Mimecast Logo
Obtenir un devis
    Aperçus sur la Cyber Resilience
    Tous les thèmes
    Email and Collaboration Threat Protection
    Insider Risk Management
    Security Awareness Training
    Data Compliance and Governance
    Threat Intelligence
    Security Awareness Training

    Comment obtenir l'adhésion des cadres aux programmes de sensibilisation à la sécurité ?

    Apprenez des tactiques éprouvées pour obtenir l'adhésion des dirigeants aux programmes de sensibilisation à la sécurité. Découvrez comment quantifier le retour sur investissement, démontrer la valeur et transformer le risque humain en avantage concurrentiel.

    by Andrew Williams

    Key Points

    • Quantifier l'exposition financière : lier le risque humain à l'impact financier, se concentrer sur les utilisateurs les plus à risque et s'aligner sur la conformité à venir pour sécuriser le budget.
    • Démontrez le retour sur investissement : Présentez des résultats validés par des tiers, comme un retour sur investissement de 255% et une réduction de 24% du temps d'enquête du SOC, afin de prouver une valeur mesurable.
    • Parlez le langage des dirigeants : Positionnez la sécurité comme un facteur de croissance et d'avantage concurrentiel, et non comme un simple centre de coûts.

    Pourquoi la sensibilisation à la sécurité moderne a besoin du soutien des dirigeants

    Malgré les milliards investis dans les technologies de pointe en matière de cybersécurité, l'erreur humaine est à l'origine de 60 à 68% des violations de données, tandis que 94% des attaques commencent par le courrier électronique. Aujourd'hui, les acteurs de la menace exploitent des plateformes de collaboration telles que Slack, Teams, Zoom, SharePoint et OneDrive, élargissant ainsi les surfaces d'attaque au-delà des vecteurs de courrier électronique traditionnels.

    L'impact financier est stupéfiant : 78% des entreprises ont connu des incidents de sécurité au cours de l'année écoulée, les dommages causés par des incidents internes s'élevant en moyenne à 15 millions de dollars. Les formations traditionnelles de sensibilisation à la sécurité mesurent l'achèvement et la rétention des connaissances, mais ne parviennent pas à prouver une réduction réelle des risques ou un changement de comportement. Ces programmes s'appuient sur des mesures de simulation étroites qui ne se traduisent pas par des améliorations de la sécurité dans le monde réel.

    Les entreprises sont confrontées à des lacunes en matière de visibilité dans leur écosystème de sécurité. Les outils cloisonnés laissent des zones d'ombre dans les comportements humains à travers le courrier électronique, le chat et les plateformes de partage de fichiers. Les équipes de sécurité ont besoin de solutions intégrées qui offrent une visibilité complète des facteurs de risque humains tout en permettant des réponses automatisées et proportionnelles.

    Gestion des Human Risk (GRH) : L'alternative moderne

    "Les organisations tournées vers l'avenir vont au-delà de la formation par cases à cocher et adoptent la gestion des Human Risk (GRH), une approche dédiée, centrée sur le comportement, qui identifie, évalue et atténue les risques de sécurité liés aux personnes." Contrairement aux programmes de sensibilisation traditionnels, les plateformes de GRH adaptent les contrôles et la formation au profil de risque spécifique de chaque utilisateur en fonction de son rôle, de ses modèles de comportement et de la fréquence des attaques.

    Les solutions modernes de GRH intègrent plusieurs technologies de sécurité afin de créer des profils de risque complets pour les utilisateurs. Par exemple, les plateformes intégrées combinent les données de sécurité du courrier électronique avec la protection des points finaux, le traitement des données sensibles des solutions DLP et les simulations de phishing pour identifier les utilisateurs à haut risque et déclencher automatiquement les protections appropriées. Il peut s'agir d'une analyse accrue des spams et du phishing, de restrictions d'accès, d'une réinitialisation forcée des mots de passe ou même d'un confinement des points d'extrémité pour prévenir la perte de données.

