Enquête sur la sensibilisation à la sécurité : 1 entreprise sur 4 (25,7 %) ne propose pas de formation de sensibilisation à la sécurité informatique
À propos de l’enquête de Hornetsecurity sur la sensibilisation à la sécurité
La formation de sensibilisation à la sécurité est un mécanisme de défense essentiel pour les entreprises face à une multiplication de cybermenaces. Elle implique d’éduquer les employés sur diverses pratiques de cybersécurité, d’identifier les risques potentiels et d’enseigner les actions appropriées pour atténuer ces menaces.
Chez Hornetsecurity, nous reconnaissons l’importance primordiale de la formation de sensibilisation à la sécurité pour se prémunir contre ces menaces. En tant que défenseurs numériques, nous comprenons que l’éducation et la sensibilisation continues sont essentielles pour toute entreprise qui s’efforce de protéger ses activités et ses informations.
Dans notre engagement à renforcer les connaissances en matière de sécurité, nous avons largement couvert divers aspects de la cybersécurité dans notre base de connaissances. Cependant, l’efficacité de la formation de sensibilisation à la sécurité reste un domaine critique qui nécessite une exploration plus approfondie.
Pour évaluer l’efficacité actuelle de la formation de sensibilisation à la sécurité, nous avons mené une vaste enquête ciblant un groupe diversifié de professionnels de l’IT à travers les industries. Notre objectif était d’évaluer leur compréhension des protocoles de formation à la sécurité, la mise en œuvre de ces pratiques au sein de leurs entreprises et l’impact global sur la posture de cybersécurité.
Nous avons distribué l’enquête à l’échelle mondiale, recueillant plus de 150 réponses qui offrent une vue complète de la manière dont les entreprises naviguent à travers les défis et les opportunités présentés par la formation à la sécurité.
Ci-dessous, vous trouverez une analyse détaillée de nos résultats, mettant en évidence les principaux aperçus et tendances qui ont émergé de l’enquête. Pour ceux intéressés par une vue plus détaillée, les résultats complets de l’enquête sont disponibles pour une révision ultérieure. Plongeons dans les données et découvrons ce qu’elles nous disent sur l’état de la formation de sensibilisation à la sécurité aujourd’hui.
1 entreprise sur 4 (25,7 %) ne propose pas de formation de sensibilisation à la sécurité informatique à ses utilisateurs finaux
L’une des révélations les plus notables de notre enquête sur la formation de sensibilisation à la sécurité est qu’environ une entreprise sur quatre (25,7 %) ne propose pas de formation à de sensibilisation à la sécurité informatique à ses utilisateurs finaux. Cette lacune significative dans l’éducation à la cybersécurité met en évidence une vulnérabilité critique dans le monde de l’entreprise, en particulier dans les petites entreprises.
Nos données d’enquête indiquent une tendance claire liée à la taille de l’entreprise et à la probabilité de fournir une telle formation. Alors que les grandes entreprises semblent reconnaître et agir sur la nécessité d’éduquer leur main-d’œuvre sur les menaces de cybersécurité, les petites entreprises sont nettement en retard. Plus précisément, parmi les entreprises de 1 à 50 employés, près de 30 % ne proposent aucune forme de formation de sensibilisation à la sécurité informatique. Ce pourcentage s’améliore légèrement à mesure que la taille de l’entreprise augmente, avec 32,4 % des entreprises de 51 à 200 employés négligeant également cette formation.
La tendance montre une légère amélioration dans les entreprises de taille moyenne avec 201 à 500 employés, où seulement 21,4 % ne fournissent pas de formation à la sécurité. C’est dans les grandes entreprises, en particulier celles de 501 à 999 employés, où la formation de sensibilisation à la sécurité est la plus constante, chaque entreprise interrogée dans cette tranche fournissant une formation. Parmi les plus grandes entreprises interrogées, celles de plus de 1 000 employés, près de 95 % proposent une formation à la sécurité, avec seulement une petite fraction (5,9 %) ne le faisant pas.
