Le nouveau rapport de KnowBe4 révèle que la culture de la sécurité gagne du terrain au sein des organisations nord-américaines

KnowBe4, le fournisseur de la plus grande plateforme de formation à la sensibilisation à la sécurité et de simulation d'hameçonnage au monde, a annoncé aujourd'hui la publication de son Rapport 2024 sur la culture de la sécurité (2024 Security Culture Report). Le rapport examine la manière dont les mesures de cybersécurité liées à l'élément humain ont une incidence sur les organisations, ainsi que sur la façon dont les personnes agissent et se sentent au travail.

KnowBe4 définit la « culture de la sécurité » comme l'ensemble des idées, des coutumes et des comportements sociaux qui influencent la sécurité d'une organisation et réduisent le risque humain. Ainsi, la culture de la sécurité est le résultat de l'état d'esprit collectif, des normes et des usages qui façonnent la manière dont une organisation aborde la sécurité et lui donne la priorité.

Le dernier Rapport sur la culture de la sécurité de KnowBe4 révèle que le score global de la culture de la sécurité se situe à un niveau faible à modéré, ce qui est un résultat inchangé par rapport à l'an dernier. Les organisations reconnaissent que les employés constituent une défense essentielle contre les cyberattaques et que les dirigeants doivent adopter une approche descendante pour instaurer une culture robuste de la sécurité. Le rapport montre par ailleurs que les petites organisations obtiennent de meilleurs résultats en matière de culture de la sécurité que leurs homologues de plus grande taille. Cela s'explique principalement par le fait que les dirigeants des grandes organisations ont souvent plus du mal à communiquer efficacement en raison de la taille de l'entreprise, tandis que dans les petites organisations, les individus se sentent davantage responsables de la sécurité.

Le rapport 2024 montre que les organisations des secteurs de l'assurance, des services financiers et de la banque sont les plus performantes en matière de culture de la sécurité aux États-Unis, et qu'elles donnent le ton à la lutte du fait de la nature à haut risque de leurs opérations. Ces secteurs sont la cible d'attaques de cybercriminalité traditionnelle depuis des décennies et ont donc particulièrement mis l'accent sur la culture de la sécurité. À l'autre extrémité du spectre, bien que ces secteurs soient des cibles privilégiées, les administrations publiques, l'industrie et l'éducation peinent à maintenir des normes adéquates, ce qui pourrait expliquer la légère baisse du score global de la culture de la sécurité en Amérique du Nord cette année par rapport à l'année précédente. Cette situation est en grande partie due au manque de ressources dans ces secteurs, qui limite leur capacité à lutter efficacement contre les cybermenaces.

« Il est encourageant de constater que le rôle essentiel que joue la culture de la sécurité dans toute organisation prospère est de mieux en mieux compris », a déclaré Stu Sjouwerman, PDG de KnowBe4. « Il s'agit certes d'un processus évolutif, mais la mise en place et le maintien d'une culture robuste de la sécurité ne sont pas un luxe, mais une nécessité pour les entreprises. Il est essentiel que toutes les industries, notamment celles qui sont fortement ciblées par les cybercriminels, donnent la priorité à la culture de la sécurité et investissent de manière appropriée, en particulier pour réduire le risque humain. »

Le rapport aborde la question de l'IA, qui fait l'objet d'une grande attention, mais qui n'a pas encore d'incidence sur la nature des cyberattaques. Si les acteurs malveillants peuvent exploiter l'IA pour créer des tactiques d'ingénierie sociale sophistiquées, la structure fondamentale des cyberattaques reste inchangée. En effet, les attaques devraient continuer à suivre la même formule de base en matière d'ingénierie sociale, mais avec des outils plus efficaces tels que les deepfakes et des traductions considérablement améliorées. Par conséquent, les défenses contre ces cyberattaques devraient suivre une méthode cohérente consistant à surveiller les signes traditionnels d'ingénierie sociale. C'est pourquoi l'utilisation du potentiel de l'IA pour former les personnes et améliorer les mesures défensives constitue une nécessité stratégique dans la lutte contre la cybercriminalité.

Pour télécharger une copie du Rapport 2024 sur la culture de la sécurité de KnowBe4, rendez-vous ici. KnowBe4 a également produit un Guide pratique sur la culture de la sécurité (Security Culture How-To Guide), qui propose des étapes et une liste de contrôle permettant aux organisations de définir, de mettre en place et de favoriser une culture robuste de la sécurité.

À propos de KnowBe4

KnowBe4, fournisseur de la plus grande plateforme de formation à la sensibilisation à la sécurité et de simulation d'hameçonnage au monde, est utilisée par plus de 65 000 organisations dans le monde entier. Fondée par Stu Sjouwerman, spécialiste des technologies de l'information et de la sécurité des données, KnowBe4 aide les organisations à aborder l'élément humain de la sécurité en les sensibilisant aux rançongiciels, à la fraude des PDG et à d'autres tactiques d'ingénierie sociale grâce à une approche nouvelle de la formation à la sensibilisation à la sécurité. Le regretté Kevin Mitnick, spécialiste de la cybersécurité de renommée internationale et Responsable du piratage informatique de KnowBe4, a contribué à la conception de la formation KnowBe4 en s'inspirant de ses tactiques d'ingénierie sociale bien documentées. Les organisations s'appuient sur KnowBe4 pour mobiliser leurs utilisateurs finaux en tant que dernière ligne de défense et font confiance à la plateforme KnowBe4 pour renforcer leur culture de la sécurité et réduire les risques humains.

Le texte du communiqué issu d'une traduction ne doit d'aucune manière être considéré comme officiel. La seule version du communiqué qui fasse foi est celle du communiqué dans sa langue d'origine. La traduction devra toujours être confrontée au texte source, qui fera jurisprudence.