Se connecter
Inscription
Mot de passe perdu
Rapport de sensibilisation à la sécurité SANS 2018 : les programmes de sensibilisation à la sécurité gagnent du terrain
Publié le 27/06/2018 Dans Press Releases
Le texte suivant est issu d'un communiqué de presse et ne reflète en rien l'opinion de la rédaction.
Mercredi 27 juin 2018 — SANS Security Awareness, le principal fournisseur de formation en matière de sensibilisation à la sécurité et une division du SANS Institute, a publié son rapport de sensibilisation à la sécurité 2018 intitulé Building Successful Security Awareness Programs (« Créer des programmes efficaces de sensibilisation à la sécurité »). Le rapport a constaté que, bien que le domaine de la sensibilisation à la sécurité soit encore très immature, plusieurs indices donnent à penser que les programmes de sensibilisation à la cybersécurité commencent à gagner du terrain parmi les entreprises. Par exemple, 85 % des personnes interrogées déclarent que leur travail a un impact positif sur la sécurité de leur organisation. De plus, 71 % s'identifient à l'étape « comportementale » ou plus dans le Security Awareness Maturity Model (« Modèle de maturité pour la sensibilisation à la sécurité »), en hausse par rapport aux 65 % rapportés en 2017. L'étude de cette année, avec des données provenant de plus de 1 718 personnes interrogées, s'est également penchée spécifiquement sur le niveau de maturité par industrie et sur la nature des plus grands obstacles au sein des organisations.
Niveau de maturité
En collaboration avec des chercheurs du Kogod Cybersecurity Governance Center (KCGC) sur une initiative de l'université américaine Kogod School of Business (KSB), l'enquête a révélé que l'industrie de la défense est la plus mature, avec plus de 10 % au stade le plus élevé du Modèle de maturité pour la sensibilisation à la sécurité. L'industrie manufacturière a été signalée comme étant la moins mature, avec seulement 2 % à l'étape du Robust Metrix Framework. Alors que les rapports de 2017 (et 2016) sur la sensibilisation à la sécurité indiquaient que les services des communications étaient le principal obstacle à la réussite du programme, le rapport de 2018 indique que ce sont désormais les services des Finances et des opérations qui sont les principaux facteurs de blocage. Il suggère que les professionnels de la sensibilisation à la sécurité sont de mieux en mieux à même d'établir des passerelles entre leurs équipes de communication respectives.
« À la lumière des récentes violations importantes telles que celles subies par Equifax, Yahoo ! et l'attaque de rançongiciel de WannaCry sur le NHS, et compte tenu des nouvelles réglementations comme le Règlement général sur la protection des données (RGPD) de l'UE qui met l'accent sur la protection des données, un nouveau sentiment d'urgence en matière de cybersécurité est en train d'émerger qui suscite à la fois soutien et changement », a déclaré Lance Spitzner, directeur chez SANS Security Awarness. « La sensibilisation à la sécurité peut s'avérer difficile, mais c'est nécessaire et cela en vaut la peine », a-t-il poursuivi.
Manque de temps, de budget et de ressources
Le rapport fait aussi clairement apparaître les domaines dans lesquels peu de progrès ont été réalisés. De nombreux professionnels responsables de la mise en œuvre de leur programme de sensibilisation continuent d'être confrontés à un manque de temps, de budget et de ressources. De plus, la majorité des professionnels de la sensibilisation sont toujours issus d'une formation technique, avec moins de 20 % provenant de domaines non techniques tels que les communications, le marketing, le juridique ou les ressources humaines.
« Le rapport révèle qu'une nette majorité (80 %) des professionnels de la sensibilisation à la sécurité considèrent que leur programme de sensibilisation ne représente qu'une partie de leurs responsabilités professionnelles », déclare Dan DeBeaubien, directeur produit de SANS Security Awareness. « Beaucoup prétendent ne pas avoir de budget pour un programme de sensibilisation ou ne pas savoir quel est leur budget, et la plupart n'ont pas les compétences et/ou l'expérience nécessaires pour communiquer efficacement le programme aux employés et pour les impliquer activement ».