    Les plateformes de GRH les plus efficaces offrent des capacités de réponse dynamiques qui s'adaptent à l'évolution des menaces :

    • L'intelligence multiplateforme met en corrélation les données de sécurité du courrier électronique avec les données relatives aux terminaux, le traitement des données sensibles, la simulation de phishing et l'achèvement de la formation à la sécurité et à la sensibilisation, afin d'établir des profils de risque complets pour l'utilisateur sur tous les canaux de communication.
    • L'évaluation automatisée des risques évalue en permanence les modèles de comportement des utilisateurs, en corrélant les événements pour adapter les politiques de manière dynamique, sans intervention manuelle.
    • Des actions de confinement étendues permettent des réponses graduées lorsque les seuils de risque sont dépassés, depuis l'analyse accrue des tentatives de compromission des business email jusqu'à l'isolation complète des points d'extrémité.
    • L'ajustement des politiques en temps réel permet aux équipes de sécurité de modifier instantanément les contrôles des utilisateurs en fonction des menaces émergentes et des anomalies comportementales.

    Les plateformes de GRH Unified et dotées d'API relient des systèmes de sécurité disparates afin de combler les lacunes en matière de visibilité et d'automatiser les flux de travail de réponse. Cette intégration élimine le travail de corrélation manuel qui surcharge souvent les équipes de sécurité, tout en garantissant une application cohérente des politiques sur tous les vecteurs d'attaque.

    Trois tactiques pour obtenir l'adhésion des cadres

    1. Quantifier l'exposition financière

    Les dirigeants réagissent à un impact financier clair. Les responsables de la sécurité doivent traduire des concepts abstraits tels que "human risk" en chiffres concrets qui trouvent un écho auprès des parties prenantes de l'entreprise. Commencez par quantifier l'exposition actuelle de l'organisation aux risques de violation, de menace interne et de conformité.

    Utilisez les références du secteur pour établir les coûts de base. Un incident d'initié coûte en moyenne 15 millions de dollars, tandis que les amendes réglementaires ne cessent d'augmenter dans tous les secteurs d'activité. Cependant, l'argument le plus convaincant concerne le risque de concentration : environ 8% d'utilisateurs sont généralement à l'origine de 80% des incidents de sécurité. Cette concentration signifie que des programmes ciblés offrent des retours sur investissement importants.

    Établissez une correspondance entre les mandats de mise en conformité à venir et les investissements requis. Par exemple, les mises à jour du cadre de cybersécurité du NIST soulignent la nécessité de renforcer la sensibilisation des utilisateurs et les contrôles d'identité, ce qui justifie immédiatement le budget des initiatives de gestion des risques humains.

    2. Démontrer le retour sur investissement & Gains opérationnels

    La recherche indépendante fournit une validation puissante pour les investissements en GRH. L\'étude de Forrester sur l\'impact économique total de Mimecast Email Security Solutions a démontré un retour sur investissement de 255% et une valeur actuelle nette de 1,53 million de dollars sur trois ans. Il ne s\'agit pas d\'affirmations de vendeurs, mais de résultats commerciaux validés par des tiers.

    Les gains d'efficacité l'emportent souvent sur les économies directes. Les organisations signalent une réduction de 24% du temps passé par le SOC à enquêter sur les menaces liées au courrier électronique et une baisse de 50% de l'administration de la plate-forme, ce qui permet aux équipes de se concentrer sur le travail de sécurité stratégique plutôt que sur le triage réactif.

    Les employés en profitent également. La diminution du nombre de courriels indésirables dans les boîtes de réception permet de réduire les distractions et d'améliorer la concentration. Les programmes ciblés de gestion des risques humains entraînent un véritable changement de comportement, les organisations constatant une réduction allant jusqu'à 36% du partage de données à risque.

