Voici comment calculer le retour sur investissement (ROI) de la formation de votre personnel dans le cadre d’une campagne de sensibilisation à la sécurité.


Une étude de la Le ministère de la culture, des médias et des sports (DCMS) a constaté que 39 % des entreprises britanniques ont subi une cyberattaque en 2022. Le coût de ces violations n’est pas négligeable. Le rapport du DCMS a calculé que l’impact financier d’une seule cyberattaque coûtait à une entreprise de taille moyenne 19 400 livres sterling. Lorsque l’on sait que les organisations sont quotidiennement menacées par des cyberattaques, il y a de quoi s’inquiéter.

La formation à la sensibilisation à la sécurité est l’une des mesures qui peuvent réduire la probabilité qu’une attaque se produise ou progresse. Cela se traduit par une réduction des coûts d’une attaque. Mais le risque d’une attaque vaut-il le prix d’une formation de sensibilisation à la sécurité ?

Éléments à prendre en compte pour calculer le retour sur investissement d’une campagne de sensibilisation à la sécurité

Avant de se lancer dans un calcul visant à déterminer si la formation à la sécurité en vaut la peine, il est nécessaire de dresser un inventaire des éléments inclus. Une attaque de cybersécurité et/ou une atteinte à la protection des données comporte de nombreux éléments mobiles, chacun ayant des coûts tangibles et intangibles.

Voici un aperçu des coûts les plus probables d’une cyberattaque :

Les pertes financières directes d’une cyberattaque

L’impact direct d’une cyberattaque dépend à la fois du type de cyberattaque et de l’organisation. Par exemple, une attaque par ransomware peut entraîner le paiement d’une rançon (bien que le paiement ne soit pas une stratégie recommandée). Il convient toutefois de noter que le montant des rançons a augmenté ces dernières années.

Un rapport de Nordlocker fait état d’une augmentation de 78 % du paiement moyen d’un ransomware, ce qui porte le montant de la rançon à la somme stupéfiante de 541 010 dollars (478 000 livres sterling).

Les coûts d’une cyberattaque peuvent également inclure les dommages causés aux systèmes informatiques, le temps passé à remédier à l’attaque et les recours collectifs : au Royaume-Uni, le nombre de recours collectifs après une cyberattaque a augmenté de 120 % entre 2018 et 2020.

Le coût moyen d’une cyberattaque doit être pris en compte dans le calcul du retour sur investissement d’une campagne de sensibilisation à la sécurité. Cependant, il faut également tenir compte du nombre moyen d’attaques par an. Selon le rapport du DCMS, 31 % des entreprises et 26 % des organisations caritatives estiment avoir été attaquées au moins une fois par semaine.

Temps et travail pour contenir une brèche

L’une des conséquences d’une cyberattaque est la difficulté à localiser la chaîne d’exploitation et à limiter les dégâts. Une  Un rapport d’IBM sur le coût d’une violation de données a révélé que le temps moyen pour contenir une violation en 2022 était de 277 jours. Pendant ce temps, les coûts s’accumulent.

Vous devez inclure les temps d’arrêt des systèmes informatiques, l’assistance informatique et les pertes de productivité estimées dans le calcul du retour sur investissement d’une campagne de sensibilisation à la sécurité.

Atteinte à la réputation

Les atteintes à la réputation sont intangibles et donc difficiles à quantifier. Cependant, de nombreux facteurs entrent en ligne de compte après une cyberattaque ayant entraîné une réputation négative. Il s’agit notamment d’une perte de confiance générale qui affecte les clients, le cours des actions et l’écosystème des partenaires.

Cette perte de confiance est d’autant plus grave que les clients quittent l’entreprise à la suite d’une violation. A  L’étude de YouGov et Okta a révélé que 88 % des clients cesseront de faire appel à une entreprise s’ils estiment qu’elle n’est pas digne de confiance pour protéger leurs données.

Les atteintes à la réputation sont difficiles à quantifier et donc à ajouter à une équation, mais vous disposez peut-être de données sur la perte de clients due aux solutions de veille stratégique (BI).

Non-conformité et amendes

Plusieurs réglementations relatives à la protection des données, notamment PCI-DSS et GDPR, imposent ou encouragent fortement l’utilisation de la formation à la sensibilisation à la sécurité. Par conséquent, si vous pouvez démontrer que votre organisation utilise la formation à la sensibilisation à la sécurité, toute action ultérieure d’application de la réglementation devrait en tenir compte.

