Les gros titres soulignent quotidiennement l'impact croissant des violations de données sur les gouvernements, les organisations et les individus/familles du monde entier. Les dépenses consacrées aux infrastructures de cybersécurité sont passées de 34 milliards de dollars US en 2017 à 57,7 milliards de dollars US en 2021 (Statista 2022). Selon les estimations, les dépenses cumulées futures s'élèveront à 1,74 trillion de dollars américains entre 2021 et 2025 (Cybercrime Magazine). L'augmentation spectaculaire des dépenses en cybersécurité s'accompagne d'une augmentation tout aussi stupéfiante du nombre et de la valeur des violations de la cybersécurité. "Cybersecurity Ventures s'attend à ce que les coûts mondiaux de la cybercriminalité augmentent de 15 % par an au cours des cinq prochaines années, pour atteindre 10,5 trillions USD par an d'ici 2025, contre 3 trillions USD en 2015."
Lors d'un récent entretien avec des responsables de l'assurance des biens et des risques divers, ceux-ci ont indiqué qu'ils s'attendaient à ce que les dépenses liées aux polices d'assurance de la cybersécurité dépassent celles des polices d'assurance des biens "ordinaires" dans un avenir très proche. Si l'on ajoute à cela les estimations selon lesquelles les indemnités versées au titre de l'assurance cybersécurité s'élèvent à 3 ou 4 USD par dollar de prime, les défis associés aux violations de la cybersécurité sont ressentis par toutes les parties prenantes à l'échelle mondiale.
Après avoir examiné les données et les estimations ci-dessus, il serait raisonnable de penser que quelque chose doit changer si nous voulons "prendre de l'avance" sur l'augmentation continue des violations et des coûts de la cybersécurité.
Le défi que nous devons maintenant relever est le suivant : comment faire en sorte que le comportement humain soit étroitement aligné sur les investissements réalisés dans l'infrastructure de cybersécurité ? Aucune dépense d'infrastructure ne peut atténuer le comportement humain qui expose un gouvernement, une organisation ou un individu/famille à des menaces de cybersécurité. Trop souvent, une violation de la sécurité se produit parce que quelqu'un accède à un lien wi-fi frauduleux, clique sur un lien dans un courriel qui ressemble beaucoup à un lien légitime, ou s'engage dans une démarche téléphonique criminelle, etc.
"95 % des failles de cybersécurité sont dues à une erreur humaine." (Cybint).
Si la majorité des failles de cybersécurité sont causées par une erreur humaine, alors comment aborder le profil de risque comportemental humain des gouvernements, des organisations et des individus/familles à l'avenir ?
Historiquement, la formation à la cybersécurité consistait en de courtes vidéos et des questions auxquelles les individus des grandes organisations devaient répondre chaque année. Lorsque les gens repassent ces modules parce qu'ils changent d'organisation ou le refont d'année en année dans leur organisation actuelle, ils sont moins engagés et considèrent la formation comme une corvée nécessaire qu'ils doivent accomplir. Ils ne font que "cocher une case" au lieu de s'engager dans le contenu avec un désir profond d'apprendre et de comprendre. En fait, "près de deux tiers des travailleurs britanniques pensent qu'un logiciel antivirus à jour est tout ce dont ils ont besoin pour se protéger de toute cyberattaque". - Adenike Cosgrove, Stratège en cybersécurité, EMEA, Proofpoint. Sur la base de cette analyse, il n'est pas difficile de voir qu'il existe un décalage/une déconnexion entre la façon dont la plupart des gens abordent les menaces de cybersécurité et ce que l'on attend d'eux pour soutenir les dépenses en infrastructures de cybersécurité. Tant qu'il n'y aura pas d'alignement plus étroit, les coûts de violation et les dépenses d'infrastructure augmenteront en spirale, tandis que les assureurs auront du mal à aligner les revenus des polices sur les coûts des sinistres.
Pour combler cette lacune, une approche nouvelle et innovante de l'éducation à l'identification et à la prévention des menaces de cybersécurité est nécessaire. Il faut s'attacher à rendre le contenu simple, amusant et facile à consommer pour les individus. Le marché mondial ayant besoin de formations, il est nécessaire de les rendre culturellement agnostiques pour attirer les parties prenantes du monde entier. Pour s'assurer que les gens sont vraiment engagés dans l'expérience d'apprentissage, il faut user de la gamification. Lorsqu'elle est liée à la récompense et à la reconnaissance, la gamification fournit un plan parfait pour motiver les individus à consommer le contenu et à faire de leur mieux pour non seulement consommer le contenu, mais aussi pour vraiment comprendre et mettre en œuvre ce qui leur est enseigné. "Le portail d'apprentissage de Ford (Learning Management System - LMS) a vu son utilisation augmenter de 417 %. Le public plus jeune était particulièrement engagé. Il en est résulté une meilleure satisfaction des clients et une augmentation des ventes" (Mike (Michael) Morrison MSc Chartered CCIPD). Cette approche devrait être mise à la disposition des individus et des familles à titre gratuit, afin de réduire l'exposition des familles aux cyberattaques dans le monde entier. Les gouvernements et les organisations qui déploient une approche de nouvelle génération pour l'identification et l'éducation à la prévention des cybermenaces aligneront étroitement le comportement humain sur les dépenses en infrastructures de cybersécurité tout en générant des données et des informations précieuses à partager avec les assureurs pour obtenir une assurance cybersécurité ou éventuellement réduire leurs primes.
Bien qu'il y ait beaucoup de travail à faire, le marché commence à se rendre compte du fossé qui doit être comblé à l'avenir. Les prestataires de services éducatifs progressistes créent des contenus et des stratégies novateurs afin d'impliquer les utilisateurs et de combler les lacunes pour réduire les violations de la cybersécurité et leurs coûts. Steve Buege résume bien la situation dans le Security Magazine, du 21 Novembre 2021:
"Si les outils de sécurité peuvent contribuer à réduire ces menaces, la sécurité des données ne peut être assurée que si tous les employés apprennent à reconnaître quand ils sont la cible d'une attaque et savent ce qu'il faut faire - et ce qu'il ne faut pas faire."
David Monroe
Suivez-nous sur: