Avec un nombre sans précédent d’employés travaillant désormais dans des environnements hybrides ou de télétravail complet, aggravés par une augmentation de cybermenaces et une main d'œuvre plus débordée et fatiguée par les informations Covid-19, il n’y a jamais eu de moment plus critique pour créer et maintenir efficacement une main d'œuvre cybersécurisée et une culture de sécurité engagée.

A tel point que le facteur humain demeure aujourd’hui le plus grand danger pour la cybersécurité des organisations, selon le dernier rapport de SANS Security Awareness Report.

« Les personnes sont devenues le principal vecteur d'attaque pour les cybercriminels du monde entier, » résume Lance Spitzner, directeur de la sensibilisation à la sécurité de SANS et co-auteur du rapport. 
« Plutôt que la technologie, ce sont les humains qui représentent le risque le plus important pour les organisations. Les professionnels qui supervisent des programmes de sensibilisation à la sécurité sont la clé pour gérer ce risque de manière efficace. »

Après avoir analysé les données de plus de 1.000 professionnels de la sensibilisation à la sécurité dans le monde, l’étude établit des points de référence mondiaux actualisés sur la manière dont les organisations gèrent leur facteur humain et fournit une marche à suivre pour apporter des améliorations avec des mesures clés dans la Matrice des indicateurs du modèle de maturité de la sensibilisation à la sécurité permettant de mesurer les progrès.

« Les programmes de sensibilisation permettent aux équipes de sécurité de gérer efficacement leur facteur humain en changeant la perception de la cybersécurité et en promouvant les comportements sûrs, depuis le conseil d'administration jusqu’aux échelons inférieurs », explique Spitzner. « Le rapport permet aux professionnels de la sensibilisation à la sécurité de prendre des décisions fondées sur des données quant à la meilleure façon de sécuriser leurs effectifs et de parler des risques aux dirigeants d’une manière convaincante qui démontre la valeur de leurs priorités stratégiques. »

Les principales conclusions de l’étude soulignent le fait que plus de 69% des professionnels de la sensibilisation à la sécurité passent moins de la moitié de leur temps à la sensibilisation. Les données montrent que les responsabilités de la sensibilisation à la sécurité sont le plus souvent confiées à des personnes ayant une formation très technique, souvent dépourvus des compétences nécessaires pour engager efficacement leur personnel dans des termes simples à comprendre.

Les professionnels de la sensibilisation à la sécurité en Australie/Nouvelle-Zélande ont la rémunération annuelle moyenne la plus élevée (121.236 $), tandis que l’Amérique du Sud ont la plus faible (56.960 $). Les salaires dans la région EMEA se situent entre les deux, avec une moyenne de 84.656 $ par an. 
En Amérique du Nord, plus le niveau de maturité du programme de sensibilisation à la sécurité d’une organisation est élevé, plus le salaire des professionnels de la sensibilisation qui y travaillent est élevé.
Les trois principaux défis signalés pour la mise en place d’un programme de sensibilisation à la sécurité sont tous liés à un manque de temps ; notamment le manque de temps pour la gestion de projet, les limites du temps de formation pour impliquer les employés et un manque de personnel. 

Les deux principales conséquences de la pandémie étaient le défi d’une main d'œuvre débordée et un environnement de travail où les cyberattaques d’origine humaine sont devenues plus fréquentes et plus efficaces.

Les mesures à prendre pour accroître le soutien des dirigeants consiste à parler en termes de gestion des risques, et non de conformité, et surtout d’expliquer « pourquoi » vous faites quelque chose, et non pas « ce que » vous faites. 
En outre, il convient de créer un sentiment d’urgence en utilisant les données et communiquer des valeurs en démontrant un alignement avec les priorités des dirigeants.

Last but not least, il est recommandé aux organisations de communiquer et d'interagir avec leurs effectifs ou d'organiser des formations au moins une fois par mois. Maintenir une formation simple et facile à suivre était la clé pour accroître les opportunités d’impliquer et d’entraîner sa main d'œuvre.
« Les programmes de sensibilisation à la sécurité les plus matures changent non seulement le comportement et la culture des effectifs, mais ils démontrent également leur valeur à diriger via un cadre de mesures, » conclut Spitzner.