Cependant, lorsque vous calculez le retour sur investissement d’une campagne de sensibilisation à la sécurité, vous devez tenir compte du coût typique d’une amende pour non-conformité dans votre secteur.

Vous pouvez connaître le montant des amendes qui pourraient frapper votre entreprise après une violation en vous adressant à l’Information Commissioner’s Office (ICO). Par exemple, le GDPR et le DPA 2018 du Royaume-Uni fixent l’amende maximale à 17,5 millions de livres sterling ou à 4 % du chiffre d’affaires annuel mondial.

Primes d’assurance

Selon une étude des assureurs Selon Hiscox, 63 % des entreprises britanniques prévoient de souscrire une cyber-assurance dans le cadre de leur stratégie. En outre, les primes peuvent être réduites si vous diminuez les risques en formant vos employés à la sécurité.

Ajoutez le coût de la cyberassurance au retour sur investissement d’une campagne de sensibilisation à la sécurité dans le cadre des coûts globaux de votre stratégie de sécurité.

Les autres coûts liés au retour sur investissement sont les suivants :

  • Le coût de l’offre de formation et de toute caractéristique supplémentaire, telle que la formation à la simulation d’hameçonnage.
  • Les frais administratifs liés à la gestion du programme.
  • Perte de temps due à l’exécution par un employé d’exercices de sensibilisation à la sécurité.

Comment calculer le retour sur investissement d’une formation à la cybersécurité ?

Une fois que vous disposez des données, vous pouvez les introduire dans une équation de retour sur investissement. Heureusement, quelqu’un a déjà fait des recherches sur la manière de générer une équation pour la formation à la sensibilisation à la sécurité.

Dans sa forme la plus simple, l’équation du retour sur investissement se présente comme suit :

ROI = Calculer le ROI des campagnes de sensibilisation à la sécurité

Où ?

R = Rendement (bénéfice)

I = Investissement (coût)

Cependant, comme vous l’avez vu, le calcul du R et I pour la sécurité est plus compliqué car il y a des coûts intangibles tels que les dommages à la réputation.

Heureusement, les acteurs du secteur de la sécurité se sont penchés sur la complexité du calcul du retour sur investissement de la formation à la sécurité. Michael Coden, par exemple, utilise les recherches du Massachusetts Institute of Technology (MIT).

Une étude du MIT base le calcul des coûts des incidents de cybersécurité sur les étapes qui mènent à un incident de cybersécurité. Cette recherche a été utilisée pour développer un cadre connu sous le nom de  STACHT. À l’aide de ce cadre, Coden a développé une équation pour le retour sur investissement des projets de cybersécurité (tels que les campagnes de formation à la sensibilisation à la sécurité) qui comprend :

Capture3

Où ?

Probabilité de compromission (PC) = menaces multipliées par vulnérabilités

Impact d’une compromission (IC) = actif multiplié par les pertes en cas de compromission

L’équation de Coden est utilisée pour chaque projet et indique le retour sur investissement probable sur la base d’estimations.

Une vision plus qualitative du retour sur investissement des campagnes de sensibilisation à la sécurité

Sachez que le calcul du retour sur investissement d’une formation à la sensibilisation à la sécurité peut ne pas se résumer à l’introduction de données dans une équation. Au contraire, le simple fait de dresser une liste des coûts et des impacts potentiels d’une cyberattaque peut suffire à démontrer que la formation à la sensibilisation à la sécurité en vaut la peine.

Les êtres humains continuent d’être la cible des cybercriminels ; s’il existe un moyen de rompre ce cycle, cela conduira naturellement à une réduction des risques et des coûts.

Un Le rapport Osterman décrit la formation à la cybersécurité comme « essentielle » pour prévenir les cyberattaques. Le rapport souligne l’efficacité de la formation à la sécurité, avec des données montrant, par exemple, que seulement 11 % des employés pouvaient repérer un courriel de phishing avant la formation, mais qu’après la formation, 64 % étaient capables de détecter les tentatives de phishing. De telles données peuvent s’avérer très utiles pour évaluer les avantages d’une campagne de sensibilisation à la sécurité.

Formation de sensibilisation à la sécurité pour les vendeurs tiers