À quoi reconnaît-on une solution de sensibilisation à la sécurité informatique d'exception ? À ses résultats en termes de réduction des risques résultant d'une erreur humaine. Face à des cybercriminels qui ciblent plus directement que jamais les personnes, réduire ces risques est devenu une priorité pour les entreprises. Les données communiquées par le Forum économique mondial soulignent la nécessité d'améliorer la situation, 95 % des problèmes de cybersécurité étant en effet imputables à des erreurs humaines.
La bonne nouvelle, c'est que la plupart des entreprises font désormais de la formation et de la sensibilisation à la sécurité informatique une priorité pour au moins une partie, voire l'ensemble, de leurs collaborateurs. Les recherches menées pour les besoins du rapport State of the Phish 2022 de Proofpoint révèlent que 99 % des entreprises à travers le monde ont mis en place un programme de sensibilisation à la sécurité informatique.
La mauvaise nouvelle, c'est que bon nombre de ces programmes ne sont pas aussi efficaces que les entreprises pourraient le croire. En effet, nombreuses sont les entreprises qui évaluent l'efficacité de leurs programmes en se basant uniquement sur le taux d'achèvement des formations. Or les analystes encouragent désormais les professionnels de la sécurité à adopter une tout autre approche et à utiliser des indicateurs comportementaux ayant une incidence réelle sur la sécurité.
Une solution performante
Proofpoint a récemment remporté le prix CISO Choice 2022 dans la catégorie Formation de sensibilisation à la sécurité informatique. Quel est le rapport avec ce qui précède ? Cette récompense démontre que le programme Proofpoint Security Awareness Training est non seulement considéré comme étant à la pointe du secteur, mais aussi qu'il donne des résultats en matière de sécurité informatique, comme le prouvent les données recueillies auprès des clients.
En effet, nos clients ont observé, en seulement six mois, une diminution de 40 % du nombre de clics sur des liens malveillants par leurs utilisateurs. Voici comment Proofpoint est parvenu à ce résultat et l'a validé.
Les détails de notre étude
Proofpoint a suivi 4 millions d'utilisateurs chez près de 500 clients sur une période de 12 mois en 2020 et 2021. Ces clients étaient basés dans le monde entier et représentaient 35 secteurs d'activité, tant du secteur public que privé.
Pour évaluer l'efficacité de leur programme de formation et de sensibilisation à la sécurité informatique, de nombreuses entreprises mesurent la diminution du taux de clics lors de simulations d'attaques de phishing. Pour les besoins de cette étude, en revanche, Proofpoint a choisi de mesurer le taux de clics lors d'attaques réelles, les simulations d'attaques de phishing pouvant être biaisées pour diverses raisons, notamment le niveau de difficulté du modèle de phishing.
Nous souhaitions également évaluer l'impact de la formation de sensibilisation à la sécurité informatique sur le comportement réel des utilisateurs. Ces derniers appliquent-ils leurs connaissances et leurs compétences là où c'est le plus important, à savoir au niveau de leur boîte email, et leurs clics sur des liens malveillants ont-ils diminué ?
Dans le cadre de notre étude, nous avons utilisé la solution Proofpoint Targeted Attack Protection pour calculer le taux de clics sur des emails de phishing réels avant l'achat et l'implémentation de la solution Proofpoint Security Awareness Training.
Nous avons ensuite comparé ce taux aux taux de clics trois et six mois après l'implémentation de la solution. Nous avons ainsi constaté que les clients qui avaient adopté la solution Proofpoint Security Awareness Training présentaient, en moyenne, une diminution de 31 % du taux de clics sur des liens malveillants en seulement trois mois, cette diminution passant à 40 % au bout de six mois.
Les services managés pour optimiser votre programme et les résultats
Pour obtenir de tels résultats en seulement 90 jours, il est essentiel que le programme de sensibilisation à la sécurité informatique de votre entreprise soit rapidement opérationnel.
Comme bon nombre d'entreprises, il est probable que vous souffrez de la pénurie de professionnels de la sécurité. Cela ne doit pas pour autant vous faire renoncer à la mise en place de votre programme. Proofpoint peut vous aider : notre équipe des services managés collabore avec certains de nos clients les plus avertis ayant des structures et exigences organisationnelles d'une grande complexité. Dans notre récente étude, nous avons vu que les clients recourant à nos services managés obtenaient des réductions similaires des risques liés aux utilisateurs.
Notre équipe de services managés aide votre entreprise à mettre en place un programme fondé sur les bonnes pratiques dès le premier jour, de façon à ce que vous profitiez au plus vite d'une réduction des risques liés aux utilisateurs.
Mais il n'est pas toujours facile de mesurer l'impact d'un programme de sensibilisation à la sécurité informatique et de le communiquer aux dirigeants. Pour savoir comment évaluer l'impact de votre formation de sensibilisation à la sécurité informatique et obtenir des résultats à long terme, téléchargez notre eBook Mesurer l'efficacité de la sensibilisation à la sécurité informatique pour une protection durable.