Les responsables de sécurité des systèmes d’information (RSSI) de la zone EMEA tournent le dos aux actions traditionnelles de sensibilisation à la cybersécurité. En effet, une nouvelle étude, Rethinking Human cyber Risk, révèle que 78 % d’entre eux pensent qu’il est urgent de changer d’approche.
Cette étude, réalisée par MetaCompliance, société de gestion des risques
humains qui place la sécurité au cœur des organisations, met en évidence un
constat généralisé : les méthodes actuelles ne protègent pas des risques cyber
liés à l’humain.
D’après l’enquête menée
dans le cadre de cette étude auprès de 200 RSSI en France, au Royaume-Uni, en
Suède et en Allemagne, 81 % des répondants affirment que les programmes de
sensibilisation échouent parce qu’ils abordent le risque humain comme un simple
enjeu de formation, et non comme un défi de gestion des risques à part entière.
Par ailleurs, 68 % des entreprises estiment que leurs propres collaborateurs
constituent le principal risque en matière de cybersécurité, ce qui témoigne
d’une vulnérabilité persistante au cœur de la sécurité institutionnelle.
Malgré des investissements constants dans les programmes de sensibilisation (les entreprises allouent en moyenne 15 % de leur budget annuel de sécurité à la sensibilisation, et 79 % d’entre elles dispensent des formations au moins toutes les deux semaines), les résultats ne sont pas à la hauteur. Un quart
(25 %) des entreprises expriment des difficultés à capter l’attention des collaborateurs, tandis que
24 % ne parviennent pas à faire adopter des
pratiques sûres au quotidien, et 24 % peinent à obtenir l’implication des
différents services. L’enjeu est donc autant organisationnel que
comportemental.
Ce décalage s’explique par une approche dépassée. Si de nombreux RSSI considèrent que leur organisation a dépassé le stade des « cases à cocher » en matière de sensibilisation, et que certains qualifient même leur approche de comportementale (33 %) ou intégrant une gestion du risque humain
(24 %), les
progrès perçus ne se traduisent pas par un changement significatif.
« Le niveau de confiance augmente, mais cela
ne signifie pas que le risque diminue », fait remarquer James Mackay, directeur
général de MetaCompliance. « De nombreuses entreprises pensent qu’en
ayant “coché la case” de la formation à la cybersécurité, elles sont réellement
protégées, alors que les failles humaines n’ont pas changé.
Cela crée un décalage
dangereux. Les entreprises se sentent plus en sécurité, mais les collaborateurs
restent leur principale vulnérabilité. Dans le même temps, les menaces sont de
plus en plus sophistiquées, car l’IA augmente l’échelle et la précision des
attaques par ingénierie sociale. Les organisations seront donc de plus en plus
exposées si ce décalage subsiste. »
Par conséquent, les RSSI réclament un modèle plus stratégique. Près de quatre sur cinq (79 %) souhaitent évoluer vers une gestion du risque humain, une approche qui se concentre à la fois sur l’identification des individus à haut risque, sur l’adaptation des interventions en fonction du comportement, mais aussi sur le renforcement d’une culture de sécurité collective à l’échelle de l’organisation. Ils sont
83 % à penser que des interventions ciblées
réduiraient les risques plus rapidement, et 80 % à estimer que les messages de
sécurité sont plus efficaces lorsqu’ils sont diffusés pendant les tâches de
travail.
Une telle évolution est
nécessaire à l’heure où les nouvelles menaces pressent les entreprises à
moderniser leurs défenses. Au cours des 12 prochains mois, les entreprises
consultées prévoient de se concentrer sur l’augmentation de la fréquence
d’engagement (27 %), de produire un retour sur investissement mesurable (25 %)
et d’adapter les interventions aux individus à haut risque (24 %), en
particulier pour répondre aux attaques par ingénierie sociale dopée à l’IA (24
%).
« Comme n’importe quel autre risque, le risque cyber lié à l’humain doit constamment être suivi, mesuré et ciblé », ajoute James Mackay. Cela signifie d’aller au-delà de la sensibilisation pour faire réellement changer les comportements. Les entreprises doivent inverser leur approche de la cybersécurité : elles doivent utiliser les informations en temps réel pour cibler les bonnes personnes et leur délivrer le bon message, au bon moment. C’est la seule manière de réduire le risque cyber lié à l’humain à grande échelle. »


