Les programmes de sensibilisation à la sécurité informatique ont une vraie valeur
Des données issues d’une étude conduite par PricewaterhouseCoopers (PwC) indiquent que les organisations dotées d’un programme de sensibilisation des utilisateurs finaux aux risques informatiques sont moins susceptibles de souffrir de fuites de données.
C’est du moins ce qui ressort de la toute dernière édition du rapport «Information Security Breaches Survey» de PwC. Cette étude bi-annuelle, dont la dernière édition a été rendue publique lors d’Infosecurity, fin avril dernier, à Londres, est considérée comme un baromètre pertinent des grandes tendances de la sécurité informatique au Royaume-Uni. Mais ses enseignements sont susceptibles d’intéresser ce côté-ci de la Manche et même au-delà.
Selon cette étude, les incidents de sécurité ont atteint des niveaux historiques en 2011, outre-Manche, coûtant de 5 à 10 M£ par an à l’économie britannique. Selon PwC, 95 % des grandes organisations locales et 63 % des entreprises plus modestes disposent d’une politique de sécurité bien documentée. Mais seulement un quart des sondés estiment que ces politiques sont bien comprises par les utilisateurs finaux. Et selon l’étude, les incidents liés aux utilisateurs sont plus communs dans les entreprises où la politique de sécurité n’est pas bien comprise; et ils sont moins fréquents lorsque la communication a été plus complète et plus efficace.
Chris Potter, associé du cabinet et co-auteur de l’étude, estime que ces découvertes soulignent le besoin d’une meilleure formation des employés : «la source de ces attaques est souvent un manque de sensibilisation à la sécurité informatique », estime-t-il, ajoutant que «ces informations montrent qu’investir dans la sensibilisation des utilisateurs s’avère payant. Les chiffres montrent clairement que les organisations où la politique de sécurité est bien comprise ont moins de risque d’être victimes d’un incident de sécurité ».
L’étude PwC, initialement financée par le ministère britannique de l’innovation en entreprise et des compétences, est basée sur les réponses de 477 entreprises d’outre-Manche, collectées entre février et mars 2012.
En réalisant son étude, le cabinet a également constaté que la sécurité compte en moyenne pour 8 % des budgets IT, soit un niveau comparable à celui de 2010. Mais une entreprise sur huit consacre moins de 1 % de son budget IT à la sécurisation de son patrimoine informationnel. Selon Potter, certaines grandes organisations semblent être tombées dans la complaisance; et 12 % des sondés estiment que les managers seniors n’accordent qu’une faible importance à la sécurité informatique.
Toutefois, selon Potter, la sécurité n’est pas qu’une question d’investissements technologiques. Il encourage tout particulièrement les grandes organisations à mettre en place des politiques et des processus de sécurité solides et à les accompagner par des programmes de formation sérieux.
Adapté de l’anglais par la rédaction
Pour approfondir sur Gestion des accès (MFA, FIDO, SSO, SAML, IDaaS, CIAM)
-
Transformation digitale : les DRH regardent vers l’IA générative (et la RPA)
-
IA : le juriste « augmenté » n’est pas encore une réalité, mais cela ne saurait tarder (PwC)
-
Google dévoile un nouveau service de renseignement sur les menaces au salon RSAC 2024
-
L’essentiel sur GoFAST : la GED devenue alternative souveraine à Office 365