L'impact des formations de sensibilisation diminue après 6 mois
L’efficacité des formations de sensibilisation auprès des collaborateurs n’est plus à démontrer. De plus en plus d’entreprises ont adopté cette démarche afin de renforcer la sécurité de leur SI. En améliorant les réflexes des collaborateurs, le risque de piratages diminue.
Mais un groupe de chercheurs s’est interrogé sur la résistance au temps de ces nouvelles habitudes : une étude a été récemment réalisée sur 409 employés dans le secteur de l’administration allemande (1) afin de déterminer s’ils étaient toujours capables de débusquer des mails de phishing plusieurs mois après une formation. Cette étude a également permis de tester quels types de formations étaient les plus efficaces.
Une étude en 3 parties afin de déterminer le type de formation le plus efficace
1/ - Tester les réflexes après la formation
La première partie de cette étude cherchait à évaluer la durée d’efficacité des formations de sensibilisation. Pendant combien de temps les collaborateurs gardent-ils leurs bons réflexes ? Sont-ils toujours capables de distinguer un mail de phishing d’un mail légitime plusieurs mois après la formation ?
Les études existantes jusqu’à ce jour démontraient l’efficacité des formations juste après qu’elles aient été suivies et encore 45 jours plus tard. Grâce à cette nouvelle étude, les chercheurs ont pu démontrer une baisse des capacités de détection des mails de phishing par les utilisateurs : à partir de 6 mois après la formation, le taux de réussite diminue petit à petit.
Afin de ne pas perdre les connaissances acquises lors de la formation initiale, les chercheurs ont proposé de déployer des « formations de rappel » sous différentes formes afin de trouver le modèle le plus profitable aux utilisateurs.
2/ - Quelles formations de rappel fonctionnent le mieux
Quatre types de formations ont été développés pour faire des « rappels » des bons gestes et évaluer lesquelles sont les plus efficaces : sous forme de texte (8 minutes de lecture), de vidéo, d’exemples interactifs (exemples de mails de phishing avec infos interactives), ou bien de texte court (synthèse de 3 minutes de lecture). Puis des quiz ont été envoyés dans lesquels l’utilisateur devait sélectionner quels mails étaient des mails de phishing, et lesquels étaient légitimes.
Au final, les deux types de formations les plus percutantes ont été :
- le format vidéo : 76 % des mails de phishing ont ensuite été dépistés,
- et le format d’exemples interactifs : 82 % des mails de phishing découverts.
3/ - Pendant combien de temps ces mesures de rappel sont-elles efficaces
Suite aux formations de rappels, les utilisateurs ont continué à être testés pendant plusieurs mois.
La comparaison avec le test réalisé 6 mois après la formation mais sans formation de rappel est sans égal : 12 mois après la formation de rappel sous forme d’exemples interactifs, 82 % des mails de phishing ont été dépistés par les utilisateurs !
Les formations régulières ont donc un impact important sur les capacités de détection des utilisateurs. Un message répété régulièrement permettra aux utilisateurs d’intégrer les bons gestes à plus long terme, et même d’être de plus en plus réactif face aux mails de phishing de plus en plus innovants.
Le programme CertiAware développé par Certilience vous propose différents tests utilisateurs (mails de phishing, clés USB) et différents types de formations (e-learning, stands de démonstration, conférence). La variété de cette offre vous permet de mettre en place des événements toute l’année dans votre entreprise. Consultez vite notre catalogue de formations !
Pour mettre en place un calendrier de sensibilisation CertiAware
dans votre entreprise :