Mimecast Logo
Obtenir un devis
    Aperçus sur la Cyber Resilience
    Tous les thèmes
    Email and Collaboration Threat Protection
    Insider Risk Management
    Security Awareness Training
    Data Compliance and Governance
    Threat Intelligence
    Security Awareness Training

    Comment mesurer le Human Risk : 7 indicateurs clés

    Découvrez les 7 paramètres essentiels utilisés par les RSSI pour mesurer et quantifier le risque humain. Obtenez des cadres d'action pour évaluer les cybermenaces et réduire l'exposition grâce à des stratégies de mesure éprouvées.

    by Andrew Williams

    Key Points

    • Le risque humain est à l'origine de 95%+ des failles de sécurité, d'où l'importance des mesures pour la protection des organisations.
    • Les RSSI ont besoin d'une visibilité claire des niveaux d'exposition aux risques et de l'efficacité de la défense avant de mettre en œuvre des solutions.
    • Sept indicateurs clés permettent d'obtenir une vision complète des cyber-risques liés aux employés au sein de votre organisation.
    • La plateforme de Mimecast offre une visibilité en temps réel, des informations sur le comportement et des interventions adaptatives pour réduire les risques humains.

    Comprendre le Human Risk dans la cybersécurité

    Dans le domaine de la cybersécurité, le risque humain fait référence à la possibilité que les comportements des employés augmentent la probabilité d'une violation de la sécurité ou d'un manquement à la conformité. Alors que les organisations investissent massivement dans des contrôles de sécurité techniques, l'élément humain reste la composante la plus imprévisible et la plus vulnérable de toute stratégie de sécurité.

    Les recherches montrent régulièrement que l'erreur humaine est impliquée dans plus de 95% des cyberattaques réussies. Qu'il s'agisse de cliquer sur un lien malveillant, d'être victime d'ingénierie sociale ou de partager par inadvertance des informations sensibles, les actions des employés fournissent souvent le point d'entrée dont les cybercriminels ont besoin pour compromettre les systèmes et les données de l'organisation.

    Le défi de la mesure pour les RSSI

    Avant de mettre en œuvre un programme de gestion des risques humains, les RSSI doivent d'abord évaluer l'exposition globale de leur organisation aux cyberrisques. Cela signifie qu'il faut comprendre non seulement quelles sont les menaces existantes, mais aussi si les défenses actuelles couvrent correctement cette exposition. Plus important encore, les responsables de la sécurité doivent déterminer comment ils savent que les risques humains sont gérés efficacement.

    Les formations traditionnelles de sensibilisation à la sécurité ne fournissent souvent que des mesures d'achèvement, ce qui empêche les RSSI de quantifier la réduction des risques qu'ils obtiendraient en investissant davantage dans les programmes de sensibilisation. Sans cadre de mesure approprié, il est impossible de démontrer la valeur commerciale des initiatives en matière de risques humains ou d'identifier les domaines où les interventions sont les plus nécessaires.

    La plateforme complète de Mimecast relève ce défi en offrant une visibilité en temps réel du comportement humain, des mesures de risque quantifiables et une formation adaptative qui répond aux besoins réels des utilisateurs. En corrélant les données comportementales à travers les canaux de communication et en les reliant aux renseignements sur les menaces, les organisations peuvent enfin mesurer et gérer efficacement leur surface de risque humain.

    Rapport mondial sur le renseignement sur les menaces 2025

    Explorez les dernières cybermenaces mondiales, découvrez les principaux événements qui façonneront la cybersécurité en 2025 et obtenez des informations utiles pour renforcer vos défenses.
    Télécharger le rapport

    1. Comportements à risque observables et leurs caractéristiques

    La mesure du risque humain repose sur l'identification et le suivi des comportements à risque observables au sein de votre organisation. Au-delà des tests de phishing simulés, les organisations ont besoin d'une visibilité sur les actions réelles qui les exposent aux cybermenaces.

