- 78% des RSSI déclarent vouloir repenser leur approche de la sensibilisation à la cybersécurité
- 74% déclarent que leurs rapports de sécurité créent des tableaux de bord, mais ne permettent pas d’améliorer la prise de décision.
- Seuls 11 % d’entre eux peuvent établir avec certitude un lien entre les activités de sensibilisation et la réduction du nombre d’incidents ou d’accidents évités de justesse.
- Les RSSI s’orientent vers des stratégies de sensibilisation à la sécurité axées sur le comportement, spécifiques à chaque rôle et mesurables.
Depuis quelques années, un changement s’opère dans le domaine de la cybersécurité et la plupart des RSSI l’ont ressenti d’une manière ou d’une autre. Beaucoup ont essayé de contourner le problème, en adaptant les programmes, en ajoutant de nouveaux outils, en affinant les messages, mais il est de plus en plus difficile d’ignorer que quelque chose de plus fondamental doit changer.
La façon dont nous avons abordé la sensibilisation à la sécurité ne correspond plus à la façon dont le risque se produit.
Dans notre récent rapport, Rethinking Human Cyber Risk: How CISOs can transform security awareness training to drive measurable risk reduction, basé sur une étude menée auprès de 200 RSSI au Royaume-Uni et en Europe, cette évolution apparaît clairement. 78 % d’entre eux déclarent vouloir repenser leur approche de la sensibilisation à la sécurité. Il ne s’agit pas de la modifier ou de l’améliorer légèrement, mais de la changer radicalement. Cela soulève naturellement la question de savoir pourquoi maintenant, surtout lorsque la sensibilisation a été un élément central des stratégies de sécurité pendant si longtemps.
La réponse réside dans une combinaison de facteurs qui se sont accumulés au fil du temps. Les menaces ont évolué rapidement, les attentes des dirigeants ont augmenté et l’écart entre ce que les programmes de sensibilisation offrent et ce dont les organisations ont réellement besoin est devenu beaucoup plus visible.
Il devient clair qu’il ne s’agit pas d’apporter de petites améliorations à nos programmes et contrôles existants, mais de faire quelque chose de plus fondamental. Pour de nombreuses organisations, cela signifie qu’il faut repenser entièrement le modèle et adopter une approche différente de la sensibilisation à la cybersécurité.
Le paysage des menaces a évolué plus vite que la prise de conscience
La nature des cybermenaces est aujourd’hui très différente de celle pour laquelle de nombreux programmes de sensibilisation à la sécurité ont été conçus à l’origine. Les attaques ne sont plus faciles à repérer et ne se limitent plus à des courriels d’hameçonnage génériques. Elles sont plus ciblées, plus convaincantes et beaucoup plus proches de la façon dont les gens travaillent.
L’intelligence artificielle a accéléré cette évolution. Il est désormais possible de générer des messages qui semblent naturels, qui reflètent le ton avec précision et qui font référence au contexte du monde réel, ce qui les rend beaucoup plus difficiles à détecter. En fait, 46 % des RSSI qui se sentent moins confiants dans la gestion des cyberrisques humains qu’il y a un an citent directement l’ingénierie sociale facilitée par l’IA comme l’une des principales raisons. Dans le même temps, l’ingénierie sociale est devenue plus sophistiquée, utilisant des informations accessibles au public pour créer des scénarios qui semblent familiers et crédibles.
Cela pose un problème car les employés s’appuient souvent sur des conseils qui ont été élaborés pour un autre type de menace. Reconnaître une mauvaise grammaire ou un formatage suspect ne suffit plus lorsque le message semble légitime. Par conséquent, le fossé entre la formation à la sécurité et la réalité continue de se creuser, même dans les organisations qui investissent massivement dans la sensibilisation.
Pourquoi les approches traditionnelles de sensibilisation sont-elles en difficulté ?
« 74% des RSSI déclarent que leurs rapports produisent des tableaux de bord, mais ne sont pas suffisamment clairs pour permettre de prendre de meilleures décisions.
La plupart des organisations ont déployé des efforts considérables en matière de sensibilisation à la sécurité au fil des ans, mais la façon dont le succès est mesuré n’a pas évolué au même rythme. Les taux d’achèvement, l’approbation des politiques et les résultats des simulations de phishing constituent toujours l’épine dorsale de nombreux programmes, 70 % des RSSI déclarant que leurs systèmes de mesure s’appuient sur ces paramètres basés sur les activités. Le problème est qu’elles ne reflètent pas toujours le comportement des personnes dans des situations réelles, ce qui explique pourquoi 74 % d’entre eux déclarent que leurs rapports produisent des tableaux de bord, mais pas assez de clarté pour prendre de meilleures décisions.
Il y a une différence entre comprendre ce qu’est un bon comportement en matière de sécurité et l’appliquer sur le moment, en particulier lorsqu’une personne est occupée, sous pression ou qu’elle doit faire face à des priorités concurrentes. Les programmes de sensibilisation se situent souvent en dehors de cette réalité, comme des activités autonomes plutôt que comme quelque chose d’intégré dans la prise de décision quotidienne.