La disparité dans la disponibilité de la formation soulève des préoccupations importantes quant à la vulnérabilité des petites organisations aux cybermenaces. Sans les connaissances de base fournies par la formation de sensibilisation à la sécurité, les employés de ces petites entreprises sont potentiellement plus à risque de tomber dans les pièges des cyberattaques, mettant ainsi en péril à la fois leurs données personnelles et organisationnelles.
Cet écart souligne le besoin critique pour toutes les organisations, en particulier celles de 51 à 200 et de 201 à 500 employés, d’investir dans des programmes complets de sensibilisation à la sécurité qui donnent à chaque employé les connaissances et les outils nécessaires pour se défendre contre les cybermenaces.
Seulement 7,5 % des organisations proposent une formation adaptative basée sur les résultats réguliers des tests de sensibilisation à la sécurité
Lorsqu’on leur a demandé « À quelle fréquence les utilisateurs de votre entreprise participent-ils à la formation de sensibilisation à la sécurité informatique ? », seulement 7,5 % des entreprises ont déclaré que leurs programmes de formation sont adaptatifs et basés sur les résultats réguliers des tests de sensibilisation à la sécurité. Ce faible pourcentage suggère que la formation adaptative, qui peut s’ajuster dynamiquement au paysage de cybersécurité en évolution et aux besoins spécifiques d’une entreprise, n’est pas largement mise en œuvre.
Malgré les avantages prouvés des environnements d’apprentissage adaptatifs, qui peuvent améliorer considérablement l’engagement et la rétention des connaissances, la majorité des organisations s’appuient encore sur des calendriers de formation plus traditionnels et moins flexibles. Notre enquête révèle qu’un calendrier de formation mensuel est maintenu par 29 % des organisations, tandis que 22,4 % organisent une formation une fois par an. Ces résultats suggèrent un écart potentiel dans l’éducation continue nécessaire pour lutter efficacement contre l’environnement de menaces en rapide évolution.
En outre, l’efficacité des programmes de formation existants est remise en question par les participants eux-mêmes. Environ trois répondants sur dix décrivent la formation de sensibilisation à la sécurité informatique fournie par leur entreprise comme seulement « légèrement engageante » ou « pas engageante du tout ». Ce manque d’engagement est critique, car il impacte directement l’efficacité de la formation fournie. En outre, environ un quart des répondants ont exprimé des préoccupations selon lesquelles leur formation actuelle de sensibilisation à la cybersécurité n’est pas assez fréquente (27,1 %) et pas assez engageante (23,4 %).
Ajoutant à ces défis, 22,4 % des répondants ont indiqué que les utilisateurs n’ont pas assez de temps pour terminer la formation à la sécurité, soulignant une barrière importante pour favoriser une culture de sécurité bien informée et proactive au sein des organisations. Pourtant, presque tous (96 %) conviennent que le temps investi dans l’administration et la réalisation de ces sessions de formation en vaut la peine, soulignant la valeur reconnue du personnel éduqué dans l’atténuation des risques de cybersécurité.
C’est intéressant de voir que lorsqu’on considère des améliorations, 53,3 % des utilisateurs finaux ont demandé plus de ressources post-formation, indiquant un désir de soutien continu au-delà des sessions de formation initiales. Parmi les autres domaines d’amélioration, on trouve le fait de rendre le contenu plus engageant (40 %), d’augmenter la fréquence (35 %) et la clarté (30 %) du contenu de la formation.
Ces aperçus soulignent un besoin critique pour les entreprises de repenser leur approche de la formation à la sécurité informatique, en se concentrant sur la rendre plus adaptative, engageante et fréquente pour mieux préparer les employés à affronter efficacement les cybermenaces modernes.