    Les comportements clés à suivre sont les suivants

    • Interactions avec les courriels de Phishing: Surveillez les tentatives de Phishing réelles et simulées, en suivant non seulement les clics mais aussi la façon dont les utilisateurs interagissent avec les messages suspects.
    • Utilisation de l'informatique fantôme: Identifiez les applications et les services non autorisés que les employés utilisent sans l'accord du service informatique.
    • Pratiques de traitement des données: Suivez les comportements tels que le transfert de courriels sensibles vers des comptes personnels ou le téléchargement de fichiers confidentiels vers des services en nuage non autorisés.
    • Actions risquées répétées: Concentrez-vous sur de petites cohortes d'utilisateurs qui adoptent régulièrement des comportements à risque sur plusieurs canaux.

    Le schéma le plus inquiétant apparaît souvent lorsque les mêmes employés adoptent de manière répétée des comportements à risque. Les études montrent qu'un petit pourcentage d'utilisateurs est généralement à l'origine d'une part disproportionnée du risque organisationnel. La plateforme de Mimecast excelle à corréler ces comportements à travers différents outils et canaux de communication, fournissant une vue d'ensemble de la façon dont les actions individuelles contribuent à l'exposition globale de l'organisation.

    Plutôt que de traiter chaque incident isolément, une mesure efficace exige de comprendre les modèles de comportement au fil du temps. Cette vision longitudinale permet de déterminer si les comportements à risque sont des incidents isolés ou s'ils sont révélateurs de problèmes plus larges liés à la culture de la sécurité qui nécessitent une intervention ciblée.

    2. Profils de risque des utilisateurs individuels et exposition aux attaques

    Tous les employés ne sont pas confrontés au même niveau de risque cybernétique. Les cadres, les sous-traitants et le personnel de première ligne ont des profils de risque différents en fonction de leurs rôles, de leurs niveaux d'accès et de leur attrait pour les attaquants. Pour mesurer efficacement le risque humain, il faut établir des scores de risque dynamiques et personnalisés qui reflètent ces différences individuelles.

    Les facteurs critiques à mesurer sont les suivants :

    • Volume et fréquence des attaques: Suivez la fréquence à laquelle des utilisateurs spécifiques sont ciblés par des attaques de phishing, d'ingénierie sociale ou autres.
    • Sensibilité basée sur le rôle: Évaluez les risques en fonction du service, de l'ancienneté et du mandat, car les nouveaux employés sont souvent peu sensibilisés à la sécurité, tandis que les cadres sont confrontés à des attaques plus sophistiquées.
    • Tendances des scores de risque: Suivez l'évolution des niveaux de risque individuels au fil du temps en fonction de la formation, des changements de rôle ou de facteurs externes.

    La plateforme de Mimecast établit ces profils de risque dynamiques en combinant les données d'exposition aux menaces et la télémétrie comportementale. Par exemple, un directeur financier qui reçoit de nombreuses tentatives de compromission par business email et qui clique occasionnellement sur des liens suspects obtiendra un score de risque plus élevé qu'un développeur junior qui reçoit rarement des targeted attack.

    L'idée clé est que le risque n'est pas statique. Le profil de risque d'un employé peut évoluer rapidement en fonction de facteurs tels que des changements de fonctions, un ciblage accru des attaques ou des circonstances personnelles qui affectent sa prise de décision. L'évaluation et l'ajustement réguliers des scores de risque individuels garantissent que les interventions de sécurité ciblent les bonnes personnes au bon moment.

    3. Niveaux d'accès aux données et systèmes critiques

    L'équation du risque change radicalement lorsque les employés ayant accès à des données sensibles ou à des systèmes critiques adoptent des comportements à risque. Un employé subalterne qui clique sur un lien de phishing est préoccupant ; un administrateur de base de données qui adopte le même comportement représente un risque exponentiellement plus élevé pour l'organisation.