Il y a aussi la question de la pertinence. Les formations génériques de sensibilisation à la sécurité peuvent améliorer les connaissances de base, mais elles reflètent rarement les risques spécifiques auxquels les individus sont confrontés dans leurs fonctions. Une personne travaillant dans la finance, les ressources humaines ou l’informatique sera confrontée à des scénarios très différents, mais elle recevra souvent le même contenu de formation. Au fil du temps, il est plus difficile d’influencer les comportements de manière significative, ce qui se reflète dans les données, les trois quarts des RSSI affirmant que la pertinence des formations est plus importante que la fréquence des formations lorsqu’il s’agit de susciter des comportements sécurisés.
Les attentes des conseils d’administration évoluent plus vite que leurs capacités
« Seuls 11 % des RSSI peuvent établir avec certitude un lien entre leurs activités de sensibilisation et la réduction du nombre d’incidents ou d’accidents évités de justesse.
Dans le même temps, les attentes à l’égard des RSSI augmentent. La cybersécurité est désormais fermement positionnée comme un risque commercial, et les conseils d’administration veulent mieux comprendre comment ce risque est géré, en particulier lorsqu’il s’agit du comportement humain. En fait, 77 % des RSSI déclarent qu’on attend désormais d’eux qu’ils prouvent le retour sur investissement des initiatives de gestion des risques humains plus rigoureusement que celui des contrôles techniques, ce qui place la barre plus haut en ce qui concerne la façon dont les programmes de sensibilisation sont mesurés et justifiés.
Il ne suffit plus de montrer que la formation de sensibilisation à la sécurité a été suivie. Les dirigeants veulent savoir si cela fonctionne, où le risque est le plus élevé et ce qui est fait pour le réduire. Cette évolution des attentes est rapide et, dans de nombreux cas, elle dépasse les capacités des programmes de sensibilisation traditionnels.
Cela crée une situation difficile pour les RSSI. On leur demande de fournir des preuves d’impact, mais les mesures disponibles ne donnent pas toujours une image complète de la situation. Alors que de nombreuses organisations ont accès à de grandes quantités de données, 74 % d’entre elles déclarent que leurs rapports produisent des tableaux de bord, mais pas suffisamment clairs pour prendre de meilleures décisions, et seulement 11 % peuvent relier en toute confiance leur activité de sensibilisation à la réduction des incidents ou des accidents évités de justesse. Cette lacune rend beaucoup plus difficile la démonstration du retour sur investissement ou la justification de dépenses supplémentaires.
Le coût de l’immobilisme
La poursuite de la même approche en matière de sensibilisation à la sécurité entraîne un coût croissant, même s’il n’est pas immédiatement visible pour l’organisation. Les incidents liés au comportement humain peuvent entraîner des pertes financières, une surveillance réglementaire et une atteinte à la réputation, mais au-delà de cela, il y a un impact plus subtil sur la façon dont les fonctions de sécurité fonctionnent.
Lorsque les programmes de sensibilisation n’influencent pas pleinement les comportements, les équipes de sécurité compensent souvent par d’autres moyens. Cela peut se traduire par l’ajout de contrôles supplémentaires, une surveillance accrue ou une réponse plus fréquente à des incidents qui auraient pu être évités plus tôt. Au fil du temps, cela crée une pression supplémentaire sur les ressources et limite la capacité à se concentrer sur des améliorations à plus long terme.
Prendre du retard comporte également un risque stratégique. Les menaces continuant d’évoluer, les organisations qui n’adaptent pas leur approche de la sensibilisation auront de plus en plus de mal à combler le fossé. Ce qui semble gérable aujourd’hui peut rapidement devenir un problème beaucoup plus important à mesure que la complexité augmente.
Repenser la sensibilisation à la cybersécurité pour faire face aux menaces actuelles
Il est clair que de nombreux RSSI reconnaissent la nécessité d’un changement, 79 % d’entre eux déclarant vouloir adopter une approche plus stratégique de la gestion des risques humains. La question est de savoir à quoi cela ressemble dans la pratique et comment la sensibilisation à la cybersécurité doit évoluer pour la soutenir.
Évoluer ne signifie pas repartir de zéro, ni supprimer complètement la formation à la sensibilisation à la sécurité. Il s’agit de passer d’une mesure de l’activité à une mesure du comportement, et d’interventions ponctuelles à quelque chose de plus continu et de mieux ancré dans la façon dont les gens travaillent.
Pour cela, il faut comprendre comment les gens prennent des décisions dans des scénarios réels, où ces décisions introduisent un risque et comment ce risque évolue dans le temps. Cela signifie également qu’il faut s’orienter vers des approches plus contextuelles et spécifiques à un rôle, où la formation reflète les situations auxquelles les individus sont susceptibles d’être confrontés.
Pour de nombreuses organisations, cela nécessite une façon différente d’envisager la sensibilisation. Il s’agit moins de fournir du contenu que de créer un environnement dans lequel un comportement sûr est plus facile, plus intuitif et mieux soutenu. Ce changement permet aux RSSI d’aller au-delà des mesures de surface et d’avoir une vision plus claire de la façon dont les risques se développent dans l’organisation.
Un moment décisif pour la cyberconscience
Si 2026 semble différent, c’est parce que plusieurs pressions se sont exercées en même temps. Les menaces sont plus avancées, les attentes sont plus élevées et il devient plus difficile d’ignorer les limites des approches existantes. L’IA accélère cette pression, 46% des RSSI qui se sentent moins confiants dans leur approche de la sécurité qu’il y a 12 mois citent l’ingénierie sociale facilitée par l’IA comme un facteur clé.
Les RSSI reconnaissent déjà la nécessité d’un changement, mais il s’agit maintenant de transformer cette reconnaissance en action. Les organisations qui font évoluer leur approche seront mieux placées pour comprendre et réduire les risques humains, tandis que celles qui continuent à suivre le même modèle risquent d’avoir de plus en plus de mal à rester dans la course.
Il ne s’agit pas de réagir à une seule tendance. Il s’agit de répondre à un changement plus large dans la manière dont le cyber-risque se développe et dont il doit être géré.
Comment MetaCompliance peut vous aider
Chez MetaCompliance, nous nous concentrons sur les comportements qui sous-tendent le risque de sécurité, et pas seulement sur l’achèvement des programmes de formation.
La cyberconscience doit refléter la manière dont les gens travaillent, dont les décisions sont prises sous pression et où le risque est le plus susceptible d’apparaître. Cela signifie qu’il faut aller au-delà des approches traditionnelles et mettre en place des programmes de sécurité qui donnent un aperçu réel du comportement, et pas seulement de l’activité.
Nous aidons les organisations à comprendre où se situe le risque humain, comment il évolue et quelles mesures pratiques peuvent être prises pour le réduire au fil du temps. En combinant la connaissance des comportements avec une formation ciblée et pertinente, nous permettons aux responsables de la sécurité de démontrer un impact mesurable et de construire des organisations plus fortes et plus résilientes.
Si vous envisagez de repenser votre approche de la sensibilisation à la cybersécurité en 2026, le moment est venu de passer à l’étape suivante.
Lisez notre dernier rapport pour découvrir comment les grandes organisations commencent déjà à repenser le risque humain.
FAQ sur la sensibilisation à la cybersécurité
Qu'est-ce que la sensibilisation à la cybersécurité et pourquoi est-elle importante ?
La sensibilisation à la cybersécurité fait référence à la manière dont les employés comprennent, reconnaissent et réagissent aux cybermenaces dans leur travail quotidien. Elle est importante car la plupart des incidents de sécurité impliquent un comportement humain, qu’il s’agisse de cliquer sur un lien d’hameçonnage, de mal manipuler des données ou de prendre une décision sous pression. Une forte sensibilisation contribue à réduire les risques en permettant aux personnes de repérer les menaces et d’y répondre correctement avant qu’elles ne s’aggravent.
Pourquoi les organisations repensent-elles la formation à la sensibilisation à la sécurité en 2026 ?
De nombreuses organisations repensent leur approche de la formation à la sensibilisation à la sécurité car les méthodes traditionnelles peinent à suivre le rythme des menaces modernes. Les attaquants utilisent l’IA et des techniques d’ingénierie sociale plus avancées, tandis que les programmes de sensibilisation s’appuient souvent sur un contenu statique et des mesures de base. Par conséquent, les RSSI recherchent des approches plus efficaces, axées sur le comportement, qui reflètent mieux les risques réels.
Quels sont les plus grands défis posés par les programmes traditionnels de sensibilisation à la sécurité ?
L’un des plus grands défis est que les programmes traditionnels ont tendance à se concentrer sur l’achèvement plutôt que sur le comportement. Les indicateurs tels que les taux d’achèvement des formations ou les résultats des tests d’hameçonnage ne montrent pas toujours comment les gens agissent dans des situations réelles. Il y a aussi souvent un manque de pertinence, avec un contenu générique qui ne reflète pas les rôles spécifiques ou les décisions quotidiennes, ce qui rend plus difficile la conduite d’un changement significatif.
Comment les RSSI peuvent-ils mesurer l'efficacité de la cyber-sensibilisation ?
Pour mesurer l’efficacité, il faut aller au-delà des mesures de participation de base et s’intéresser aux comportements. Il s’agit notamment de comprendre comment les employés réagissent à des scénarios réels, où le risque est le plus susceptible de se produire et comment le comportement évolue au fil du temps. Des approches plus avancées utilisent des données et des analyses pour fournir une visibilité sur le risque humain et démontrer une amélioration mesurable.
Qu'est-ce que la gestion des risques humains en matière de cybersécurité ?
La gestion des risques humains est une approche qui se concentre sur la compréhension et la réduction des risques créés par le comportement humain au sein d’une organisation. Au lieu de considérer les personnes comme le maillon faible, elle s’intéresse à la manière dont les décisions sont prises, à ce qui influence ces décisions et à la manière dont les organisations peuvent favoriser de meilleurs résultats. Elle combine des données comportementales, une formation ciblée et une amélioration continue pour réduire l’exposition aux cybermenaces.