Proofpoint Security Awareness Training

Mesurer L’efficacité De Votre Programme De Formation A La Sécuritéinformatique

Share with your network!

Le taux de clic, également connu sous le nom de taux d’échec, est la première et principale statistique dont nous entendons parler de la part des clients qui mesurent l’efficacité d’un programme de sensibilisation à la sécurité. Et c’est une statistique importante à surveiller pendant votre programme de formation. Mais ce n’est pas la seule mesure à suivre.

Outils utilisés par les entreprises dans leurs programmes de formation à la sécurité informatique.

Résultats de l'enquête Infosec du rapport 2020 Etat du Phishing

Comme nous l'avons appris dans notre rapport 2020 sur l'état du phishing, les modules complémentaires de reporting email sont des éléments sous-utilisés de la formation de sensibilisation à la sécurité informatique.  Selon notre enquête auprès des professionnels de l'informatique et de la sécurité informatique, seules 15 % des entreprises utilisent cet outil dans leurs programmes de formation. Avec la plupart des modules complémentaires de reporting email des fournisseurs, vous pourrez mesurer un "taux de signalement". Celui-ci est défini comme le pourcentage d'utilisateurs qui reçoivent un e-mail de phishing simulé et le signalent en utilisant un de ces outils.

Nos données ont montré que le taux de signalement est plus variable que le taux de clic, et que le taux de signalement est un meilleur indicateur global du changement de comportement des utilisateurs à cause de la variance.

Une autre statistique qui peut être utilisée par les administrateurs est le niveau de connaissance. Alors que le taux de clic et le taux de signalement sont des mesures suffisantes pour évaluer la résistance des utilisateurs aux attaques de phishing, les niveaux de connaissance issus des évaluations permettent de s'assurer que les utilisateurs comprennent les compétences liées au phishing et s'étendent à des sujets comme la confidentialité des données, les mots de passe, la sécurité mobile, et plus encore. Par exemple, si vous avez une entreprise ou un service hautement réglementé qui nécessite une formation spécifique, il sera essentiel de comprendre ces niveaux de connaissance et de savoir s'ils s'améliorent ou se dégradent.

Mesurer l’efficacité d’un programme de sensibilisation à la sécurité informatique : taux de clic et taux de signalement

Si vous envoyez un email de phishing simulé, quel est le taux de clics considéré comme "bon" ? La réponse dépend en grande partie de la difficulté et du ciblage du phishing simulé, ainsi que de l'expérience de vos utilisateurs. Comme vous envoyez différents modèles de phishing, il faut s'attendre à une certaine variabilité.

Taux d’échec moyen d’une campagne de phishing simulé lors d’un programme de sensibilisation à la sécurité

Taux d'échec moyen (AFR) de ThreatSim®

Notre règle générale est qu’un taux de clics et d'échec de moins de 5% est bon. Il est cependant plus judicieux de connaître le taux d’échec moyen, ou AFR (Average Failure Rate), du modèle de phishing simulé et de savoir à combien le taux de clics et d’échec lui est « inférieur » ou « supérieur ». De nombreux fournisseurs, y compris Proofpoint, fournissent le taux d'échec moyen des différents modèles de phishing simulés, comme indiqué ci-dessus avec le chiffre en vert. Comme vous pouvez le voir, un taux de clic de 5 % pour certains modèles montre un score inférieur à la moyenne pour l'ensemble de notre clientèle. C'est pourquoi nous mettons l'accent sur la comparaison des résultats avec ces AFR pour mieux comprendre la sensibilisation des utilisateurs au phishing. Il est important de noter que les taux de clic peuvent changer au fil du temps, car de plus en plus d'entreprises utilisent des modèles.

Formation de sensibilisation à la sécurité informatique : rapport sur le phishing simulé

Rapports anonymes sur les clients et les taux d’échec du rapport 2020 sur l'état du Phishing

Pour aller plus loin, comment comparer les taux de signalement des emails de phishing simulés ? Une bonne règle de base consiste à viser un taux de signalement d'au moins 70 % de la part des utilisateurs.

Nous avons constaté que plusieurs de nos clients ont réussi à obtenir un taux de signalement supérieur à 80 % et un taux d'échec très faible.

Program Externalités positives de votre programme de sensibilisation à la sécurité informatique

Les rapports sur la sensibilisation à la sécurité sont importants dans le contexte des statistiques et des indicateurs clés de performance (KPI) que vous consulterez très probablement dans votre logiciel de sensibilisation à la sécurité, mais il existe d'autres mesures internes qui sont bonnes à surveiller :

  • Nombre d'infections par des malwares et de corrections apportées par les utilisateurs
  • Temps et ressources consacrés à la gestion des boites de réception abusives
  • Nombre d'attaques de phishing réussies en circulation
  • Heures d’interruption pour les utilisateurs finaux

L'une des principales raisons pour lesquelles nous recommandons de suivre ces mesures est qu'elles vous aideront à obtenir l'adhésion continue des principales parties prenantes à votre programme. L'un de nos clients a utilisé un composant de notre solution CLEAR (Closed-Loop Email Analysis and Response) et a réalisé une réduction de 345 000 dollars en équivalents temps plein, que vous pouvez lire dans le rapport de Forrester sur l'impact économique total.

Mettez l’accent sur le positif dans votre formation en ligne à la sécurité informatique

De nombreux paramètres partagés sur la formation à la sensibilisation à la sécurité, comme le "taux d'échec" ou le "taux de clics", peuvent avoir une connotation négative et présenter les utilisateurs sous un jour qui met l'accent sur les erreurs plutôt que sur les succès. Des mesures telles que les taux de signalement et les niveaux de connaissance permettent de mieux démontrer les performances des utilisateurs en tant que ligne de défense contre les attaques ciblées d'aujourd'hui en mettant l'accent sur les comportements positifs plutôt que négatifs.
 

En outre, il est possible d'utiliser ces données pour construire un storytelling sur la façon dont les utilisateurs améliorent la posture de sécurité d'une entreprise. Par exemple, si un utilisateur a signalé un véritable message malveillant et que votre équipe de sécurité a pu le supprimer avant qu'il n'expose votre entreprise, cette histoire peut aider à vendre votre programme en interne aux principales parties prenantes, et à améliorer la culture de votre entreprise.
 

Pour en savoir plus sur la manière de démontrer le succès d'un programme de sensibilisation à la sécurité, regardez notre webinaire : Benchmarks & KPIs You Need to Know for Security Awareness Training.