    Les mesures essentielles liées à l'accès sont les suivantes

    • Exposition aux actifs critiques: carte dans laquelle les employés ont accès à des informations personnelles identifiables (PII), à la propriété intellectuelle, au code source ou aux systèmes financiers.
    • Comportement des utilisateurs privilégiés: Suivez la fréquence et les types d'actions risquées entreprises par les utilisateurs disposant de droits d'accès élevés.
    • Analyse des intersections: Identifier les endroits où un risque comportemental élevé se superpose à des privilèges d'accès élevés.

    Les approches traditionnelles de la sécurité traitent souvent la gestion de l'accès et le risque comportemental comme des questions distinctes. Cependant, la mesure la plus efficace du risque humain combine ces perspectives afin d'identifier les employés qui représentent l'impact potentiel le plus important pour la sécurité de l'organisation.

    La capacité de Mimecast à intégrer des données contextuelles sur les niveaux d'accès avec des observations comportementales en temps réel fournit aux équipes de sécurité la visibilité dont elles ont besoin pour prioriser leurs efforts de réponse. Lorsqu'un utilisateur privilégié présente un comportement inquiétant, la plateforme peut automatiquement déclencher des protocoles de surveillance ou d'intervention supplémentaires.

    Nous contribuons à atténuer les menaces en constante évolution, qu'il s'agisse d'ingénierie sociale, de menaces internes ou d'erreurs humaines, avant que les dommages ne soient causés. Découvrez comment vous pouvez obtenir une visibilité en temps réel sur les comportements à risque dans les e-mails et les canaux de collaboration.


    Essayez notre plateforme de gestion intégrée des Human Risk →

    4. Efficacité de la formation et des interventions de sensibilisation à la sécurité

    Les programmes traditionnels de formation à la sensibilisation à la sécurité fournissent des taux d'achèvement et des résultats aux tests, mais ces indicateurs ne répondent pas à la question fondamentale : la formation modifie-t-elle réellement les comportements et réduit-elle les risques ?

    Des mesures significatives de l'efficacité de la formation se concentrent sur :

    • Amélioration du comportement après la formation: Mesurez les changements de comportement réels après les interventions de formation, et pas seulement la rétention des connaissances.
    • Réduction des actions risquées répétées: Vérifiez si les utilisateurs cessent d'adopter les mêmes comportements à risque après une formation ciblée.
    • Réponse aux interventions en temps réel: Évaluer l'efficacité avec laquelle les utilisateurs réagissent aux encouragements et aux micro-interventions juste à temps dans des situations de risque réelles.

    Les limites des mesures traditionnelles d'achèvement de la formation apparaissent clairement lorsque vous considérez que les RSSI ne peuvent pas quantifier la réduction des risques qu'ils obtiendraient en augmentant les dépenses consacrées aux programmes de formation de sensibilisation. Sans mesure des résultats comportementaux, il est impossible de démontrer le retour sur investissement ou de rationaliser les investissements dans la formation.

    La plateforme de Mimecast comble cette lacune en proposant une formation contextualisée, juste à temps, qui répond au comportement réel de l'utilisateur. Lorsqu'un utilisateur clique sur un lien suspect, il reçoit immédiatement une formation pertinente plutôt qu'un contenu de sensibilisation générique. Cette approche permet de mesurer les changements de comportement réels plutôt que la simple réussite de la formation.

    Les avantages des politiques d'adaptation

    Les politiques adaptatives améliorent la détection des risques humains en adaptant les mesures de sécurité au comportement, au profil de risque et à l'exposition aux menaces d'un individu, au lieu d'appliquer une formation uniforme dans toute l'organisation. Cette méthode permet aux équipes de sécurité d'intervenir avec précision auprès des utilisateurs à haut risque tout en assouplissant les restrictions pour les personnes à faible risque, ce qui optimise l'affectation des ressources et améliore l'efficacité globale. 

    Le traitement des données sensibles et les données sur les risques liés à l'identité sont des éléments essentiels de cette approche adaptative. En intégrant des solutions telles qu'Incydr pour surveiller le traitement des données sensibles et des solutions tierces telles qu'Entra pour le risque d'identité, les organisations bénéficient d'une visibilité accrue sur les comportements des utilisateurs. Par exemple, les alertes Incydr déclenchées par l'utilisation abusive ou le partage non autorisé de fichiers sensibles contribuent directement à l'élaboration de profils de risque complets. Ces intégrations garantissent que les politiques adaptatives s'appuient sur des sources de données diverses et exploitables, ce qui permet d'apporter des réponses sur mesure à l'évolution des risques. 

