S'il y a bien quelque chose que j'ai appris à propos de la formation de sensibilisation à la sécurité, c'est que la valeur d'un programme s'évalue au travers d'une mesure efficace. Malheureusement, la sensibilisation à la sécurité ne pèse pas bien lourd en termes de budget par rapport aux contrôles techniques. Il est donc primordial d'évaluer correctement les indicateurs et de les communiquer à votre responsable de la sécurité des systèmes d'information (RSSI) et aux autres parties prenantes pour :
- obtenir une adhésion durable ;
- éviter une perte de temps et la frustration de devoir recommencer votre programme de formation et de sensibilisation à la sécurité.
Les préoccupations de la direction diffèrent selon la conception de votre programme. Ainsi, si votre programme est essentiellement orienté conformité, l'entreprise peut s'attarder à un indicateur tel qu'une case à cocher « Formation terminée ». S'il porte principalement sur la sensibilisation et l'évaluation des comportements, l'entreprise peut davantage s'attacher à la participation et à d'autres indicateurs tels que le taux de clics ou le taux de signalement dans les simulations. Les entreprises qui optent pour des programmes de formation avancés peuvent même aller plus loin encore. Voyons cela d'un peu plus près.
Mesurer les points pertinents de votre démarche de sensibilisation à la sécurité
Selon le rapport Market Guide for Security Awareness 2021 de Gartner, il convient d'« utiliser des indicateurs de la sécurité informatique autres que le taux de clics lors des tests de phishing pour évaluer la réussite d'un programme ». Nous sommes on ne peut plus d'accord. Bon nombre de clients avec lesquels nous sommes en relation se focalisent sur le taux de clics dans les simulations de phishing en tant que principal indicateur de la sensibilisation à la sécurité. Si c'est certes un bon point de départ, ce choix n'en comporte pas moins de nombreuses failles.
Figure 1. Les VAP (Very Attacked People™, ou personnes très attaquées) désignent les utilisateurs de votre entreprise qui sont ciblés par le plus grand nombre d'attaques et les types d'attaques les plus dangereux détectés par Proofpoint Targeted Attack Protection. Proposer des formations ciblées plus fréquentes à ces utilisateurs peut contribuer à réduire les risques et à faire progresser votre programme.
Initialement, le taux de clics varie fortement selon le taux d'échec moyen du modèle utilisé et le public cible. Plus les programmes sont avancés, plus il importe de prendre en considération des modèles plus ciblés s'adressant à des publics différents tels que les VAP. Même si le taux de clics varie, il ne permet pas de conclure que les collaborateurs adoptent les bons comportements, mais seulement qu'ils évitent de mal faire.
Taux d'échec moyen, taux de signalement et facteur de résilience par secteur d'activité
Figure 2. Notre rapport State of the Phish 2021 met en évidence le facteur de résilience, à savoir le taux de signalement divisé par le taux de clics. Idéalement, les entreprises doivent viser un facteur de résilience de 14.
Lorsque vous utilisez un indicateur tel que le taux de signalement dans un module d'extension de phishing par email, vous pouvez démontrer concrètement aux utilisateurs que non seulement ils évitent une attaque, mais aussi qu'ils se montrent proactifs en adoptant les bons comportements et en contribuant à la sécurité de l'entreprise.
En règle générale, nous recommandons un taux de signalement de 70 % minimum pour les simulations de phishing et un taux de clics inférieur à 5 %, ce qui donne un facteur de résilience de 14 pour les clients les plus performants.
Calcul du score de précision des emails signalés
Le score de précision des emails signalés repose sur vos performances au cours des 90 derniers jours par rapport à la précision moyenne des emails signalés pour l'ensemble des clients au cours des 90 derniers jours.
| Comparaison de la précision des emails signalés | |
|---|---|
| Précision de votre entreprise | 43% |
| Précision du client le moins performant | 0% |
| Précision du client le plus performant | 100% |
Figure 3. Notre nouveau tableau de bord du RSSI illustre les différents domaines de votre programme et le percentile auquel vous correspondez par rapport aux autres clients. Ces informations vous permettent de vous concentrer sur les points à améliorer.
Pour aller plus loin, il est capital et intéressant de comprendre les impacts réels de votre programme de sensibilisation à la sécurité. Par exemple, lorsque vos utilisateurs signalent des messages, signalent-ils des messages inoffensifs ou des messages malveillants ?
Nous utilisons la pile de détection des menaces Proofpoint pour attribuer un score aux emails signalés par les utilisateurs. Nous pouvons ainsi évaluer le volume d'emails malveillants que les utilisateurs signalent et le comparer à celui d'autres clients.
Figure 4. Les impacts de la sensibilisation à la sécurité vont au-delà des indicateurs de conformité et de simulation, et peuvent contribuer à améliorer la sécurité globale des entreprises en réduisant le taux de clics réel, en augmentant le signalement de messages malveillants et en limitant les incidents de sécurité d'origine humaine.