Sans Security Awareness Report
Le rapport de SANS Security Awareness a été élaboré pour permettre aux professionnels de la sensibilisation à la sécurité de prendre des décisions fondées sur des données quant à la manière d'améliorer leurs programmes de sensibilisation à la sécurité et de les comparer à d'autres programmes. En bref, son objectif vise à répondre de manière plus catégorique à la question de savoir ce qui contribue au succès des grands programmes de sensibilisation à la sécurité. Cette année, les données analysées auprès de plus de 1 718 personnes interrogées donnent une idée encore plus précise de la manière de comparer et de mettre au point un programme de sensibilisation à la sécurité.
Le rapport utilise le Security Awareness Maturity Model© comme guide pour identifier le niveau d'impact d'un programme au sein d'une organisation et la manière de mesurer le risque humain et de modifier le comportement de l'utilisateur final.
Niveau de maturité
En collaboration avec des chercheurs du Kogod Cybersecurity Governance Center (KCGC) sur une initiative de l'université américaine Kogod School of Business (KSB), l'enquête a révélé que l'industrie de la défense est la plus mature, avec plus de 10 % au stade le plus élevé du Modèle de maturité pour la sensibilisation à la sécurité. L'industrie manufacturière a été signalée comme étant la moins mature, avec seulement 2 % à l'étape du Robust Metrix Framework. Alors que les rapports de 2017 (et 2016) sur la sensibilisation à la sécurité indiquaient que les services des communications étaient le principal obstacle à la réussite du programme, le rapport de 2018 indique que ce sont désormais les services des Finances et des opérations qui sont les principaux facteurs de blocage. Il suggère que les professionnels de la sensibilisation à la sécurité sont de mieux en mieux à même d'établir des passerelles entre leurs équipes de communication respectives.
« À la lumière des récentes violations importantes telles que celles subies par Equifax, Yahoo ! et l'attaque de rançongiciel de WannaCry sur le NHS, et compte tenu des nouvelles réglementations comme le Règlement général sur la protection des données (RGPD) de l'UE qui met l'accent sur la protection des données, un nouveau sentiment d'urgence en matière de cybersécurité est en train d'émerger qui suscite à la fois soutien et changement », a déclaré Lance Spitzner, directeur chez SANS Security Awarness. « La sensibilisation à la sécurité peut s'avérer difficile, mais c'est nécessaire et cela en vaut la peine », a-t-il poursuivi.
Manque de temps, de budget et de ressources
Le rapport fait aussi clairement apparaître les domaines dans lesquels peu de progrès ont été réalisés. De nombreux professionnels responsables de la mise en œuvre de leur programme de sensibilisation continuent d'être confrontés à un manque de temps, de budget et de ressources. De plus, la majorité des professionnels de la sensibilisation sont toujours issus d'une formation technique, avec moins de 20 % provenant de domaines non techniques tels que les communications, le marketing, le juridique ou les ressources humaines.
« Le rapport révèle qu'une nette majorité (80 %) des professionnels de la sensibilisation à la sécurité considèrent que leur programme de sensibilisation ne représente qu'une partie de leurs responsabilités professionnelles », déclare Dan DeBeaubien, directeur produit de SANS Security Awareness. « Beaucoup prétendent ne pas avoir de budget pour un programme de sensibilisation ou ne pas savoir quel est leur budget, et la plupart n'ont pas les compétences et/ou l'expérience nécessaires pour communiquer efficacement le programme aux employés et pour les impliquer activement ».
Sans Security Awareness Report
Le rapport de SANS Security Awareness a été élaboré pour permettre aux professionnels de la sensibilisation à la sécurité de prendre des décisions fondées sur des données quant à la manière d'améliorer leurs programmes de sensibilisation à la sécurité et de les comparer à d'autres programmes. En bref, son objectif vise à répondre de manière plus catégorique à la question de savoir ce qui contribue au succès des grands programmes de sensibilisation à la sécurité. Cette année, les données analysées auprès de plus de 1 718 personnes interrogées donnent une idée encore plus précise de la manière de comparer et de mettre au point un programme de sensibilisation à la sécurité.
Le rapport utilise le Security Awareness Maturity Model© comme guide pour identifier le niveau d'impact d'un programme au sein d'une organisation et la manière de mesurer le risque humain et de modifier le comportement de l'utilisateur final.
Plus d'articles dans cette catégorie
24/07/2024 @ 12:00:30
Poster un commentaire
Jeux Vidéos
Navigateurs
Sécurité
Programmation
Mobile
