Mesurer le succès de votre programme de sensibilisation à la sécurité
Publié le: 25 Oct 2021
Dernière modification le: 24 Juil 2025
Il n’y a guère d’intérêt à faire quoi que ce soit dans la vie si l’on n’est pas sûr que cela en vaut la peine et que ce que l’on fait va fonctionner. Ce raisonnement s’applique à de nombreux aspects d’une entreprise, y compris à un programme de sensibilisation à la sécurité.
Lorsqu’une entreprise met en place un programme de sensibilisation à la sécurité, elle doit toujours avoir à l’esprit l’objectif qu’elle cherche à atteindre. Un rapport de Verizon datant de 2021 souligne que « l’élément humain » est à l’origine de 85 % des violations de données ; il est donc primordial de se concentrer sur l’adoption de bons comportements en matière de sécurité.
Mais comment mesurer exactement un élément apparemment nébuleux tel que le comportement ?
Établir une base pour un excellent programme de sensibilisation à la sécurité ?
Pour mesurer quelque chose, vous avez besoin d’un point de départ, d’une référence. Un programme de sensibilisation à la sécurité est conçu pour modifier le comportement et l’attitude des employés afin d’améliorer la sécurité globale de l’entreprise.
Un ensemble d’objectifs clairement définis constitue un point de départ essentiel sur lequel vous pouvez vous appuyer pour tester le succès de votre programme de sensibilisation à la sécurité. Ces objectifs constitueront la base des paramètres de votre programme de sensibilisation à la sécurité en utilisant la méthodologie « former et tester ».
Lors de l’élaboration d’un programme de sensibilisation à la sécurité, la meilleure pratique consiste à garder à l’esprit la manière dont le succès de chaque domaine du programme peut être mesuré. Vous pourrez ainsi intégrer au programme des éléments testables. Les éléments typiques d’un programme holistique de sensibilisation à la sécurité sont les suivants
- Hygiène de sécurité : couvre divers éléments tels que le choix des mots de passe et les habitudes de navigation sur le web.
- Ingénierie sociale : qu’est-ce que l’ingénierie sociale et quels sont les types d’escroqueries qui affectent une organisation et ses employés ?
- Sensibilisation au phishing : former les employés à la détection des tactiques de phishing
- les habitudes en matière de sécurité informatique : y compris la manière de repérer si un ordinateur est infecté et l’utilisation de mesures de renforcement de la sécurité telles qu’un réseau privé virtuel (VPN) pour le travail à distance
Chacun de ces aspects d’un programme de sensibilisation à la sécurité peut être mesuré et les résultats sont ensuite utilisés pour fournir un retour d’information afin d’optimiser le succès du programme.
La mesure du succès (ou non) d’un programme de sensibilisation à la sécurité ?
Mesurer les résultats d’un programme de sensibilisation à la sécurité n’est pas un exercice de réussite ou d’échec. Elle permet plutôt de se faire une idée de l’efficacité des différents volets de la formation à la sensibilisation à la sécurité.
Les résultats peuvent être utilisés pour obtenir un retour d’information sur les différentes parties du programme de sécurité afin d’optimiser la formation ; si quelque chose ne fonctionne pas, les mesures et le retour d’information en donneront une indication, certaines mesures pouvant même identifier les faiblesses d’événements de formation spécifiques. Ces informations peuvent ensuite être utilisées pour mieux adapter la formation à la sensibilisation.
Les domaines qui peuvent être utilisés pour recueillir des données sur les paramètres de la formation à la sécurité sont les suivants :
Enquêtes de sensibilisation et retour d’information des employés
Les enquêtes de sensibilisation sont des questionnaires que les employés remplissent pour donner un aperçu de l’efficacité de la formation de sensibilisation. Bien que cette méthode soit manuelle, elle peut être utile dans le cadre d’un portefeuille d’exercices de mesure visant à établir le succès de votre programme de sensibilisation à la sécurité. Les questionnaires sont souvent gérés par les RH ou un consultant en sécurité et comprennent généralement des questions ou des quiz qui testent la capacité d’un employé à repérer une menace.
Simulations et mesures d’hameçonnage
Les simulations de phishing sont effectuées à l’aide de plateformes automatisées qui envoient des courriels de phishing aux employés. La plateforme de simulation enregistre si l’employé a réussi à détecter que le message test est un message d’hameçonnage ou non. Les plateformes de simulation d’hameçonnage, les conseils sur leur utilisation et les mesures qu’elles fournissent sont disponibles auprès de tiers spécialisés tels que MetaCompliance.
Ingénierie sociale et métrologie
La manière dont les employés réagissent aux escroqueries est un aspect important de la sensibilisation à la sécurité. Les escroqueries telles que le Business Email Compromise (BEC) sont souvent sophistiquées et s’appuient sur l’ingénierie sociale.
La réaction d’un employé à une simulation d’ingénierie sociale peut être mesurée à la fois quantitativement et qualitativement, en fonction de la manière dont les simulations sont effectuées. Des sociétés tierces peuvent vous aider à créer des tests d’ingénierie sociale simulés qui se prêtent à des mesures.
Saisie et signalement des incidents
La preuve est dans le pudding, et ce pudding prend la forme de rapports d’incidents de sécurité par les employés. Un système de signalement des incidents de sécurité qui permet aux employés de saisir facilement les événements de sécurité peut offrir un moyen de mesurer l’efficacité d’un programme de sensibilisation à la sécurité.
Les rapports d’incidents présentent un double avantage : ils servent de système de triage et de réponse aux problèmes de sécurité lorsqu’ils surviennent, et ils permettent d’enregistrer et d’auditer la sensibilisation du personnel. Les employés doivent être formés à l’utilisation du système de rapport d’incident pour enregistrer les événements de sécurité, tels que :
- Réception d’un message d’hameçonnage
- Divulgation accidentelle d’un mot de passe
- Soupçon d’infection par un logiciel malveillant
- Exposition accidentelle d’informations par le biais d’un courrier électronique mal distribué
- Appareils perdus ou volés
- Tentatives d’ingénierie sociale, par exemple une escroquerie téléphonique
Mesurer, écouter, optimiser
Les programmes de sensibilisation à la sécurité sont réputés pour être difficiles à mesurer. La mesure du comportement et de la compréhension est souvent qualitative plutôt que quantitative. Toutefois, en utilisant une combinaison de facteurs qui permettent de saisir les indicateurs de changement de comportement et de sensibilisation, une entreprise peut s’assurer de l’efficacité de son programme.
En fin de compte, une organisation a besoin d’un programme de sensibilisation à la sécurité efficace pour réduire les cyberattaques et améliorer la cybersécurité globale de l’entreprise. Comme les employés continuent à comprendre le fonctionnement des menaces de cybersécurité, l’optimisation de l’efficacité d’un programme de sensibilisation à la sécurité débouchera sur une culture de la sécurité qui se traduira par une meilleure sécurité.
