Les responsables de sécurité des systèmes d’information
(RSSI) de la zone EMEA tournent le dos aux actions traditionnelles de
sensibilisation à la cybersécurité. En effet, une nouvelle étude, Rethinking
Human cyber Risk, révèle que 78 % d’entre eux pensent qu’il est urgent de
changer d’approche. Cette étude, réalisée par MetaCompliance, société de
gestion des risques humains qui place la sécurité au cœur des organisations,
met en évidence un constat généralisé : les méthodes actuelles ne protègent pas
des risques cyber liés à l’humain.
D’après l’enquête menée
dans le cadre de cette étude auprès de 200 RSSI en France, au Royaume-Uni, en
Suède et en Allemagne, 81 % des répondants affirment que les programmes de
sensibilisation échouent parce qu’ils abordent le risque humain comme un simple
enjeu de formation, et non comme un défi de gestion des risques à part entière.
Par ailleurs, 68 % des entreprises estiment que leurs propres collaborateurs
constituent le principal risque en matière de cybersécurité, ce qui témoigne
d’une vulnérabilité persistante au cœur de la sécurité institutionnelle.
Malgré des
investissements constants dans les programmes de sensibilisation (les
entreprises allouent en moyenne 15 % de leur budget annuel de sécurité à la
sensibilisation, et 79 % d’entre elles dispensent des formations au moins
toutes les deux semaines), les résultats ne sont pas à la hauteur. Un quart (25
%) des entreprises expriment des difficultés à capter l’attention des
collaborateurs, tandis que 24 % ne parviennent pas à faire adopter des
pratiques sûres au quotidien, et 24 % peinent à obtenir l’implication des
différents services. L’enjeu est donc autant organisationnel que
comportemental.
Ce décalage s’explique par une approche dépassée. Si de nombreux RSSI considèrent que leur organisation a dépassé le stade des « cases à cocher » en matière de sensibilisation, et que certains qualifient même leur approche de comportementale (33 %) ou intégrant une gestion du risque humain
(24 %), les
progrès perçus ne se traduisent pas par un changement significatif.
« Le niveau de confiance augmente, mais cela
ne signifie pas que le risque diminue », fait remarquer James Mackay, directeur
général de MetaCompliance. « De nombreuses entreprises pensent qu’en
ayant “coché la case” de la formation à la cybersécurité, elles sont réellement
protégées, alors que les failles humaines n’ont pas changé.
Cela crée un décalage dangereux. Les
entreprises se sentent plus en sécurité, mais les collaborateurs restent leur
principale vulnérabilité. Dans le même temps, les menaces sont de plus en plus
sophistiquées, car l’IA augmente l’échelle et la précision des attaques par
ingénierie sociale. Les organisations seront donc de plus en plus exposées si
ce décalage subsiste. »
Par conséquent, les RSSI réclament un modèle plus stratégique. Près de quatre sur cinq (79 %) souhaitent évoluer vers une gestion du risque humain, une approche qui se concentre à la fois sur l’identification des individus à haut risque, sur l’adaptation des interventions en fonction du comportement, mais aussi sur le renforcement d’une culture de sécurité collective à l’échelle de l’organisation.
Ils sont 83 % à penser que des interventions ciblées
réduiraient les risques plus rapidement, et 80 % à estimer que les messages de
sécurité sont plus efficaces lorsqu’ils sont diffusés pendant les tâches de
travail.
Une telle évolution est
nécessaire à l’heure où les nouvelles menaces pressent les entreprises à
moderniser leurs défenses. Au cours des 12 prochains mois, les entreprises
consultées prévoient de se concentrer sur l’augmentation de la fréquence
d’engagement (27 %), de produire un retour sur investissement mesurable (25 %)
et d’adapter les interventions aux individus à haut risque (24 %), en
particulier pour répondre aux attaques par ingénierie sociale dopée à l’IA (24
%).
« Comme n’importe quel autre risque, le risque cyber lié à l’humain doit constamment être suivi, mesuré et ciblé », ajoute James Mackay. Cela signifie d’aller au-delà de la sensibilisation pour faire réellement changer les comportements. Les entreprises doivent inverser leur approche de la cybersécurité : elles doivent utiliser les informations en temps réel pour cibler les bonnes personnes et leur délivrer le bon message, au bon moment. C’est la seule manière de réduire le risque cyber lié à l’humain à grande échelle. »


