Phishing : Formez vos salariés coûte que coûte !


Les salariés représentent le maillon faible en sécurité informatique, le plus souvent en étant victimes de hameçonnage. Le remède serait donc de les sensibiliser et de les former. Mais est-ce rentable ?

À la une, Bonnes Pratiques, Cybersécurité // 14/12/2015

Trop cher ? Les entreprises ont du mal à estimer la rentabilité à former leurs salariés sur les questions de cybersécurité, d’où leur frilosité à investir. De ce constat, le groupe Wombat Security Technologies qui dispense des formations a commandé deux études cette année : l’objectif est de démontrer que la sensibilisation et l’éducation contre le phishing revient beaucoup moins cher que d’en payer les conséquences. L’une a été réalisée par le groupe Aberdeen, la deuxième par l’institut Ponemon.

Sensibiliser les directions avant de former les salariés

Le rapport Aberdeen constate que les entreprises dépensent énormément d’argent dans des solutions de sécurité sans que celles-ci puissent être à 100% efficaces, le maillon faible restant celui qui se trouve entre la chaise et l’écran.

Les nombreux contrôles et mesures de protection mis en place ne permettent pas de réduire considérablement le risque dès lors que l’employé n’est pas inclus dans la boucle. La formation permet donc de combler cet écart en matière de sécurité.

Mais il n’est pas toujours aisé pour les services responsables de la sécurité de remonter ces besoins à la direction.

Derek Brink, vice-président et chargé de recherche pour Aberdeen Group, a déclaré au Harte Hanks :

Il est important pour les équipes de sécurité de communiquer clairement sur les risques que les organisations acceptent quand la réaction de leurs employés aux menaces cybernétiques n’est pas abordée.

Aberdeen et Wombat ont développé ce modèle pour répondre à la question la plus fondamentale et logique que les équipes de sécurité peinent souvent à aborder : Comment un investissement dans le changement de comportement de l’utilisateur final grâce à des solutions de formation de sécurité novatrices réduit-il le risque de l’organisation ?

Coût du phishing

Selon l’étude Ponemon, le coût du phishing s’élèverait en moyenne, aux Etats-Unis, à près de 4 million de dollars sur un an par entreprise.

Dans le détail : le coût de maîtrise du logiciel malveillant serait de l’ordre de 200 000 dollars, contre près de 340 000 dollars quand celui-ci a réussi à se propager hors de contrôle. A cela s’ajoute un peu plus de 1,8 million de dollars de perte de productivité, et encore plus de 380 000 dollars de coût de remédiation de la compromission d’identifiants, et enfin plus de 1 million de dollars de coûts induits par la compromission d’identifiant non maîtrisée.

Ces chiffres produits par l’institut Ponemon se basent sur un panel de 337 responsables IT et RSSI aux Etats-Unis d’organisations comptant plus de 1000 utilisateurs. L’estimation du coût de maîtrise d’un logiciel malveillant est basée sur celle du temps consacré à la préparation, la collecte et à l’analyse des renseignements sur le logiciel malveillant, à l’investigation, au nettoyage des machines contaminées, et à la documentation.

L’institut reconnaît des limites à son exercice. Toutefois, son étude a le mérite de donner pour la première fois une démonstration des avantages économiques que les entreprises peuvent tirer en investissant dans la sensibilisation et la formation des salariés.

Rentabilité et efficacité des formations

Les résultats des deux études tirent les mêmes conclusions : Former ses salariés est rentable.

Selon Aberdeen, la sensibilisation et la formation de tous les salariés, pas seulement les professionnels de l’informatique, pour faire face aux risques liés aux réseaux sociaux et au phishing réduiraient les risques suivant les organisations de 45 à 70 %.

Le groupe a cherché à estimer le coût des infections résultant du comportement de l’employé, et a constaté que dans un organisme de 200 millions de dollars de chiffre d’affaires, il y a une probabilité de 80% que les comportements à risques des employés entraînent des coûts totaux de 2,5 millions de dollars, avec une chance de 20% de dépasser 8 millions de dollars.

Pour Ponemon, une formation appropriée des utilisateurs peut permettre d’économiser 1,8 million de dollars par an en moyenne. En effet, alors que Wombat propose des formations à moins de 4 dollars par salarié, une entreprise de 10 000 salariés pourrait économiser quelque 184 dollars par utilisateur et par an.

Convaincant, vous ne trouvez pas ?

2 commentaires sur “Phishing : Formez vos salariés coûte que coûte !

  1. Ping : Au moins 5 choses que vous ne devriez pas partager sur internet | Le Blog de F-Secure

  2. Ping : Au moins 5 choses que vous ne devriez pas partager sur internet – Le Blog de F-Secure

Laisser un commentaire

Entrez vos coordonnées ci-dessous ou cliquez sur une icône pour vous connecter:

Logo WordPress.com

Vous commentez à l'aide de votre compte WordPress.com. Déconnexion / Changer )

Image Twitter

Vous commentez à l'aide de votre compte Twitter. Déconnexion / Changer )

Photo Facebook

Vous commentez à l'aide de votre compte Facebook. Déconnexion / Changer )

Photo Google+

Vous commentez à l'aide de votre compte Google+. Déconnexion / Changer )

Connexion à %s