Selon un rapport SailPoint, seul un quart des employés est formé à la cybersécurité
Monteriez-vous dans un avion avec un pilote qui n’a suivi que 5 heures de formation au pilotage ? Et bien, sans formation à la sécurité, c’est ce que la plupart des entreprises demandent à leurs clients de faire et exposent leurs données personnelles à des risques inutiles.
D’après le rapport Pandoras Box de SailPoint au Royaume-Uni, à la question ” Avez-vous pris des initiatives sur le lieu de travail pour promouvoir la protection du personnel en matière de cybersécurité ? », seuls 34 % des employés ont régulièrement réinitialisé leur mot de passe et seulement 28 % d’entre eux organisent régulièrement des formations à la sécurité, mais seulement pour moins d’un quart du personnel.
Alors que les environnements de travail changent et que la pandémie de Covid est le plus grand facteur de transformation des entreprises, les organisations sont toujours à la traîne et n’abordent pas l’importance de la formation à la cybersécurité pour tous leurs employés. Selon la récente étude de l’Institut Ponemon “Cost of Data Breach Report”. Au Royaume-Uni, le coût moyen d’une violation de données est de 3,9 millions de dollars et près de 75 % de toutes les violations sont dues à une erreur humaine ou à une attaque malveillante. Ce qui est peut-être le plus effrayant, c’est qu’il faut en moyenne 280 jours pour détecter et contenir une violation, alors qu’une attaque malveillante peut prendre jusqu’à 315 jours pour être identifiée et contenue.
Si l’on ajoute à cela le fait que seule une entreprise sur neuf (11 %) a dispensé une formation à la cybersécurité à des employés non experts en cybersécurité au cours de l’année écoulée, selon le récent rapport sur les compétences en matière de cybersécurité. Lorsqu’une formation est dispensée, elle est généralement obligatoire, mais les sanctions en cas d’échec sont totalement inadéquates. Il est intéressant de noter que l’un des sujets les plus recherchés sur Google est le « Zero Trust », dont les quatre principes sont les suivants :
- Supposer que le réseau est hostile…
- Cataloguez vos personnes et vos appareils.
- Créez des limites au niveau des applications.
- Gérer l’accès et les droits de manière très fine.
Comment se fait-il alors que les entreprises ne parviennent pas à mettre en œuvre un programme solide de formation des employés à la cybersécurité, basé sur des règles, qui, s’il est appliqué par une plateforme d’identité, pourrait appliquer une politique du type “Pas de formation achevée, alors pas d’accès” ? Alors que le coût d’une seule violation de données, l’impact sur la réputation de l’entreprise, le temps de récupération et de reconstruction sont autant d’arguments qui plaident en faveur d’une politique de formation à la sécurité pour toutes les organisations.
Si l’un de vos clients potentiels demandait à connaître la politique de formation de votre organisation en matière de protection de vos systèmes et de leurs données, que répondriez-vous ? Une enquête récente menée par Arcserve montre que 70 % des consommateurs estiment que les entreprises n’en font pas assez pour assurer la cybersécurité. Près de 2 consommateurs sur 3 éviteraient probablement de faire affaire avec une entreprise ayant subi une cyberattaque au cours de l’année écoulée. Si votre valeur fondamentale est de servir vos clients, il est certainement temps d’arrêter de tergiverser et de mettre en place une culture de sensibilisation et de formation à la cybercriminalité pour l’ensemble du personnel.
Nous avons vu avec la FCA qu’elle considère la cyber-résilience et la formation comme essentielles, avec leur évaluation de la résilience opérationnelle, les entreprises doivent se demander :
- Notre entreprise dispose-t-elle d’une stratégie de cybersécurité approuvée par le conseil d’administration ?
- Comment identifie-t-elle et protège-t-elle ses actifs critiques ?
- Comment détecte-t-elle et répond-elle à un incident, comment rétablit-elle l’activité et comment tire-t-elle les leçons de cette expérience ?
Sans un programme de formation à la cybersécurité étayé et appliqué par une plateforme qui contrôle et limite l’accès en fonction des résultats et de l’achèvement de ces formations, votre stratégie, votre processus et votre capacité à protéger et à apprendre sont quelque peu redondants.
Comme l’ont démontré WannaCry et NotPetya, les cyberattaques peuvent se propager incroyablement vite. Plus il y a de réseaux infectés, plus les autres réseaux deviennent à risque. Et la faiblesse d’un réseau augmente la menace globale pour les autres. L’absence de formation adéquate en matière de sécurité dans une organisation peut rendre d’autres organisations vulnérables. Comment réagiriez-vous face à un client qui découvrirait que c’est un membre de votre personnel qui a envoyé un courrier électronique malveillant ou qui a compromis son réseau en raison d’une erreur élémentaire qu’une formation en sécurité aurait pu éviter ?
Aujourd’hui, peu d’entreprises rêveraient de fonctionner sans défenses technologiques. Et pourtant, sans formation de sensibilisation à la sécurité, les défenses technologiques ne peuvent pas réaliser leur potentiel. De nos jours, les attaquants se donnent rarement la peine d’essayer d’attaquer les entreprises uniquement par des moyens technologiques. Les attaquants d’aujourd’hui ciblent généralement les personnes, car elles sont considérées comme un moyen facile d’accéder aux réseaux protégés. Enfin, nous savons tous que les employés qui se sentent en sécurité, protégés et valorisés sont des personnes productives. Il est donc utile de rappeler que la formation à la sensibilisation à la sécurité n’assure pas seulement la sécurité des personnes au travail. Elle les protège également dans leur vie privée.
Alors, monteriez-vous à bord d’un avion avec un pilote ayant reçu une formation de 5 heures, absolument pas, mais pourquoi laissons-nous notre personnel se lâcher sur nos systèmes, applications et données sans protection et formation appropriées. Comme le montrent les statistiques ci-dessus, il est temps pour les organisations de mettre en œuvre un programme de formation à la cybersécurité basé sur une approche zéro, lié à leur plateforme d’accès aux identités, de sorte que l’accès puisse être révoqué si les personnes ne se conforment pas. Tous ces éléments profiteront à leurs clients, à leurs partenaires commerciaux, à leur personnel et à la réputation de leur marque.