    3. Parlez le langage des dirigeants

    Un leadership efficace en matière de sécurité exige de positionner la gestion des Human Risk comme un catalyseur stratégique de l'activité plutôt que comme une obligation de conformité. Encadrez les initiatives de GRH comme une infrastructure critique qui accélère la transformation numérique, augmente la vélocité des transactions et crée une différenciation sur le marché. Reliez chaque investissement dans la sécurité directement à l'impact sur le chiffre d'affaires, à l'amélioration des délais de mise sur le marché et à la réduction des frictions opérationnelles dans les programmes les plus prioritaires de l'entreprise.

    Assurer la visibilité des risques pour les dirigeants

    Les équipes dirigeantes ont besoin de renseignements clairs et exploitables qui traduisent des données de sécurité complexes en informations pertinentes pour l'entreprise. Mettez en place des tableaux de bord et des rapports sur les tendances qui quantifient les changements de comportement, associent les risques à des objectifs commerciaux spécifiques et établissent des seuils de tolérance au risque clairs. Suivez en temps réel les scores de risque des départements qui démontrent comment les interventions ciblées réduisent les comportements à risque, améliorent la conformité et diminuent la fréquence des incidents. Le plus important est de corréler les investissements en GRH à des résultats mesurables, à la réduction des incidents, à l'évitement des coûts et à des preuves de conformité prêtes à être auditées, ce qui permet une affectation des ressources en toute confiance et un investissement durable.

    Se prémunir contre l'évolution des menaces

    Créez des contrôles de sécurité adaptables qui évoluent avec les tactiques des attaquants tout en s'intégrant de manière transparente à l'infrastructure existante en matière d'identité, de courrier électronique, de points d'extrémité et de SIEM/SOAR. Cette approche permet d'adopter une posture de sécurité préventive plutôt que réactive grâce à une détection plus rapide des menaces, à des flux de travail de réponse automatisés et à un coût total de possession plus faible en tirant parti des contrôles et des processus existants.

    Faites de la confiance un moteur de revenus

    Transformez la sensibilisation à la sécurité d'un centre de coûts en une source de revenus en démontrant comment des protections humaines plus solides protègent les données des clients, réduisent les frictions dans les cycles de vente et différencient votre marque sur les marchés réglementés. Faire de la sensibilisation à la sécurité un facteur de fidélisation de la clientèle, de confiance des partenaires et d'assurance des dirigeants, en liant directement la maturité de la sécurité à la compétitivité du marché et à la croissance de l'entreprise.

    Le bilan 

    La technologie ne peut à elle seule combler le fossé de la sécurité humaine, il faut donner aux gens les moyens d'être des défenseurs actifs plutôt que des points de vulnérabilité passifs. La gestion de Human Risk permet de réduire les risques de manière mesurable et durable tout en protégeant l'innovation qui stimule la croissance de l'entreprise.

    L'adhésion de la direction nécessite une communication axée sur l'entreprise qui relie les risques humains aux résultats financiers. En quantifiant l'exposition, en démontrant le retour sur investissement et en parlant le langage des dirigeants, les responsables de la sécurité peuvent transformer la sensibilisation à la sécurité d'un exercice de case à cocher en un avantage concurrentiel stratégique. Les organisations qui retardent ces investissements risquent d'être distancées par les acteurs de la menace qui exploitent les vulnérabilités humaines de manière de plus en plus sophistiquée.

    roundup-Blog.jpg
    Up Next
    Security Awareness Training |
    Human Risk Roundup : Une ville attaquée, les retombées de Salesloft et VerifTools déjoué

    Related Articles

    Security Awareness Training
    Comment mesurer le Human Risk : 7 indicateurs clés
    Security Awareness Training
    Rationaliser les stratégies de cybersécurité : Le rôle du Human Risk Management
    Security Awareness Training
    Tour d'horizon des Human Risk : Emails piégés, attaques par navigateur et entreprises de drones

    Abonnez-vous à Cyber Resilience Insights pour plus d'articles comme ceux-ci

    Recevez toutes les dernières nouvelles et analyses de l'industrie de la cybersécurité directement dans votre boîte de réception.

    Inscription réussie

    Merci de vous être inscrit pour recevoir les mises à jour de notre blog.

    Nous vous contacterons !

    Haut de la page