De nouvelles données pourraient aider les RSSI à quantifier la valeur d’une solide culture de sécurité

  • FrançaisFrançais



  • Avertissement de phishing vu sur Google Chrome lors de la visite d’un site Web qui a été reconnu comme site Web de phishing. (Christiaan Colen / CC BY-SA 2.0)

    Construire un programme de formation de sensibilisation à la sécurité pour développer une forte culture infosec nécessite du temps et de l’argent, et les responsables de la sécurité de l’information essaient fréquemment de justifier un tel investissement en citant le retour sur investissement et d’autres indicateurs de réussite.

    Une telle preuve démontrable peut être insaisissable, mais cette semaine, les chercheurs de KnowBe4 ont publié les résultats d’une étude approfondie examinant le comportement et la culture de sécurité de plus de 97 000 employés dans 1 115 organisations à travers le monde.

    L’objectif était de voir s’ils pouvaient quantifier la corrélation entre la mise en œuvre d’une forte culture de sécurité et la réduction des comportements de phishing indésirables tels que le clic sur les liens et le partage d’informations d’identification. De toute évidence, ils ont une relation inversement proportionnelle: à mesure que la formation et la sensibilisation s’améliorent, les comportements à risque diminuent. Mais de combien?

    Maintenant, nous le savons: KnowBe4 a constaté que les employés des entreprises ayant une bonne culture / formation en matière de sécurité étaient 52 fois moins susceptibles de pratiquer des comportements risqués de partage d’informations d’identification que les employés d’entreprises ayant une culture / formation de sécurité médiocre. KnowBe4 affirme que son étude est la première à quantifier complètement cette corrélation, notant que les chercheurs ont compilé les données en mesurant les comportements des employés sur une plateforme d’évaluation de l’hameçonnage, puis en combinant ces résultats avec les réponses d’une enquête scientifique sur la culture de la sécurité.

    Sur la photo: un graphique représentant les résultats de l’étude. (image extraite du rapport KnowBe4)

    «J’ai l’impression que de nombreuses organisations différentes ont essayé de mesurer cela de différentes manières», a déclaré Caroline Wong, directrice de la stratégie chez Cobalt.io. (Exemple concret: ce rapport 2020 Global Employee Risk Insights d’Elevate Security. Mais “Je pense que plus nous disposons de données exploitables en tant qu’industrie, mieux c’est.”

    SC a demandé à plusieurs experts si la possession de telles données pouvait suffire aux RSSI pour justifier la valeur d’une formation de sensibilisation à la sécurité auprès du PDG, du conseil d’administration et d’autres chefs d’entreprise clés.

    Joanna Huisman, vice-présidente senior des informations stratégiques et de la recherche chez KnowBe4, a convenu que cela aiderait cette cause, expliquant qu’il existe trois clés pour établir un programme de sensibilisation à la sécurité dans votre organisation: «S’assurer que les dirigeants comprennent la pertinence et l’impact de la façon dont le programme auront un impact favorable sur leurs objectifs commerciaux spécifiques, en faisant du programme un élément primordial dans tous les objectifs commerciaux, en présentant les paramètres du programme comme un catalyseur global de la gestion des risques. »

    Tom Pendergast, directeur de la formation chez MediaPro, a déclaré que la recherche était un «pas en avant majeur» car plutôt que de simplement viser à justifier la valeur d’une solution unique de sensibilisation à la sécurité telle que les simulations anti-hameçonnage, l’étude plaide plutôt pour la pratique de la sécurité. sensibilisation de manière globale et holistique dans toute votre organisation.

    «Ainsi, l’étude fournit une justification solide pour les programmes de formation et de sensibilisation plus systémiques recommandés par les principaux analystes et fournisseurs», a déclaré Pendergast. «En bref, cette recherche démontre que si vous voulez vraiment réduire les risques humains, vous devez vous concentrer en permanence sur l’amélioration de votre culture de sécurité. C’est une preuve que vous pouvez apporter à votre RSSI pour obtenir le financement dont vous avez besoin. »

    Mais ce n’est qu’un début. Les experts disent qu’il y a encore plus de données que les professionnels de l’infosec peuvent potentiellement utiliser pour démontrer les avantages d’une culture de sécurité forte.

    Par exemple, même si Pendergast a déclaré que le rapport approuvait une approche holitique de la culture de la sécurité, il a noté qu’une grande partie des données était dérivée d’un exercice anti-phihing, où la cyber-hygiène est tellement plus.

    Huisman a également donné des conseils aux RSSI qui tentent de faire valoir leurs droits. Pour commencer, «Concentrez-vous sur quelques éléments de mesure critiques qui sont significatifs et utiles», a-t-elle déclaré. Un bon point de départ pourrait être d’examiner la corrélation entre l’achèvement de la formation sur la sensibilisation à la sécurité et les employés présentant des pourcentages élevés de taux de clics de simulation d’hameçonnage.

    «Regardez les employés en retard dans leurs cours avec des pourcentages élevés de hameçonnage pour identifier les risques potentiels», a déclaré Huisman. «Évaluez si votre public peut détecter un hameçonnage et collaborez avec le service informatique pour voir s’il signale des e-mails suspects via le bouton d’alerte de phishing ou via d’autres mesures communiquées. Le service informatique peut fournir des mesures sur la fréquence de ce qui est rapporté dans un environnement post-formation afin que vous puissiez les comparer avec vos benchmarks pré-formation. »

    Pourtant, Pendergast a déclaré qu’il aimerait que les données des études futures dépassent les résultats de simulations de phishing. «Nous nous appuyons sur le phishing parce que nous avons les données; cependant, nous devons trouver des moyens d’identifier d’autres comportements associés au risque humain si nous voulons raconter toute l’histoire », a-t-il noté.

    Pendergast a déclaré que pour obtenir une image plus complète, les chercheurs pourraient, par exemple, vouloir intégrer les résultats de SebDB (de CybSafe), une base de données de comportement de cybersécurité qui cartographie les comportements de sécurité aux résultats liés aux risques et que je maintiens par des professionnels de la sécurité et universitaires du monde entier.

    Mais même avec plus de données, «les chiffres seuls ne suffisent pas», a averti Wong. «Ils doivent être considérés à travers le prisme de la posture de risque et de sécurité de chaque organisation, ainsi que des objectifs commerciaux.»

    «Je pense qu’en fin de compte, lorsqu’il s’agit de vendre des dirigeants de la suite C sur des investissements pour des initiatives de sécurité, il s’agit de moyens simples d’expliquer la gestion des risques d’une manière qui se rapporte à l’activité spécifique», a-t-elle expliqué.

    Source

    Laisser un commentaire

    Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *