Faire comprendre et adhérer à l’essentiel

Sensibilisation SSI : Quel ROI ?

Partager cette publication

Partager sur facebook
Partager sur linkedin
Partager sur twitter
Partager sur email

Sempiternelle question s’il en est, celle du ROI du budget alloué à la sensibilisation des utilisateurs est souvent posée sans qu’il soit possible d’y apporter une réponse précise. La sensibilisation est pourtant l’une des mesures les moins coûteuses en termes de sécurité. Par ailleurs, on sait aujourd’hui que la majorité des incidents ont une source humaine. Intuitivement on imagine donc assez bien qu’il suffit de quelques incidents évités pour que la sensibilisation soit rapidement rentable. Néanmoins, le groupe Aberdeen, a mené une étude relativement complète sur le sujet. Intitulée « The Last Mile in IT Security: Changing User Behaviors » vous pouvez vous la procurer ici : http://www.aberdeen.com/research/9910/RR-Changing-User-Behaviors.aspx/content.aspx.

Parmi les données présentées dans cette étude, on trouve notamment le schéma suivant :

graphique aberdeen

Les deux courbes donnent pour chaque valeur en abscisse (montant annuel en dollars des sinistres dus aux infections ayant une cause humaine), le pourcentage que cette valeur soit effectivement atteinte. La différence entre les deux courbes tient dans le fait que pour la bleue, on n’effectue aucune sensibilisation dans l’entreprise concernée. Alors que la verte représente ce qu’il se passe après sensibilisation.

Les flèches rouges mettent en évidence l’impact de la sensibilisation sur la réduction de la probabilité de survenance d’un incident pour certaines valeurs.

Ce tableau démontre la force de la sensibilisation sur la sécurité du système d’information. Dans certains cas de figure le risque d’incident est diminué de 60%. Le ROI de la sensibilisation est donc particulièrement élevé.

S’il fallait démontrer encore l’impérative nécessité de sensibiliser les collaborateurs aux bonnes pratiques, Aberdeen apporter une pièce majeure à cette démonstration.

 

Lire aussi…

L’utilisateur, ce héros !

L’utilisateur, ce héros ! ConscioTech   |   Mars, 25 2024 Commençons ce post par quelques définitions.   Le Larousse nous donne trois définitions du héros. Personne

Conscientisation ou sensibilisation cybersécurité ?

Conscientisation ou sensibilisation cybersécurité ? ConscioTech   |   Mars, 17 2024 En France, le terme le plus fréquemment utilisé reste « sensibilisation« . C’est effectivement celui par lequel