78,5 % (ou 4 sur 5) des entreprises trouvent la formation de sensibilisation à la sécurité informatique au moins « modérément » efficace pour lutter contre les cybermenaces
Une constatation importante de notre enquête est qu’une grande majorité, spécifiquement 78,5 %, des entreprises considèrent leur formation de sensibilisation à la sécurité informatique au moins « modérément » efficace pour lutter contre les cybermenaces. Cela indique que quatre entreprises sur cinq ont confiance dans la capacité de leurs programmes de formation à fournir les employés les compétences et les connaissances nécessaires pour reconnaître et se défendre contre les cyberattaques.
Ce niveau d’efficacité souligne le rôle critique que joue la formation complète de sensibilisation à la sécurité au sein de la stratégie de cybersécurité d’une entreprise. Il met en évidence que, lorsqu’elle est correctement mise en œuvre, une telle formation peut considérablement renforcer les défenses d’une organisation en faisant de chaque employé un participant vigilant dans la détection et la prévention des cybermenaces.
La reconnaissance de l’efficacité de la formation est cruciale, surtout dans un paysage où les cybermenaces deviennent plus sophistiquées et fréquentes. Les entreprises qui perçoivent leur formation comme efficace sont susceptibles de continuer à investir dans ces programmes, augmentant potentiellement leur robustesse et leur adaptabilité aux nouvelles menaces.
En outre, cette perception positive de l’efficacité de la formation est susceptible d’encourager un engagement continu à l’éducation à la cybersécurité à tous les niveaux de l’entreprise, favorisant une culture qui priorise et valorise des pratiques d’hygiène cyber solides. Une telle culture améliore non seulement immédiatement a posture de sécurité de l’entreprise, mais construit également un cadre résilient contre les futurs défis de sécurité.
1 répondant sur 4 a indiqué que son entreprise a subi une violation ou un incident de cybersécurité
De manière alarmante, un répondant sur quatre a révélé que son entreprise a subi une violation ou un incident de cybersécurité, mettant en évidence une vulnérabilité importante au sein de nombreuses entreprises. Plus préoccupant est le calendrier de ces violations : la moitié de ces incidents se sont produits au cours des trois dernières années, et 22,5 % ont eu lieu au cours de la seule année écoulée.
Ces données indiquent une tendance inquiétante d’incidents de cybersécurité en augmentation, soulignant l’urgence de mesures de sécurité robustes et à jour. La fréquence de ces violations souligne l’évolution continue des cybermenaces et le besoin critique pour les entreprises d’améliorer continuellement leurs protocoles de cybersécurité.
Cela renforce également l’importance d’une formation efficace de sensibilisation à la sécurité informatique pour équiper les employés des connaissances et des outils nécessaires pour protéger leurs entreprises contre ces menaces croissantes.
4 sur 5 (78,5 %) des entreprises pensent que la formation de sensibilisation à la sécurité informatique a directement empêché leur organisation de subir un incident de cybersécurité
Un impressionnant 78,5 % des entreprises croient que la formation de sensibilisation à la sécurité informatique a directement empêché leur entreprise de subir un incident de cybersécurité. Ce pourcentage élevé démontre l’efficacité de la formation non seulement en tant qu’outil éducatif, mais aussi en tant que mesure préventive cruciale dans la protection des activités et des informations.
De plus, une écrasante majorité de 91,6 % des répondants conviennent que cette formation a permis de fournir aux utilisateurs finaux des compétences pour repérer les menaces de sécurité à travers divers canaux, pas seulement l’email. Cette applicabilité large est vitale dans le paysage numérique diversifié d’aujourd’hui, où les menaces peuvent émerger de multiples sources, y compris les médias sociaux, les applications mobiles et la navigation sur le web.
Ces résultats soulignent le retour significatif sur investissement que la formation de sensibilisation à la sécurité informatique offre. En autonomisant les employés pour identifier et répondre aux menaces de manière proactive, les entreprises améliorent leur posture de sécurité globale et réduisent la probabilité d’incidents cyber perturbateurs.