Par ailleurs, si vous parvenez à recueillir des informations sur d'autres impacts de sécurité centrés sur les personnes tels que :
- les attaques de phishing fructueuses,
- le taux de clics sur des contenus malveillants connus,
- les compromissions d'identifiants de connexion,
- les incidents d'origine interne,
- les mesures correctives appliquées aux machines suite à une attaque de malware ou de ransomware,
… vous êtes en mesure de prouver que ces indicateurs clés ont diminué et que votre programme de sensibilisation y est pour quelque chose. Vous pourrez ainsi améliorer vos futurs investissements et démontrer comment votre programme modifie les comportements et renforce la culture de la sécurité.
Comprendre la vulnérabilité des utilisateurs
Figure 5. La section Vulnérabilité des utilisateurs du tableau de bord du RSSI indique les utilisateurs et participants peu performants. Si les utilisateurs sont identifiés en tant que VAP par Proofpoint Targeted Attack Protection, ces données sont intégrées pour obtenir un meilleur aperçu des vulnérabilités.
Il arrive que l'adhésion à l'extension du programme de sensibilisation pose problème. Les parties prenantes craignent que les utilisateurs passent trop de temps en formation ou se lassent des exercices de sensibilisation à la sécurité.
L'une des stratégies que nous avons observées chez certains clients consiste à centrer plus régulièrement les efforts de formation sur les utilisateurs vulnérables. De cette façon, les parties prenantes reconnaissent qu'un complément de formation est justifié pour ces utilisateurs et que tous les collaborateurs ne requièrent pas les mêmes investissements en termes de formation. C'est une manière stratégique de faire adhérer les parties prenantes à l'extension de votre programme.
Communiquer efficacement avec votre RSSI et les principales parties prenantes
Lors de notre événement annuel de sensibilisation à la sécurité, Wisdom 2021, de nombreux participants ont soulevé le problème de l'utilisation abusive de la peur ambiante, des doutes et des incertitudes. Ces arguments ne vous mèneront pas bien loin auprès des responsables de la sécurité.
Dès lors, comment communiquer les performances de votre programme de sensibilisation à la sécurité à votre RSSI et aux autres parties prenantes ? Vous pouvez aborder la question selon deux angles d'approche : le facteur « quantité » et le facteur « qualité ».
En ce qui concerne les scores de quantité, la compréhension de vos performances globales et de votre positionnement par rapport aux entreprises concurrentes a son importance en termes de contexte. Lorsque c'est possible, concentrez-vous sur des indicateurs positifs plutôt qu'exclusivement sur le taux de clics. Par exemple :
- Les utilisateurs ont signalé plus de simulations de phishing.
- Les connaissances en matière de sensibilisation à la sécurité ont augmenté.
- Les utilisateurs se sont améliorés en ce qui concerne le signalement de messages malveillants.
- La participation des utilisateurs aux activités de sensibilisation à la sécurité a augmenté.
Notre nouveau tableau de bord du RSSI vous permet de le faire en toute simplicité. Il affiche les scores de performances et de participation qui illustrent à quel percentile vous correspondez dans chaque domaine, ainsi que l'évolution globale de chaque score. Le score global vous permet de vous situer en un clin d'œil et les icônes de type feux de signalisation vous indiquent les domaines dans lesquels le programme doit être amélioré.
Figure 6. La section Résumé du score du programme de sécurité vous aide à communiquer rapidement les performances du programme à votre RSSI.
Si le facteur « quantité » est primordial, le facteur « qualité » l'est tout autant. Par exemple :
- Un utilisateur a-t-il neutralisé une attaque de phishing sophistiquée réelle ?
- Avez-vous reçu des retours positifs des utilisateurs concernant votre programme de sensibilisation à la sécurité ? (Envisagez de créer un alias de messagerie ou d'envoyer une brève enquête de satisfaction.)
- Un membre de l'équipe de direction ou un collaborateur connu de votre entreprise a-t-il partagé des informations avec le personnel concernant votre programme de sensibilisation à la sécurité ?
Ces retours, combinés avec les données quantitatives, contribuent à démontrer que la sensibilisation à la sécurité est bien plus qu'une activité de conformité imposée, qu'elle modifie les comportements des utilisateurs et qu'elle fait évoluer activement la culture de l'organisation dans la mesure où les utilisateurs comprennent mieux les risques et participent à la protection de l'entreprise.
Vous souhaitez en apprendre davantage sur l'élaboration d'un programme de sensibilisation à la sécurité et la mesure de son efficacité ? Regardez notre webinaire enregistré ou consultez notre eBook sur la sensibilisation à la sécurité pour découvrir les bonnes pratiques en matière d'instauration et de maintien d'une culture de la sécurité dans votre entreprise.