Sensibilisation à la sécurité 2025 : pourquoi les formations seules ne résolvent pas les risques cyber

Q: À quelle fréquence faut-il organiser des simulations de phishing ?

Un rythme mensuel est recommandé pour les simulations actives. Toutefois, la variété prime sur la fréquence : alterner les types de campagnes, les scénarios d’expéditeurs et les profils ciblés. Des simulations prévisibles finissent par être identifiées et perdent toute valeur pédagogique.

Q: Est-il légal de soumettre les employés à des tests de phishing simulés sans les en informer au préalable ?

En Allemagne : oui, sous certaines réserves. Le comité d’entreprise doit être informé et associé à la décision (droit de codécision selon l’article 87 du BetrVG). Il est fortement conseillé de conclure une convention collective spécifique sur la sensibilisation à la sécurité. Les résultats individuels ne doivent en aucun cas servir de base à des décisions en ressources humaines.

Q: Quels sont les meilleurs outils pour la sensibilisation à la sécurité ?

KnowBe4 domine le marché (bibliothèque la plus fournie, gamification très aboutie). Proofpoint Security Awareness Training se distingue par son intégration fluide avec les solutions de messagerie. Hoxhunt mise sur une approche ludique et comportementale. Mimecast offre une excellente compatibilité avec les passerelles de messagerie.

Q: Comment instaurer une véritable culture de la sécurité ?

L’exemple doit venir du haut : le CISO et les dirigeants participent activement aux formations et communiquent régulièrement sur la sécurité comme une valeur fondamentale. Les signalements sont récompensés, non sanctionnés. Les erreurs sont traitées comme des opportunités d’apprentissage. La sécurité est intégrée dès l’intégration des nouveaux collaborateurs, dans les entretiens d’évaluation et dans la communication interne.

Q: Comment mesurer le ROI d’un programme de sensibilisation à la sécurité ?

Le calcul direct reste délicat, mais il est réalisable : réduction du nombre d’attaques de phishing réussies (mesurée via les statistiques d’incidents), raccourcissement du délai de signalement, diminution des tickets adressés au support technique suite à l’ouverture accidentelle de pièces jointes, comparaison des coûts d’assurance avant/après déploiement.

1 min de lecture

La formation à la sensibilisation à la sécurité est un marché de plusieurs milliards d’euros – et pourtant, les taux de clics sur les phishing restent constamment élevés. Selon Proofpoint, 10 à 15 % des employés cliquent sur le lien dans des simulations de phishing bien conçues. Les formations obligatoires annuelles, oubliées après trois mois, n’ont pas changé cela. Ce qui aide réellement est plus complexe et plus intéressant.

L’essentiel

Formations annuelles : peu d’effet : La courbe de l’oubli rend les formations ponctuelles inefficaces après 6 semaines.
Simulations de phishing + micro-apprentissage : Un retour d’information immédiat et contextualisé en cas d’erreur de clic est dix fois plus efficace.
La culture de la sécurité prime sur la conformité : Les entreprises qui récompensent les signalements d’incidents affichent de meilleurs indicateurs de sécurité.
Conception fondée sur le comportement : Les incitations douces (nudging), l’introduction de frictions lors d’actions à risque et le renforcement positif donnent des résultats tangibles.
La mesure est obligatoire : Les taux de clics, les taux de signalement et le délai de signalement sont les indicateurs pertinents – pas le simple fait « d’avoir suivi la formation ».

Pourquoi les formations traditionnelles ne fonctionnent pas

La psychologie du comportement est sans équivoque : le savoir seul ne modifie pas les comportements. La courbe de l’oubli d’Ebbinghaus montre que 70 % de ce qui est appris disparaît au bout de 24 heures, et jusqu’à 90 % après une semaine. Une formation de deux heures dispensée en janvier a donc très peu d’influence sur les réactions face à une attaque de phishing en octobre.

Par ailleurs, les formations classiques manquent cruellement de contexte. Dire « ne cliquez pas sur les liens des e-mails » semble simpliste, mais dans la réalité professionnelle, la quasi-totalité des liens sont légitimes. En situation de stress – par exemple pendant une réunion où l’on doit répondre rapidement à un message – les employés ne parviennent pas à mobiliser leurs capacités d’évaluation des risques.

Ce qui fonctionne : les approches fondées sur le comportement

Formation en temps réel : Lorsqu’un employé clique sur un lien lors d’une simulation de phishing, une brève unité d’apprentissage (2 à 3 minutes) s’affiche immédiatement, expliquant ce qui a révélé le caractère frauduleux du message. Le contexte est encore frais, l’émotion ressentie (une légère gêne) renforce durablement l’apprentissage. Fournisseurs : KnowBe4, Proofpoint Security Awareness, Hoxhunt.

Incitations et frictions : Des mesures techniques qui soutiennent le bon comportement : bannières signalant les e-mails provenant d’expéditeurs externes, boîtes de dialogue d’avertissement avant l’ouverture de pièces jointes d’expéditeurs inconnus, blocage automatique de la réexpédition vers des adresses externes. Ces dispositifs réduisent structurellement la probabilité d’erreurs humaines.