    Les recherches montrent qu'une formation ciblée réduit les taux de clics de phishing jusqu'à 25% chez les utilisateurs à haut risque. En outre, l'agrégation de données provenant de sources telles que le comportement des courriels, les mouvements de données sensibles, les schémas d'accès et les interactions de phishing offre une visibilité inégalée sur les risques humains au sein de l'organisation. Cette méthodologie basée sur les données permet de mesurer et d'atténuer les risques avec précision tout en permettant des réponses de sécurité automatisées afin de gérer les menaces de manière proactive et à grande échelle.

    5. Visibilité et contexte à travers les canaux de communication

    Les organisations modernes communiquent à travers de multiples plateformes, email, Slack, Microsoft Teams, Zoom, et d'autres. Cependant, la plupart des solutions de sécurité n'offrent une visibilité que sur un seul canal, ce qui crée de dangereux angles morts dans l'évaluation des risques humains.

    Une visibilité complète nécessite des mesures :

    • Indicateurs comportementaux multiplateformes: Suivez les actions des utilisateurs sur tous les canaux de communication afin d'identifier des modèles cohérents.
    • Analyse contextuelle des messages: Surveillez non seulement ce que les utilisateurs reçoivent, mais aussi le contexte des messages tels que les modifications, les suppressions et les modèles de transfert.
    • Vulnérabilités propres à chaque canal: Identifiez les failles de sécurité qui existent entre les différents outils de communication

    Les systèmes de sécurité déconnectés créent des scénarios dans lesquels un utilisateur peut sembler à faible risque dans la surveillance du courrier électronique tout en adoptant un comportement à haut risque sur les plates-formes de collaboration. Cette vision fragmentée empêche les organisations de comprendre leur véritable exposition au risque humain.

    Mimecast centralise les informations sur les communications à travers de multiples canaux, offrant aux équipes de sécurité une vue unified du comportement humain. Cette visibilité globale révèle des schémas de risque qui seraient invisibles si l'on surveillait les différentes plateformes de manière isolée.

    6. Impact des menaces extérieures et de la sophistication des attaques

    Le risque humain n'existe pas dans le vide, il doit être mesuré dans son contexte par rapport aux menaces réelles. Alors que les attaquants exploitent l'intelligence artificielle pour créer des courriels de phishing, des deepfakes et des attaques d'ingénierie sociale plus sophistiqués, l'évaluation des risques humains doit tenir compte de cette dynamique changeante.

    Les principaux facteurs externes à mesurer sont les suivants :

    • Réactions des employés aux nouvelles menaces: Suivez les réactions des utilisateurs face aux nouvelles techniques d'attaque telles que le phishing par code QR, le contenu généré par l'IA ou les tentatives sophistiquées de compromission des business email.
    • Tendances en matière de sophistication des attaques: Surveillez la complexité et la personnalisation des menaces ciblant votre organisation.
    • Alignement menace-vulnérabilité: Évaluez dans quelle mesure les tendances actuelles en matière d'attaques correspondent aux vulnérabilités humaines de votre organisation.

    L'émergence de menaces générées par l'IA modifie fondamentalement l'équation du risque humain. Les programmes de formation traditionnels qui se concentrent sur l'identification de ", les courriels" manifestement suspects, perdent de leur efficacité lorsque les attaquants peuvent créer des imitations presque parfaites de communications légitimes.

    L'intégration par Mimecast des renseignements sur les menaces en temps réel et de l'évaluation humaine des risques garantit que les évaluations des risques reflètent les réalités actuelles des attaques. Lorsque de nouvelles techniques de menace apparaissent, la plateforme ajuste automatiquement les calculs de risque pour tenir compte de l'évolution de ces défis.

