Sensibilisation SSI : Quel ROI ?

Sempiternelle question s’il en est, celle du ROI du budget alloué à la sensibilisation des utilisateurs est souvent posée sans qu’il soit possible d’y apporter une réponse précise. La sensibilisation est pourtant l’une des mesures les moins coûteuses en termes de sécurité. Par ailleurs, on sait aujourd’hui que la majorité des incidents ont une source humaine. Intuitivement on imagine donc assez bien qu’il suffit de quelques incidents évités pour que la sensibilisation soit rapidement rentable. Néanmoins, le groupe Aberdeen, a mené une étude relativement complète sur le sujet. Intitulée « The Last Mile in IT Security: Changing User Behaviors » vous pouvez vous la procurer ici : http://www.aberdeen.com/research/9910/RR-Changing-User-Behaviors.aspx/content.aspx.

Parmi les données présentées dans cette étude, on trouve notamment le schéma suivant :

graphique aberdeen

Les deux courbes donnent pour chaque valeur en abscisse (montant annuel en dollars des sinistres dus aux infections ayant une cause humaine), le pourcentage que cette valeur soit effectivement atteinte. La différence entre les deux courbes tient dans le fait que pour la bleue, on n’effectue aucune sensibilisation dans l’entreprise concernée. Alors que la verte représente ce qu’il se passe après sensibilisation.

Les flèches rouges mettent en évidence l’impact de la sensibilisation sur la réduction de la probabilité de survenance d’un incident pour certaines valeurs.

Ce tableau démontre la force de la sensibilisation sur la sécurité du système d’information. Dans certains cas de figure le risque d’incident est diminué de 60%. Le ROI de la sensibilisation est donc particulièrement élevé.

S’il fallait démontrer encore l’impérative nécessité de sensibiliser les collaborateurs aux bonnes pratiques, Aberdeen apporter une pièce majeure à cette démonstration.