ARTICLE
Tout le monde parle de formation à la sécurité. Tout le monde organise des cours, des simulations, des webinaires.
Et pourtant, les attaques augmentent. Les gens continuent de cliquer. Les données continuent de fuiter.
Le constat est simple: faire de la formation ne suffit pas. Il faut changer de perspective. Car le vrai problème n’est pas le manque de contenus, mais la manière dont nous pensons la formation: comme un événement, et non comme un processus. Comme une obligation, et non comme une opportunité. Comme quelque chose à enseigner, et non à activer.
Dans cet article, nous analysons 5 erreurs récurrentes qui rendent la sensibilisation à la sécurité inefficace — et ce que nous pouvons faire, en tant qu’entreprises, pour changer réellement de cap.
1. Penser qu’« une fois par an » suffit
Des simulations de phishing réalisées ponctuellement.
Parfois avec des e-mails manifestement faux.
Juste pour « pouvoir dire qu’on les a faites ».
Dommage que, selon le Verizon Data Breach Investigations Report 2024, 68 % des violations impliquent encore le facteur humain. Et le cerveau humain, nous le savons, oublie 70 % des informations après une journée. Il faut au contraire de la continuité, du réalisme, de la progression. Il faut de l’entraînement, pas une simple exposition.
2. Utiliser la même approche pour tout le monde
Employés, managers, stagiaires, techniciens, administratifs. Tous avec la même formation. Les mêmes vidéos, les mêmes quiz, le même faux e-mail annonçant un faux colis Amazon.
Cela ne fonctionne pas. Et la raison est simple: la sécurité est personnelle.
Les personnes ont des rôles, des sensibilités et des responsabilités différentes. Quelqu’un qui travaille dans la finance n’est pas exposé aux mêmes risques que quelqu’un du marketing. Une personne nouvellement arrivée n’a pas le même bagage qu’un collaborateur ayant vingt ans d’expérience.
Une formation efficace est sur mesure. Elle évolue avec la personne, avec son comportement, avec ses erreurs. Celui qui clique reçoit davantage de sollicitations. Celui qui ne se trompe pas consolide ses acquis.
3. Mesurer la formation… avec le taux de complétion
« 98 % des employés ont terminé le cours. »
Très bien. Et ensuite ? Ont-ils appris quelque chose ? Le mettent-ils en pratique ? Se sentent-ils partie prenante de la sécurité de l’entreprise ?
La véritable formation se mesure dans les comportements, pas dans la participation. Le clic sur un e-mail malveillant, le temps de réaction, la demande d’aide face à un doute, le partage de bonnes pratiques. Ce sont là les KPI qui comptent. Le reste n’est que papier.
4. Rechercher l’efficacité en ignorant la psychologie
Nous savons tout de la partie technique. Mais très peu de la partie humaine.
Et pourtant, le risque est là. Les personnes se trompent parce qu’elles sont fatiguées, distraites, surchargées. Parce qu’elles font confiance, parce qu’elles se sentent sous pression, parce que l’e-mail « semblait vrai ».
Le phishing ne trompe pas la raison. Il trompe l’attention. C’est pourquoi la formation doit aussi utiliser des outils issus des sciences comportementales. Répétition, contexte, feedback immédiat, renforcement positif. Non pas des slides, mais des expériences. Non pas de la théorie, mais un entraînement pratique. La formation comme culture, et non comme cours.
5. Penser que le risque est « là-dehors »
Le récit classique de la cybersécurité est entièrement tourné vers l’extérieur: les hackers, les malwares, les ransomwares. Mais aujourd’hui, de plus en plus souvent, le véritable point d’entrée est à l’intérieur.
Un mot de passe partagé, une clé USB, un clic. Et non par mauvaise volonté: par manque de conscience. La sécurité commence à l’intérieur. Et elle se construit jour après jour, personne après personne.
Il faut une culture partagée. Il faut impliquer, responsabiliser, faire en sorte que chacun se sente partie prenante de la solution. Et cela ne s’obtient qu’avec une formation capable de parler, de stimuler, de s’adapter.
Il faut un changement de mentalité, pas un cours de plus
La sensibilisation à la sécurité n’est pas un produit à acheter. C’est un processus à construire. Ensemble. Cela demande du temps, de la méthode, une capacité d’écoute et des outils efficaces.
Mais surtout, il faut changer la question de départ.
Non plus: « Avons-nous dispensé la formation ? »
Mais: « Les personnes se comportent-elles différemment d’hier ? »
C’est de là que part notre approche.
Avec Albert, nous avons développé un programme de sensibilisation à la sécurité continu, personnalisé et intégré.
Un parcours qui combine:
• des simulations de phishing ciblées et progressives
• une formation modulaire et interactive
• le suivi des comportements réels
• et un système intelligent qui adapte le contenu en fonction du niveau de risque, du rôle et de la réponse de l’utilisateur.
Il ne s’agit pas seulement de « former ». Il s’agit d’impliquer les personnes, de modifier leurs habitudes, de construire une culture.