    7. Exigences en matière de conformité et de gouvernance

    Les cadres réglementaires tels que GDPR, HIPAA et PCI DSS ne se contentent pas d'exiger des contrôles de sécurité techniques, ils imposent une surveillance du comportement humain qui pourrait conduire à des violations de la conformité. De nombreuses organisations ne découvrent leurs lacunes en matière de conformité qu'après un incident.

    Les mesures essentielles liées à la conformité sont les suivantes

    • Violations des politiques de communication: Suivez les cas où les employés enfreignent les politiques de traitement des données sur les plateformes de communication.
    • Préparation à l'audit: Conservez des enregistrements complets et vérifiables des données relatives aux risques des utilisateurs et des efforts d'intervention.
    • Lacunes dans le flux de travail de la gouvernance: Identifiez les domaines où le comportement humain crée des risques de conformité qui ne sont pas pris en compte par les processus actuels.

    Le coût des manquements à la conformité va bien au-delà des amendes réglementaires. Les organisations sont confrontées à une atteinte à leur réputation, à une responsabilité juridique et à une perte de confiance de la part de leurs clients lorsque des erreurs humaines entraînent des violations de données ou de la vie privée.

    La plateforme de Mimecast prend en charge les mesures de risque vérifiables et la gestion des données sur tous les canaux de communication, aidant les organisations à démontrer leur conformité aux exigences réglementaires tout en identifiant de manière proactive les violations potentielles avant qu'elles ne se transforment en incidents.

    Dernières réflexions : Human Risk est un risque commercial

    La mesure du risque humain n'est pas seulement une initiative de cybersécurité, c'est une capacité commerciale essentielle qui affecte tous les aspects des opérations de l'organisation. De la protection de la propriété intellectuelle au maintien de la confiance des clients, la gestion des risques humains concerne toutes les parties prenantes de l'organisation.

    Le principe fondamental reste simple : Les responsables de l'informatique et de la conformité ne peuvent pas gérer ce qu'ils ne mesurent pas, et ils ne peuvent pas mesurer ce qu'ils ne peuvent pas voir. Les approches traditionnelles qui se concentrent sur des outils de sécurité individuels ou des programmes de formation isolés ne parviennent pas à fournir la visibilité complète dont les organisations modernes ont besoin.

    L'investissement dans une plateforme centralisée comme Mimecast unifie la visibilité des risques sur tous les canaux de communication, permet des interventions basées sur des données et fournit les indicateurs dont les chefs d'entreprise ont besoin pour prendre des décisions éclairées en matière de sécurité. En mettant en œuvre une mesure complète des risques humains, les organisations peuvent enfin passer d'une réponse réactive aux incidents à une gestion proactive des risques.

    Les sept paramètres décrits dans cet article fournissent un cadre pour comprendre et quantifier le risque humain, mais une mise en œuvre réussie nécessite les bons outils et plateformes pour collecter, analyser et agir sur ces données. Alors que les cybermenaces continuent d'évoluer et de cibler les vulnérabilités humaines, les organisations qui investissent dans une mesure complète des risques humains seront les mieux placées pour protéger leurs actifs, respecter leurs obligations en matière de conformité et maintenir la continuité de leurs activités dans un paysage numérique de plus en plus dangereux.

    Related Articles

    Security Awareness Training
    Rationaliser les stratégies de cybersécurité : Le rôle du Human Risk Management
    Security Awareness Training
    Tour d'horizon des Human Risk : Emails piégés, attaques par navigateur et entreprises de drones
    Security Awareness Training
    Human Risk Roundup : Un ver qui se reproduit de lui-même, une arrestation au Royaume-Uni et une alerte concernant un compte Facebook

    Abonnez-vous à Cyber Resilience Insights pour plus d'articles comme ceux-ci

    Recevez toutes les dernières nouvelles et analyses de l'industrie de la cybersécurité directement dans votre boîte de réception.

    Inscription réussie

    Merci de vous être inscrit pour recevoir les mises à jour de notre blog.

    Nous vous contacterons !

    Haut de la page