Les employés ignorent les formations à la cybersécurité – Dataconomy

Bien que 75 % de toutes les entreprises américaines et britanniques aient été exposées à des cyberincidents au cours de l’année écoulée, les employés détestent toujours les sessions de formation en cybersécurité. Étant donné que la plupart des cyberattaques capitalisent sur l’erreur humaine, la réticence des employés continue de faire le jeu des acteurs malveillants dans l’ombre de cette avalanche de cyberattaques.

Malgré la conviction écrasante des cyber-dirigeants que leurs organisations ont une solide culture de sécurité, des données récentes recueillies par l’expert en sécurité de la messagerie Tessian suggèrent que ces dirigeants peuvent se leurrer, révélant un fossé troublant entre les experts en sécurité et le reste de l’entreprise.

La formation en cybersécurité est ennuyeuse pour la plupart des employés

Alors que 85 % des employés participent à des programmes de formation ou de sensibilisation à la cybersécurité, une étude sur l’impact des cultures de sécurité sur le comportement des employés a révélé que 64 % n’y prêtent pas toute leur attention et 36 % trouvent la formation à la cybersécurité de leur organisation inintéressante. Savez-vous comment les entreprises pourraient utiliser l’IA dans les systèmes de sécurité ?

L’enquête a révélé que les responsables de la sécurité étaient généralement d’accord sur la recette d’une bonne culture de sécurité, mais Tessian a déclaré qu’il était évident que ceux au sommet avaient encore beaucoup de travail à faire, étant donné le nombre d’incidents obstinément élevé.

Tout le monde dans une organisation doit comprendre comment son travail contribue à assurer la sécurité de ses collègues et de l’entreprise. Pour mieux impliquer les gens dans les besoins de sécurité de l’entreprise, la formation doit être spécifique et adaptée au travail d’un individu, a déclaré Kim Burton, responsable de la confiance et de la conformité chez Tessian.

Il est de la responsabilité des équipes de sécurité de créer une culture d’empathie et d’attention. Ils doivent étayer leur formation avec des outils et des procédures qui facilitent l’intégration des pratiques sécurisées dans les flux de travail quotidiens des personnes. Les pratiques sécurisées doivent être considérées comme faisant partie de la productivité. Lorsque les gens peuvent être sûrs que les équipes de sécurité ont leur meilleur intérêt à cœur, ils peuvent créer de véritables partenariats qui renforcent la culture de la sécurité. elle a ajouté.

L’étude a démontré comment les exercices de formation à la cybersécurité, qui consistent souvent en de brèves présentations PowerPoint créées par des professionnels du droit et de la conformité sans une véritable compréhension de la façon dont les gens interagissent avec le matériel didactique, n’ont aucun effet positif global sur les employés.

Par exemple, seul un répondant sur trois a déclaré être satisfait des communications de son équipe informatique ou de sécurité, et 30 % des répondants ont déclaré qu’ils ne pensaient pas avoir un rôle personnel à jouer dans la sécurité de leur entreprise. De même, 45 % des répondants ne savaient pas comment signaler un incident de sécurité ni à qui le signaler.

Plus de la moitié des personnes interrogées ont affirmé que les comportements tels que le téléchargement d’applications sur des appareils professionnels, la transmission d’informations privées à des adresses e-mail personnelles, l’échange de mots de passe entre collègues et la connexion à des réseaux Wi-Fi ouverts ou publics sur des appareils professionnels ne sont pas préoccupants.

Plus de 40 % des personnes interrogées ont déclaré ne pas voir de problème avec des comportements manifestement dangereux, tels que la réutilisation de mots de passe, le fait de laisser des appareils professionnels sans surveillance ou déverrouillés, de télécharger des pièces jointes non sollicitées ou de cliquer sur des liens dans des e-mails provenant de sources inconnues.

Faire peur aux personnes présentant des risques de cybersécurité ne résout rien

La propension des dirigeants à utiliser la formation à la cybersécurité pour répandre la peur et l’incertitude comme motivation semblait être une source importante d’éloignement.

Par exemple, selon l’enquête de Tessian, 50 % des participants ont déclaré avoir eu une « mauvaise expérience » avec une simulation de phishing, comme le montre le récit de 2021 d’un test de phishing qui a horriblement mal tourné chez West Midlands Trains.

Beaucoup d’autres ont cliqué sur le lien dans ce qui semblait être un e-mail de la direction de l’entreprise expliquant une prime de remerciement pour les travailleurs qui avaient enduré la pandémie, pour être réprimandés pour ne pas être assez vigilants en matière de sécurité. Les responsables du syndicat ont qualifié la cascade de « grossière et répréhensible ».

Selon Marc Dupuis, professeur adjoint à l’Université de Washington Bothell, et Karen Renaud, collègue du chancelier à l’Université de Strathclyde.

Tessian a énuméré cinq actions que les responsables de la sécurité devraient prendre pour améliorer la compréhension des employés des protocoles de cybersécurité.

Par exemple, les responsables de la sécurité doivent prendre une part plus active aux points de contact importants tels que l’intégration, les changements de poste ou de bureau et la délocalisation pendant le « parcours » d’un employé dans l’entreprise. Selon Tessian, l’intégration de nouveaux employés offre une opportunité fantastique de capter l’intérêt des gens avant qu’ils ne se lassent et ne s’ennuient, tandis que des procédures d’intégration plus approfondies et plus prudentes peuvent aider à prévenir la perte de données cruciales lors du départ d’une personne.

Établir des lignes de communication ouvertes dans toute l’organisation et porter une attention particulière à la quantité d’informations partagées, de qui elles proviennent, par quels canaux et à quelle fréquence sont d’autres choses que tout responsable de la sécurité devrait faire.

Tessian a fourni quatre directives essentielles pour y parvenir avec succès (page 28) :

• Vous devez parler la même langue que vos employés pour communiquer efficacement. Cela signifie supprimer le jargon, les termes techniques et les acronymes et ne fournir que les informations nécessaires.
• Communication sur mesure à des personnes, des équipes ou des services spécifiques pour aider chacun à comprendre les menaces, les conséquences et les solutions. Des données, des exemples concrets et des scénarios de simulation spécifiques peuvent vous aider à brosser un tableau clair.
• Les équipes de sécurité doivent choisir un champion de la sensibilisation à la cybersécurité pour fournir des mises à jour ou des demandes et être le point de contact pour toutes les questions.
• Développer un format et une cadence cohérents (par exemple, un bulletin mensuel) pour rationaliser la communication et s’assurer que les employés ont une source de vérité à laquelle se référer.

Enfin, il existe des solutions technologiques qui, lorsqu’elles sont judicieusement mises en œuvre, peuvent soutenir le développement de l’« auto-efficacité » cybernétique de l’organisation.

La recherche de Tessian a été créée par OnePoll, qui a interrogé 2 000 employés basés aux États-Unis et au Royaume-Uni, ainsi que 500 responsables de la sécurité informatique.

Les recherches que nous avons examinées aujourd’hui ont révélé pourquoi certaines initiatives de formation et de sensibilisation à la cybersécurité sont loin d’être efficaces. Cependant, rien de tout cela ne change le fait que les cyberattaques peuvent faire tomber une entreprise. Vous pouvez également consulter notre guide expliquant les meilleures pratiques de cybersécurité pour rester en sécurité contre les périls numériques d’aujourd’hui.