10. juillet 2025 | Imprimer l'article |

Pourquoi la formation à la sensibilisation à la sécurité échoue – et ce qui fonctionne à la place

1 min de lecture

Les entreprises dépensent des milliards d’euros pour des formations à la sensibilisation à la sécurité. Les taux de clics sur les courriels de phishing ne diminuent pourtant pas de manière durable. Le problème n’est pas l’absence de formation, mais le modèle : les vidéos obligatoires annuelles ne modifient pas le comportement. Ce qui fonctionne, ce sont les micro-interventions continues et contextuelles, ainsi que les mesures techniques de protection capables d’intercepter les erreurs humaines.

L’essentiel

  • Taux de clics sur les courriels de phishing après formation : 4,6 % – sans formation : 5,3 % (Proofpoint)
  • Les formations obligatoires annuelles n’ont aucun effet mesurable à long terme (USENIX 2023)
  • Les avertissements contextuels dans le client de messagerie réduisent les clics de 50 %
  • Les contrôles techniques (DMARC, MFA, analyse dynamique des URL) empêchent davantage d’incidents que la formation seule

Le théâtre de la conformité : pourquoi les formations annuelles ne servent à rien

La plupart des programmes de sensibilisation à la sécurité existent avant tout pour répondre aux exigences réglementaires – pas pour modifier les comportements. Une fois par an, on clique sur une vidéo de 30 minutes, on réussit un quiz, on coche une case. Or les études montrent que cet effet s’estompe au bout de 4 à 6 semaines. La rétention des connaissances est minimale, celle du changement de comportement encore plus faible.

Une étude USENIX (2023) confirme qu’entre les entreprises dotées ou non d’un programme de sensibilisation, l’écart observé dans le taux de clics sur les courriels de phishing reste inférieur à un point de pourcentage. L’investissement est donc totalement déconnecté des résultats obtenus.

Ce qui fonctionne à la place : le nudging plutôt que la formation

La recherche en sciences du comportement démontre que les individus ne modifient pas leurs habitudes grâce à l’acquisition de savoirs, mais via des interventions ciblées, contextualisées et déclenchées au moment même de la prise de décision. Un simple avertissement affiché directement dans le client de messagerie – « Cet e-mail provient d’un nouvel expéditeur » – s’avère bien plus efficace que n’importe quelle vidéo pédagogique.

Microsoft a adopté précisément cette approche avec ses « Safety Tips » et ses étiquettes identifiant les expéditeurs externes. Google, quant à lui, affiche des bannières d’avertissement pour les liens suspects. Ces « nudges » intégrés au flux de travail réduisent de 40 à 50 % le taux de clics sur les liens malveillants – un gain plusieurs fois supérieur à celui obtenu par les formations classiques.

Simulations de phishing : utiles ou toxiques ?

Les simulations de phishing constituent l’outil le plus populaire – et le plus controversé. Pour : elles permettent de mesurer concrètement le taux de clics réel et d’identifier les utilisateurs les plus exposés. Contre : elles nourrissent méfiance, anxiété et ressentiment, surtout lorsqu’elles débouchent sur la mise à l’index ou la sanction des « échecs ».

La voie du juste milieu consiste à utiliser ces simulations comme outil de mesure – et non comme instrument de punition – à valoriser positivement les signalements corrects, et à exploiter les données recueillies pour renforcer les contrôles techniques, jamais pour stigmatiser les employés.

Défense en profondeur : les contrôles techniques comme filet de sécurité

La mesure la plus efficace de « sensibilisation » est en réalité technique : l’activation stricte de DMARC (qui bloque l’usurpation de domaine), l’authentification multifacteur (MFA, qui rend inutilisables les mots de passe volés), l’analyse dynamique des URL (qui désamorce les liens malveillants) et l’accès conditionnel (qui interdit les connexions depuis des contextes inhabituels).

Ces dispositifs interceptent les erreurs humaines avant qu’elles ne causent des dégâts. L’humain demeure la dernière ligne de défense – pas la seule. Celui qui fonde exclusivement sa stratégie sur la vigilance individuelle a déjà perdu la partie.

Faits clés

Effet de la formation : Moins de 1 point de pourcentage d’écart dans le taux de clics sur les courriels de phishing (Proofpoint 2024)

Effet du nudging : Réduction de 40 à 50 % grâce aux avertissements contextuels intégrés aux clients de messagerie

Adoption de DMARC : Seulement 33 % des entreprises allemandes ont activé le mode « Enforce » (eco 2024)

Questions fréquentes

Dois-je abolir complètement la formation à la sensibilisation à la sécurité ?

Non, mais il faut la repenser : remplacer les vidéos obligatoires annuelles par des micro-formations courtes et contextualisées (5 minutes, une fois par mois), utiliser les simulations de phishing comme outil de mesure – et non de sanction – et faire des contrôles techniques la première ligne de défense.

Quelles mesures techniques ont le plus grand effet ?

Dans cet ordre : DMARC en mode « Enforce » (protection des domaines), MFA généralisé à tous les services (protection des identifiants), analyse dynamique des URL au niveau de la passerelle de messagerie (protection des liens), étiquetage des expéditeurs externes dans le client de messagerie (information contextuelle).

Sommes-nous tout de même conformes à NIS2 sans formation classique ?

NIS2 exige des « mesures de sensibilisation », sans imposer un format spécifique. Des micro-interventions traçables, des simulations de phishing documentées et des mesures techniques de protection rigoureusement mises en œuvre répondent pleinement à cette exigence. Ce qui compte, c’est la capacité à en apporter la preuve.

Articles connexes

Plus du réseau MBF Media

Source de l’image : Pexels / RDNE Stock project

Imprimer l'article
Tobias Massow

À propos de l'auteur: Tobias Massow

Plus d'articles de

Aussi disponible en

EspañolEnglishDeutsch

Lire l'article

Un magazine de Evernine Media GmbH