4 sur 10 (39,3 %) estiment que la formation de sensibilisation à la sécurité informatique utilisée dans leur entreprise n’est pas à jour
Une part significative des employés, spécifiquement 39,3 %, estime que la formation de sensibilisation à la sécurité informatique fournie par leur entreprise n’est pas à jour, en particulier en ce qui concerne les capacités nécessaires pour lutter contre les attaques cybernétiques alimentées par l’IA. Cette préoccupation est encore plus prononcée parmi ceux ayant de rôles de prise de décision en IT, avec 45 % partageant ce sentiment.
Ces statistiques révèlent un écart critique dans les programmes d’éducation à la cybersécurité actuels, qui peuvent ne pas encore aborder pleinement la nature sophistiquée des menaces modernes pilotées par l’IA. À mesure que les cybercriminels emploient de plus en plus de technologies avancées, y compris l’intelligence artificielle, pour exécuter des attaques plus complexes, il devient impératif que la formation à la sécurité évolue en conséquence.
Ces données appellent à un examen et une mise à jour urgents des programmes de formation pour incorporer les dernières connaissances et stratégies de défense contre les menaces améliorées par l’IA, garantissant que tous les employés sont équipés non seulement d’une sensibilisation générale à la cybersécurité, mais aussi d’aperçus spécifiques sur les vulnérabilités technologiques émergentes.
Plus de la moitié (52,3 %) des répondants ont indiqué que ‘les utilisateurs préfèrent ignorer ou supprimer’ les menaces par email identifiées sans les signaler
Notre enquête met en évidence une tendance préoccupante : plus de la moitié des répondants (52,3 %) ont rapporté que les utilisateurs ont tendance à ignorer ou supprimer les menaces par email identifiées sans les signaler correctement. Ce comportement souligne un écart significatif dans les protocoles de gestion des menaces où la détection initiale ne se traduit pas en action informative pour les équipes de sécurité informatique.
De plus, un considérable 38,3 % des répondants ont indiqué que les utilisateurs n’ont souvent pas de souvenir de la formation à la sécurité qu’ils reçoivent. Cela pointe vers des lacunes potentielles dans les stratégies d’engagement et de rétention des programmes de formation. Le manque de contenu de formation mémorable et percutant pourrait conduire à ces manquements dans les pratiques appropriées de réponse et de signalement des menaces.
Ces constatations suggèrent un besoin pour les organisations d’améliorer leurs méthodes de formation à la cybersécurité, peut-être en incorporant un contenu plus engageant, répétitif et interactif qui renforce l’importance de signaler les menaces et assure une rétention plus longue des pratiques de sécurité cruciales.
3 sur 10 (28 %) des répondants ont indiqué que ne pas recevoir de retour d’information sur les menaces qu’ils signalent contribue à ce que les utilisateurs finaux ne suivent pas les protocoles de formation
Une préoccupation notable soulevée par notre enquête est que 28 % des répondants estiment que le manque de retour d’information sur les menaces signalées décourage les utilisateurs finaux de respecter les protocoles de formation. Cela met en évidence un manquement critique dans de nombreuses stratégies de réponse à la cybersécurité des organisations.
Lorsque les utilisateurs signalent des menaces potentielles de sécurité mais ne reçoivent aucun accusé de réception ou retour d’information, cela peut créer un sentiment d’indifférence quant à l’importance de leurs actions. Sans comprendre les résultats de leurs signalements, les utilisateurs peuvent sentir que leurs efforts passent inaperçus ou ne sont pas appréciés, conduisant à une diminution des comportements de sécurité proactifs.
Cette lacune de retour d’information souligne le besoin pour les entreprises d’établir des canaux de communication robustes qui encouragent non seulement le signalement des menaces de sécurité, mais aussi ferment la boucle en fournissant un retour d’information opportun et constructif. En renforçant la valeur de chaque signalement, les organisations peuvent améliorer la conformité aux protocoles de sécurité et favoriser une culture plus consciente de la sécurité.
