68% des RSSI considèrent toujours les employés comme leur plus grand risque en matière de sécurité
79 % adoptent une gestion des cyberrisques humains basée sur le comportement, mais les progrès ne sont pas à la hauteur de l’évolution des menaces.
Londres, le 13 mai 2026 - Les RSSI de la région EMEA ne veulent plus des formations traditionnelles de sensibilisation à la sécurité. Une nouvelle étude révèle que 78 % d’entre eux estiment que leur approche de la formation à la sensibilisation à la sécurité doit évoluer de toute urgence. L’étude de MetaCompliancel’entreprise de gestion des cyber-risques humains qui transforme la façon dont les organisations construisent des cultures de sécurité résilientes, met en évidence l’inquiétude généralisée des RSSI quant à l’incapacité des méthodes actuelles à prendre en compte les cyber-risques humains.
L‘étude, qui a porté sur 200 RSSI au Royaume-Uni, en Suède, en Allemagne et en France, a révélé que 81 % des RSSI estiment que les programmes de sensibilisation à la sécurité échouent parce qu’ils traitent le cyberrisque humain comme une question de formation plutôt que comme un défi plus large de gestion des risques. Dans le même temps, 68 % des entreprises considèrent leurs employés comme leur plus grand risque en matière de sécurité, ce qui met en évidence une vulnérabilité persistante et non résolue au cœur de la sécurité des entreprises.
Malgré un investissement continu dans les programmes de sensibilisation - les organisations consacrant en moyenne 15 % de leur budget annuel de sécurité à la sensibilisation et 79 % dispensant des formations au moins toutes les deux semaines - les résultats restent irréguliers. Un quart (25 %) des organisations déclarent avoir du mal à capter l’attention des employés, tandis que 24 % d’entre elles ne parviennent pas à intégrer un comportement sûr dans leur travail quotidien et que 24 % d’autres peinent à aligner les parties prenantes dans l’ensemble des fonctions. Cela confirme que le défi est autant organisationnel que comportemental.
Ce décalage est dû à une approche dépassée. Alors que de nombreux RSSI estiment que leur organisation a dépassé le stade de la sensibilisation « par cases à cocher » - certains décrivant leur approche comme étant axée sur le comportement (33 %) ou intégrant la gestion des risques humains (24 %) - ce progrès perçu ne se traduit pas par des changements significatifs.
James Mackay, directeur général de MetaCompliance, a déclaré : « Nous sommes très heureux de pouvoir vous aider : « La confiance augmente, mais cela ne signifie pas que le risque diminue. De nombreuses entreprises confondent formation à la sécurité et sécurité réelle, alors que les vulnérabilités humaines sous-jacentes n’ont pas changé.
« Cette situation crée un décalage dangereux. Les entreprises se sentent plus en sécurité, mais les employés restent la plus grande source de risque. Dans le même temps, les menaces deviennent de plus en plus sophistiquées, l’IA accélérant l’ampleur et la précision des attaques d’ingénierie sociale. Les organisations sont donc de plus en plus exposées si cette lacune n’est pas comblée. »
En conséquence, les RSSI réclament un modèle plus stratégique. Près de quatre sur cinq (79 %) souhaitent passer à la gestion des risques humains, une approche qui se concentre sur l’identification des individus à haut risque et sur l’adaptation des interventions en fonction du comportement, ainsi que sur le développement d’une culture de sécurité collective à l’échelle de l’organisation. Par ailleurs, 83 % des personnes interrogées estiment que des interventions ciblées permettraient de réduire les risques plus rapidement, tandis que 80 % d’entre elles affirment que les messages de sécurité sont plus efficaces lorsqu’ils sont diffusés dans le cadre du travail.
Ce changement intervient alors que les organisations sont confrontées à une pression croissante pour moderniser leurs défenses en raison de l’évolution du paysage des menaces. Au cours des 12 prochains mois, les organisations prévoient de se concentrer sur l’augmentation de la fréquence d’engagement (27%), la démonstration d’un retour sur investissement mesurable (25%) et l’adaptation des interventions aux individus à haut risque (24%) - en particulier en réponse à l’ingénierie sociale basée sur l’IA (24%).
James Mackay ajoute : « Le cyberrisque humain doit être traité comme n’importe quel autre risque d’entreprise - mesurable, ciblé et géré en permanence. Cela signifie qu’il faut passer de la sensibilisation à un véritable changement de comportement. Les organisations doivent inverser le scénario de leur gestion de la cybersécurité, en utilisant le ciblage et la connaissance en temps réel pour atteindre les bonnes personnes, avec le bon message, au bon moment. C’est ainsi que l’on réduit le cyberrisque humain à grande échelle ».
FINS
Méthodologie
L’étude a été menée par Censuswide, auprès d’un échantillon de 200 RSSI d’entreprises de plus de 250 salariés (âgés de plus de 30 ans) en France, en Allemagne, en Suède et au Royaume-Uni (50 RSSI dans chaque marché). Les données ont été collectées entre le 17.02.2026 et le 23.02.2026. Censuswide est membre de la Market Research Society (MRS) et du British Polling Council (BPC), et signataire du Global Data Quality Pledge. Nous adhérons au code de conduite de la MRS et aux principes d’ESOMAR.
À propos de MetaCompliance
MetaCompliance est la société de gestion des risques humains qui transforme la façon dont les organisations construisent des cultures de sécurité résilientes. Sa plateforme intelligente prête pour l’entreprise combine l’éducation personnalisée à la cybersécurité, l’analyse comportementale et l’automatisation pour mesurer, atténuer et gérer le risque humain à grande échelle. Avec plus de six millions d’utilisateurs dans le monde, MetaCompliance aide les entreprises internationales à réduire les risques et à mettre en place des changements de comportement durables. www.metacompliance.com
***
Contacts presse
- MetaCompliance
- Liz Adams, Vice-présidente, Marketing - [email protected]