaces modernes, en particulier considérant le récent essor des attaques pilotées par l’IA. Les employés doivent pouvoir bénéficier d’une formation continue pour renforcer toute défense technique et servir de pare-feu humain efficace. Le format en continu et sur mesure est essentiel pour que la formation ait le plus d’impact possible. Certes, il est important d’investir dans les dernières technologies de cybersécurité, mais une véritable culture de sécurité, efficace et durable implique d’investir également dans les personnes. »
Adaptations post-incident et lacunes dans les rapports
L’enquête a également révélé qu’une entreprise sur quatre avait subi une violation ou un incident de cybersécurité, dont 23 % au cours de l’année écoulée. Notamment, 94 % des entreprises interrogées ont pris des mesures pour renforcer leur sécurité en mettant en place des contrôles supplémentaires après incident. Cependant, malgré ces efforts, 52 % des professionnels interrogés au sein de ces entreprises ont noté que les utilisateurs finaux ignorent voire suppriment souvent les menaces identifiées par courrier électronique sans les signaler, et que 38 % oublient le contenu de la formation, ce qui rappelle la nécessité de rendre la formation plus attractive et de la proposer en continu.
L’enquête a montré que les personnels sont particulièrement intéressés par des ressources accessibles post-formation plus efficaces, qui pourraient les aider à retenir et à appliquer les mesures de sécurité apprises. Un autre domaine à améliorer est le retour d’information sur les menaces : 28 % des personnes interrogées indiquent que l’absence de retour d’information est la raison pour laquelle elles n’adhèrent pas aux protocoles de formation.
Le besoin d’une formation actualisée
45 % des décideurs informatiques estiment que leurs programmes de formation actuels sont obsolètes et inefficaces face aux attaques de l’IA. Ce sentiment est partagé par 39 % des personnes interrogées en général, ce qui montre qu’il existe un besoin critique de contenus de formation à la fois actuels et complets.
Daniel Blank ajoute : « Il est impératif que les entreprises fournissent non seulement des formations régulières, engageantes et évolutives, mais aussi qu’elles s’assurent que ces programmes traitent en profondeur des cybermenaces les plus récentes et les plus sophistiquées. C’est pourquoi nous avons développé Hornetsecurity Security Awareness Service, une solution nouvelle génération qui fournit de manière automatisée le bon dosage de formation personnalisée par employé. De cette façon, les entreprises peuvent délivrer le bon niveau de formation continue, sans épuiser les ressources informatiques nécessaires pour la mettre en place et la dispenser.
Daniel Blank a insisté sur le fait que « la proactivité est essentielle : « La proactivité est essentielle : au lieu de se renforcer après les incidents, les entreprises devraient anticiper les attaques et mettre en place des systèmes et des processus solides en amont. Cela permet d’économiser beaucoup de temps, d’efforts et d’argent ».
Cyber-assurance et mesures préventives
Plus de la moitié des entreprises interrogées (56 %) ont désormais recours à la cyber-assurance, ce qui indique une dépendance croissante à l’égard des garanties financières contre les cyber-incidents. En outre, 79 % des entreprises attribuent la prévention des incidents de cybersécurité directement à leurs programmes de formation à la sécurité informatique, tandis que 92 % reconnaissent que la formation a permis aux utilisateurs finaux de repérer les menaces de sécurité sur différents supports, et pas uniquement depuis leur courrier électronique.
Note :
L’étude « Company IT Security Awareness » a été menée par Hornetsecurity en avril 2024 et comptait plus de 150 répondants.
À propos de Hornetsecurity
Hornetsecurity est l’un des principaux fournisseurs mondiaux de solutions de sécurité, de conformité, de sauvegarde et de sensibilisation à la sécurité de nouvelle génération basées sur le cloud, qui aident les entreprises et les organisations de toutes tailles dans le monde entier. Son produit phare, 365 Total Protection, est la solution de sécurité cloud pour Microsoft 365 la plus complète du marché. Impulsé par sa capacité d’innovation et sa recherche constante de l’excellence en matière de cybersécurité, Hornetsecurity construit un avenir numérique plus sûr et des cultures de sécurité durables grâce à son portefeuille primé à de nombreuses reprises. Hornetsecurity est présent dans plus de 120 pays grâce à son réseau de distribution international de plus de 12 000 partenaires de distribution et MSP. Ses services haut de gamme sont utilisés par plus de 75 000 clients.
Demandes de renseignements des médias
Hornetsecurity :
Veuillez nous contacter à l’adresse press@hornetsecurity.com.