Un peu plus de la moitié des répondants (56,2 %) ont indiqué que leur entreprise utilise une cyber-assurance
Selon notre enquête, une légère majorité des répondants, 56,2 %, ont indiqué que leur entreprise ont adopté une cyber-assurance. Cela reflète une reconnaissance croissante des risques associés aux cybermenaces et de la nature complexe de la défense contre celles-ci.
La cyber-assurance sert de filet de sécurité, offrant une protection financière contre les pertes dues à des cyber incidents tels que les violations de données, l’interruption des activités et les dommages au réseau. Le fait que juste plus de la moitié des organisations interrogées investissent dans ce type d’assurance souligne sa valeur perçue dans le paysage commercial moderne, où les menaces numériques sont de plus en plus courantes.
Cependant, le taux d’adoption suggère également que près de la moitié des entreprises pourraient encore sous-estimer les impacts financiers potentiels des cybermenaces, ou peut-être qu’elles s’appuient davantage sur des mesures préventives comme la formation à la sécurité et les défenses techniques. Cette statistique pourrait susciter d’autres discussions sur l’équilibre entre investir dans des mesures de sécurité proactives par rapport à l’assurance contre les résultats potentiels.
3 sur 4 (77,1 %) des répondants affirment que leur entreprise a un processus en place pour faire face aux e-mails de phishing ou aux menaces de sécurité informatique
Notre enquête révèle qu’un robuste 77,1 % des répondants confirment que leur organisation a établi des processus pour gérer efficacement les e-mails de phishing et autres menaces de sécurité informatique. Cette majorité significative indique une forte sensibilisation et une approche proactive dans la lutte contre les menaces cybernétiques au niveau organisationnel, démontrant que la plupart des entreprises prennent les mesures nécessaires pour se préparer et répondre à ces défis de sécurité courants.
Cependant, il reste une portion notable des employés qui est soit inconsciente de, soit manque ces protocoles critiques. Spécifiquement, 12,5 % des répondants ont indiqué que leur entreprise n’a pas de processus défini pour faire face à de telles menaces, et 10,4 % ne sont pas sûrs de l’existence d’un tel processus.
Ce manque de clarté ou l’absence de procédures expose non seulement ces entreprises à un risque accru, mais souligne également un domaine d’amélioration immédiate. Cela souligne la nécessité d’une communication claire et d’une formation concernant l’existence et l’exécution des processus de réponse aux menaces pour garantir que tous les employés sont préparés et peuvent agir efficacement face aux cyber incidents potentiels.
1 sur 5 (21,5 %) trouvent la formation de sensibilisation à la sécurité informatique « légèrement efficace » ou « pas efficace du tout »
Malgré la positivité générale envers la formation de sensibilisation à la sécurité informatique, notre enquête indique que tous les retours ne sont pas favorables. Environ un sur cinq des répondants, soit 21,5 %, évaluent la formation de leur organisation comme « légèrement efficace » ou « pas efficace du tout ». Cette minorité significative pointe vers des lacunes potentielles dans les méthodologies de formation actuelles mises en œuvre à travers diverses industries.
Ce retour suggère que, bien que la formation soit répandue, son exécution et la qualité de son contenu pourraient ne pas répondre aux normes nécessaires pour équiper pleinement les employés contre les cybermenaces. La perception de l’inefficacité pourrait provenir de matériaux obsolètes, d’un manque d’engagement, ou d’une formation insuffisamment complète pour couvrir les nouveaux types de cyber menaces, y compris celles alimentées par des technologies sophistiquées telles que l’IA.
Aborder ces préoccupations est crucial pour améliorer l’impact global des programmes de formation à la sécurité. Améliorer l’engagement, mettre à jour régulièrement le contenu et adapter les sessions de formation aux besoins et risques spécifiques de l’entreprise peut aider à augmenter l’efficacité perçue et garantir que tous les employés sont bien préparés pour défendre leurs environnements numériques.