Renforcement positif : Les entreprises qui récompensent activement les employés signalant des e-mails suspects – via de la gamification, une reconnaissance publique ou de petites primes – observent des taux de signalement nettement supérieurs. Or, un taux de signalement élevé accélère la détection des incidents.

KPI pour un programme de sensibilisation efficace

La plupart des programmes de sensibilisation se contentent de mesurer « a suivi la formation » – or il ne s’agit pas d’un indicateur de sécurité, mais d’un indicateur de conformité. Les programmes performants suivent plutôt :

Taux de clics sur les phishing : L’évolution dans le temps compte davantage que la valeur absolue. Objectif : une réduction continue, non pas zéro % (objectif irréaliste).

Taux de signalement : Quel pourcentage d’employés signale-t-il des e-mails suspects ? Une hausse régulière de ce taux constitue un indicateur de sécurité plus fiable qu’une baisse isolée du taux de clics.

Délai de signalement : Combien de temps s’écoule entre l’apparition d’un incident et son signalement ? Un délai plus court permet une réponse aux incidents plus rapide et plus ciblée.

Récidivistes : Qui clique à plusieurs reprises ? Des actions ciblées spécifiquement destinées à ce groupe sont bien plus efficaces que de nouvelles formations collectives.

Key Facts auf einen Blick

Taux de clics sur les phishing sans formation : ~25-30 % en simulation (Proofpoint 2025)

Taux de clics sur les phishing après formation en temps réel : Réduction possible à 5-10 %

Oublié après 1 semaine : ~90 % de ce qui est appris en formation (courbe d’Ebbinghaus)

Taille du marché de la sensibilisation à la sécurité : Plus de 5 milliards de dollars US dans le monde (2025)

Cible d’attaque la plus fréquente : RH, Finance et nouveaux employés (< 6 mois) touchés de façon disproportionnée

Fait : Selon le rapport IBM « Coût d’une violation de données » 2025, 95 % des violations de sécurité sont causées ou aggravées par une erreur humaine.

Fait : Selon l’Institut SANS, les entreprises dotées de programmes réguliers de sensibilisation à la sécurité réduisent en moyenne de 75 % leur taux de clics sur les e-mails de phishing dans les 12 mois suivants.

Questions fréquentes

À quelle fréquence faut-il organiser des simulations de phishing ?

Un rythme mensuel est recommandé pour les simulations actives. Toutefois, la variété prime sur la fréquence : alterner les types de campagnes, les scénarios d’expéditeurs et les profils ciblés. Des simulations prévisibles finissent par être identifiées et perdent toute valeur pédagogique.

Est-il légal de soumettre les employés à des tests de phishing simulés sans les en informer au préalable ?

En Allemagne : oui, sous certaines réserves. Le comité d’entreprise doit être informé et associé à la décision (droit de codécision selon l’article 87 du BetrVG). Il est fortement conseillé de conclure une convention collective spécifique sur la sensibilisation à la sécurité. Les résultats individuels ne doivent en aucun cas servir de base à des décisions en ressources humaines.

Quels sont les meilleurs outils pour la sensibilisation à la sécurité ?

KnowBe4 domine le marché (bibliothèque la plus fournie, gamification très aboutie). Proofpoint Security Awareness Training se distingue par son intégration fluide avec les solutions de messagerie. Hoxhunt mise sur une approche ludique et comportementale. Mimecast offre une excellente compatibilité avec les passerelles de messagerie.

Comment instaurer une véritable culture de la sécurité ?

L’exemple doit venir du haut : le CISO et les dirigeants participent activement aux formations et communiquent régulièrement sur la sécurité comme une valeur fondamentale. Les signalements sont récompensés, non sanctionnés. Les erreurs sont traitées comme des opportunités d’apprentissage. La sécurité est intégrée dès l’intégration des nouveaux collaborateurs, dans les entretiens d’évaluation et dans la communication interne.

Comment mesurer le ROI d’un programme de sensibilisation à la sécurité ?

Le calcul direct reste délicat, mais il est réalisable : réduction du nombre d’attaques de phishing réussies (mesurée via les statistiques d’incidents), raccourcissement du délai de signalement, diminution des tickets adressés au support technique suite à l’ouverture accidentelle de pièces jointes, comparaison des coûts d’assurance avant/après déploiement.

Weiterführende Lektüre im Netzwerk

HR und Unternehmenskultur: mybusinessfuture.com

Security für C-Level: digital-chiefs.de

Plus du réseau MBF Media

cloudmagazin | MyBusinessFuture | Digital Chiefs

Source de l’image : Pexels / Bombeiros MT

Imprimer l'article

À propos de l'auteur: Tobias Massow

Plus d'articles de Tobias Massow

Aussi disponible en

Español English Deutsch

Lire l'article

Phishing