Swansea, le 4 juillet 2016 – Les équipes de sensibilisation à la sécurité sont limitées dans leur capacité d’exécution et/ou ne parviennent pas à attendre les résultats souhaités. C’est ce que révèle l’édition 2016 du rapport ‘Securing the Human Security Awareness’ de SANS, intitulé « Awareness is hard: a tale of two challenges ». Les professionnels en charge de programmes de sensibilisation à la sécurité sont confrontés à un manque de temps, de moyens financiers et de soutien par le management. Plus de la moitié des professionnels en sensibilisation à la sécurité interrogés doivent se contenter d’un budget de 5.000 dollars ou moins ou ne connaissent pas leur budget. Les répondants ont également indiqué qu’ils ne parvenaient pas à atteindre les résultats souhaités. Plus de 80 pour cent des collaborateurs en sensibilisation à la sécurité ont un bagage technique. Il leur manque toutefois les compétences non techniques et l’expérience nécessaires pour communiquer avec le personnel et le former.

Le soutien revêt une importance capitale
Selon les répondants, leur capacité d’exécution est entravée par trois restrictions importantes : pas assez de soutien du management, des restrictions budgétaires et un manque de temps. Plus de la moitié des professionnels en sensibilisation à la sécurité interrogés doivent se contenter d’un budget de 5.000 dollars ou moins ou ne savent pas à combien s’élève leur budget. Seul un quart des répondants disposent d’un budget de 25.000 dollars ou plus. Il n’y a pas de lien clair entre la taille de l’organisation et l’enveloppe budgétaire. Le nombre de budgets plus élevés semble uniformément réparti parmi des organisations de toutes tailles. Le pourcentage de collaborateurs en sensibilisation à la sécurité qui travaillent à temps plein a légèrement augmenté, passant de 10 pour cent en 2015 à un peu moins de 15 pour cent en 2016. Plus de 65 pour cents des répondants affirment consacrer moins d’un quart de leur temps à la sensibilisation à la sécurité. Dans ce cas, il semble également n’y avoir aucun lien entre le travail à temps partiel et la taille de l’organisation. Pour finir, 35 pour cent des répondants disent ne pas bénéficier du soutien nécessaire de la part du management.

« Les données de l’étude indiquent un lien fort entre le support dont bénéficie une équipe et la maturité du programme de sensibilisation à la sécurité », affirme Lance Spitzner, Instructor Security Awareness, SANS Institute. « Ces programmes d’information ont un caractère plus mature que l’an dernier, mais il y a toujours beaucoup de choses à améliorer. Il est important que le management comprenne bien que la technologie à elle seule ne suffit pas pour une sécurité efficace. Il convient de ne pas perdre de vue le facteur humain. »

Chercher à avoir de l’impact
Les professionnels en sensibilisation à la sécurité doivent expliquer dans des termes compréhensibles aux collaborateurs pourquoi la sensibilisation relative à la sécurité est importante pour eux et ce qu’ils devraient faire. Tout programme de sensibilisation à la sécurité dépend de compétences non techniques, comme la gestion du changement, la théorie de l’éducation et l’éthologie. Or, ces compétences non techniques sont souvent absentes chez les personnes responsables de la communication relative à ces programmes. Tout comme en 2015, plus de 80 pour cent de tous les professionnels en sensibilisation à la sécurité disent avoir un bagage technique. Leurs compétences sont liées à la résolution de problèmes touchant au trafic réseau, au développement de sites web et à la sécurité des serveurs.

Lance Spitzner : « Notre étude révèle que les compétences communicationnelles font partie des compétences non techniques les plus importantes qui font défaut dans les organisations. Il est préoccupant de constater que seuls 4 % de tous les spécialistes en sensibilisation à la sécurité ont un bagage en communication, tandis que la réussite de ces programmes dépend de la qualité de la communication. » Et Lance Spitzner de conclure : « Les équipes de sensibilisation à la sécurité doivent garantir la réussite de leurs programmes en veillant à disposer des compétences non techniques nécessaires, peu importe qu’il faille y ajouter une personne du département communication, former les membres de l’équipe actuelle, désigner ou faire appel à un professionnel de la communication. »

À propos du rapport
SANS Securing the Human, une division du SANS Institute, a initié en 2015 une série annuelle de rapports d’études qui identifient les principaux défis des professionnels en charge de la sensibilisation à la sécurité et les manières de les résoudre. Les rapports dressent la carte de l’état des programmes de sensibilisation à la sécurité dans le monde entier. Ils reposent sur des enquêtes mondiales menées auprès de professionnels en sensibilisation à la sécurité, à propos de leurs principaux défis, objectifs et rôles. L’édition 2016 du rapport se base sur les réponses de 369 personnes, dont 70 pour cent sont actives dans des organisations aux États-Unis. Le rapport a pour objectif d’aider les organisations à développer des programmes de sensibilisation à la sécurité et de mettre à leur disposition un benchmark pour comparer leur programme à celui d’autres organisations.

Le rapport complet est disponible sur https://securingthehuman.sans.org/resources/security-awareness-report