Un peu plus de 1 sur 3 (35,9 %) des répondants décrivent les politiques de sécurité informatique au sein de leur entreprise comme « insuffisantes »
Les résultats de notre enquête révèlent des opinions mitigées concernant l’adéquation des politiques de sécurité informatique au sein des entreprises. Un peu plus d’un tiers des répondants, 35,9 %, estiment que les politiques de cybersécurité en place sont « insuffisantes » pour protéger efficacement leur entreprise contre les menaces actuelles. Cette portion significative des employés exprimant des préoccupations suggère un besoin de réévaluation et d’amélioration potentielles de ces politiques pour répondre plus efficacement aux menaces cybernétiques en évolution.
À l’inverse, un plus optimiste 45,3 % des répondants croient que les politiques de sécurité informatique de leur entreprise sont « appropriées », indiquant que ces politiques répondent aux normes nécessaires pour protéger adéquatement contre les cyber incidents potentiels. Cette perspective souligne que, bien que de nombreuses entreprises soient sur la bonne voie, il reste encore un écart notable à combler pour garantir une confiance universelle dans les mesures de cybersécurité.
Ces vues contrastées soulignent l’importance d’une évaluation et d’une adaptation continues des politiques de sécurité pour s’aligner avec les derniers développements de la cybersécurité et les paysages de menaces. Renforcer ces politiques pourrait non seulement répondre aux préoccupations de ceux qui se sentent sous-protégés, mais aussi améliorer le cadre de sécurité global des entreprises.
Profil de nos répondants à l’enquête sur la formation de sensibilisation à la sécurité
Notre enquête complète sur la formation de sensibilisation à la sécurité informatique a attiré des réponses d’un groupe diversifié de professionnels de l’IT, reflétant un large éventail de rôles, niveaux d’expérience et tailles organisationnelles à travers diverses régions mondiales.
Rôles et responsabilités
La majorité de nos répondants sont profondément ancrés dans le secteur de l’IT, avec 32,6 % s’identifiant comme professionnels de l’IT et 16 % comme administrateurs système. Les fournisseurs de services gérés (MSP) constituent 13,2 % des participants, soulignant l’implication des entreprises de services informatiques externes dans les pratiques de cybersécurité. De plus, 10,4 % occupent d’autres rôles liés à l’IT, tandis que 9 % n’ont aucun contrôle sur les opérations informatiques. Notamment, des postes de direction tels que CIO, CTO et CISO sont représentés par 6,2 % des répondants, offrant des aperçus des plus hauts niveaux de stratégie et de gouvernance informatiques.
Expérience dans le domaine
L’expérience parmi les participants varie largement, avec 36,1 % ayant entre 1 et 5 ans d’expérience, indicatif d’une main-d’œuvre jeune et en évolution dans le domaine de l’IT. Les catégories de 21+ ans et de 6-10 ans sont représentées par 19,4 %, montrant une contribution significative de professionnels hautement expérimentés. Ceux ayant de 11 à 15 ans et de 16 à 20 ans d’expérience représentent 14,6 % et 10,4 %, respectivement.
Taille de l’organisation
L’enquête présente principalement des répondants de petites entreprises, avec 51,4 % provenant d’entreprises de 1 à 50 employés. Les entreprises de taille moyenne avec 51 à 200 employés représentent 23,6 %, suivies de 9,7 % d’entreprises comptant 201 à 500 employés. Les grandes oentreprises sont moins représentées, avec 3,5 % ayant 501 à 999 employés et 11,8 % dépassant 1 000 employés.
Répartition géographique
Géographiquement, la majorité des réponses proviennent d’Europe (50 %) et d’Amérique du Nord (42,4 %), offrant une forte représentation des perspectives de sécurité informatique de ces régions. L’Asie, l’Australie et l’Afrique sont également représentées, bien que dans une moindre mesure, avec respectivement 2,1 %, 1,4 % et 0,7 % des réponses.