Par Laurent Delattre, publié le 25 octobre 2022
Une nouvelle étude met en lumière le manque de sensibilisation et de formation à la cybersécurité au sein des entreprises, même si celles-ci semblent plus ouvertes à ce sujet qu’on ne le pense. Des chiffres qui peuvent inspirer les RSSI et DSI dans leurs efforts pour améliorer la cyber-résilience de leur organisation.
Phishing, ransomware, malware, usurpation d’identité, escroquerie au PDG… Toutes ces cyberattaques réussissent parce qu’un utilisateur n’était pas assez méfiant et a été amené à cliquer sans vraiment y penser. Mais comment pourrait-il en être autrement alors qu’une nouvelle étude IPSOS-Terranova révèle que près des deux tiers des salariés français n’ont jamais reçu de formation en cybersécurité. Logique puisque 70% des Français interrogés n’ont pas reçu de formation de leur entreprise ! Et près de la moitié des entreprises françaises (45%) ne proposent aucune formation de sensibilisation, quels que soient les postes dans l’entreprise.
« En matière de cybersécurité, la France accuse un net retard par rapport aux pays anglo-saxons, que ce soit en termes de formation, de gestes ou de niveau de compétence perçu. Cela s’explique par une moindre part de télétravail et, par extension, par une moindre exposition aux risques. Pour autant, la perception des menaces reste élevée, mettant en lumière un fort enjeu pédagogique en matière de cybersécurité », précise Anselme Laubier, directeur d’études à IPSOS.
Car l’étude part d’une bonne nouvelle : parmi la population active (18-75 ans), plus de la moitié des personnes se déclarent au courant de la menace cyber.
Car le plus grand enseignement de cette étude est qu’au final, même s’ils n’ont pas reçu la formation adéquate, les salariés français restent plus intéressés par le sujet qu’on ne le pense. 79 % des répondants à l’étude pensent que la sensibilisation à la cybersécurité pourrait les intéresser.
En effet, il serait plus qu’urgent de les intéresser puisque 52% des salariés interrogés estiment toujours que leur travail n’a absolument rien à voir avec la cybersécurité et que leurs actions (involontaires ou non) n’ont donc aucun impact sur la sécurité de leur entreprise. . .
Même sans formation, certains salariés français ont déjà mis en place de bonnes pratiques : * 38% ont des mots de passe uniques pour chaque compte, * 47% déclarent scanner leurs emails pour se méfier du phishing, * 61% déclarent ne jamais cliquer sur les pièces jointes et liens non sollicités, * 45 % déclarent signaler les e-mails suspects aux équipes informatiques.
« Bien que la perception des menaces à la cybersécurité par les actifs nous semble correcte, il nous manque les bons gestes pour garantir ce que l’on peut appeler l’hygiène numérique », ajoute Anselme Laubier. « La notion de responsabilité reste obscure et le niveau perçu d’expertise en cybersécurité au niveau de l’entreprise ou des employés est faible. Tout cela conduit à la nécessité d’attaquer à partir des fondamentaux pour construire une solide culture de cybersécurité d’entreprise. «
Reste à savoir, dans ce contexte, quelles formations pourraient les intéresser. C’est là que le studio tombe un peu dans le piège du « je prêche pour ma paroisse » puisque Terranova propose sa propre formation en informatique et notamment du serious-gaming immersif en mettant les « joueurs » face à des situations concrètes (et souvent contextualisées pour la agence). Selon l’étude, les répondants ont de fortes préférences concernant le type de formation dispensée, qui varie d’un pays à l’autre : globalement, les activités pratiques et les cours en ligne sont privilégiés, devant les supports ludiques de format court et les sessions dirigées par un instructeur (virtuel ou en présentiel) . La France se distingue car ce dernier type d’apprentissage (séances avec un instructeur) est précisément celui mentionné en première position.
« Il faut rappeler que la majorité des gens dans notre société, dans l’entreprise, ne sont pas des informaticiens, que les différentes générations vont de pair et n’ont pas la même culture ni la même sensibilité au numérique. C’est le défi que pose l’évolution de notre quotidien de plus en plus dématérialisé. Par ailleurs, les actions de sensibilisation à la cybersécurité et, plus généralement, au numérique doivent être des piliers pédagogiques incontournables de nos entreprises » conclut Dalila Ben Attia, Directrice Générale de Terranova Security France.