Comment mesurer le succès de votre programme de sensibilisation à la sécurité ?
Publié le: 26 Nov 2021
Dernière modification le: 24 Juil 2025
Voici quelques moyens d’évaluer , mesure par mesure, votre programme de sensibilisation à la sécurité.
Lorsque l’on mesure quelque chose, on obtient des données. Qu’il s’agisse de la longueur d’une ficelle ou du changement de comportement d’un employé confronté à un courriel d’hameçonnage, ces données nous donnent un aperçu important d’une tâche ou d’un projet.
La réussite ou l’échec d’un programme de formation à la sensibilisation à la sécurité (SAT) peut être mesuré de plusieurs façons et, ce faisant, fournit des informations importantes sur l’efficacité de la formation. Mais pour optimiser ces mesures, il faut une équipe interfonctionnelle dotée d’une vision.
Pourquoi mesurer l’efficacité d’un programme de sensibilisation à la sécurité ?
Un récent article de Gartner inc. intitulé « Take 3 Steps to Prove That Your Security Awareness Program Is Actually Working » (Prenez trois mesures pour prouver que votre programme de sensibilisation à la sécurité fonctionne réellement) explique le pourquoi et le comment de l’évaluation d’un programme de sensibilisation à la sécurité. Ce document, rédigé à l’intention des responsables de la sécurité et de la gestion des risques, identifie trois raisons essentielles pour lesquelles il est important de mesurer la formation à la sensibilisation à la sécurité :
- Si vous ne pouvez pas prouver que le programme réduit le risque cybernétique, vous n’obtiendrez pas l’aval de la hiérarchie pour poursuivre la formation à la sensibilisation à la sécurité.
- La formation à la sensibilisation à la sécurité est souvent introduite dans une organisation sans qu’elle ait une vision claire de ce qu’elle tente d’accomplir. Il en résulte un programme qui ne permet pas d’obtenir les changements de comportement nécessaires pour réduire les cyberrisques.
- La mesure du succès d’une formation de sensibilisation à la sécurité ne peut se fonder sur des variables uniques. Ces programmes contiennent de nombreux éléments qui doivent être pris en compte pour montrer l’impact réel d’un programme de sensibilisation à la sécurité.
L’un des principaux points du document est qu’une vision claire doit constituer la base d’un programme de sensibilisation à la sécurité. Sans cette vision claire de ce que vous voulez réaliser, les mesures n’auront aucun sens. En d’autres termes, les mesures sont plus efficaces si elles ont un point de départ comme point de comparaison. Cette vision doit toutefois être directement liée aux résultats de l’entreprise. L’un des moyens d’établir ce point de départ consiste à utiliser une approche interfonctionnelle, c’est-à-dire à réunir des équipes au-delà des frontières organisationnelles pour qu’elles contribuent à déterminer ce qui est important dans l’atténuation des cyberrisques.
Il s’agit d’aligner la vision de la cybersécurité sur les objectifs de l’entreprise ; cette approche est un exercice permanent et une bonne pratique car les cyberattaques causent des ravages continus dans tous les secteurs de l’industrie. Les décisions commerciales et opérationnelles sont désormais intrinsèquement liées à la sécurité. La pandémie de Covid-19 et les mandats de travail à domicile ont démontré ce point, avec le risque de sécurité accru du travail à domicile; les travailleurs à domicile offrent plus de possibilités aux cybercriminels d’attaquer le réseau d’une entreprise par l’intermédiaire de ses employés.
Mais une vision a besoin de mesures démontrables pour montrer qu’elle remplit sa mission. Pour montrer à la direction ou au conseil d’administration l’état d’avancement d’un programme, il faut des faits concrets. C’est là que les mesures entrent en jeu.
Trois façons de mesurer le succès d’un programme de formation à la sensibilisation à la sécurité
Le document de Gartner mentionne trois éléments clés qui prouvent que votre programme de sensibilisation à la sécurité fonctionne. Ces trois domaines peuvent être décomposés comme suit :
Générer
Élaborer une déclaration de vision fondée sur une culture de la sécurité : qu’attend votre organisation du programme de sensibilisation à la sécurité ? Quels comportements en matière de sécurité souhaitez-vous voir émerger de la formation des employés sur les questions de sécurité ?
Capture
Saisir les paramètres du comportement en matière de sécurité : créer des paramètres de sensibilisation à la sécurité qui démontrent un changement significatif et positif du comportement en matière de sécurité. Ces indicateurs peuvent prendre la forme d’indicateurs traditionnels de sensibilisation à la sécurité issus d’enquêtes et de simulations d’hameçonnage, par exemple.
Démontrer
Démontrer la réduction de l’exposition au risque : montrer à l’équipe de contrôle des changements visibles dans le comportement en matière de sécurité liés à des résultats concrets en termes de réduction de l’exposition au cyber-risque.
Saisir les mesures et les changements de comportement
La vision de la sécurité est le pivot sur lequel s’appuie la collecte de données métriques et comportementales. Cette vision constitue alors la preuve nécessaire pour démontrer à l’équipe Cx que la formation de sensibilisation à la sécurité fonctionne. Il existe de nombreuses façons de mesurer les paramètres de sécurité, et MetaCompliance a abordé les mesures de la formation à la sensibilisation à la sécurité dans un article de blog précédent.
Les mesures fournissent des données quantifiables qui constituent la base d’une évaluation du retour sur investissement (ROI). Mais une simple équation de retour sur investissement ne rend pas compte de l’impact positif et continu d’un programme de sensibilisation à la sécurité bien conçu. La vision centrale d’une organisation en matière de sécurité doit être mise en correspondance pour valider les résultats finaux qui voient le cyber-risque global d’une organisation réduit. Cette vision d’une organisation sûre doit se traduire par une pensée axée sur la sécurité et par les changements de comportement qui en découlent.
Pour vous aider dans votre exercice de mesure, le document de Gartner parle de « Signature behaviours », qu’il décrit comme « Signature behaviors are those that clearly reflect positive intent and support by end-users for realising the security awareness vision » ( les comportements caractéristiques sont ceux qui reflètent clairement l’intention et le soutien positifs des utilisateurs finaux pour la réalisation de la vision de la sensibilisation à la sécurité).
Gartner met en correspondance certains exemples de pratiques de sécurité souhaitées avec des comportements de sécurité caractéristiques :
Mettez en pratique: Tous les utilisateurs finaux utilisent des mots de passe forts
Comportement: Nous utilisons toujours des phrases de passe pour construire nos mots de passe utilisés pour accéder à nos comptes professionnels.
Entraînez-vous : Vérifiez les liens avant de cliquer
Comportement : Nous sommes attentifs aux courriels suspects et nous les signalons au service d’assistance informatique.
Dans le cadre de votre vision de la sécurité, travaillez avec votre équipe interfonctionnelle pour développer un ensemble de comportements caractéristiques qui peuvent ensuite être utilisés pour prouver le succès du programme de formation à la sensibilisation à la sécurité.
La preuve du pudding par une meilleure sécurité
En fin de compte, une entreprise veut voir que son investissement dans un programme de sensibilisation à la sécurité se traduit par une diminution des risques de violation de ses données. En évaluant les comportements de signature par rapport aux types de menaces, une organisation peut enrichir une simple équation de retour sur investissement d’une valeur ajoutée.
La preuve de la formation à la sécurité est dans le pudding. Au fil du temps, un programme de sensibilisation à la sécurité bien planifié et efficace se traduira par une réduction des cyberattaques. Mais tout commence par une vision forte.
