La plupart des organisations comprennent que l’humain joue un rôle majeur dans le risque cybernétique. Bien plus rares sont celles qui ont mis en place un programme de formation à la sécurité qui modifie réellement les comportements.
Le risque de sécurité lié au facteur humain se résume rarement à un incident spectaculaire. En réalité, il se manifeste dans des moments ordinaires : un employé clique sur un e-mail de hameçonnage convaincant, réutilise un mot de passe pour différents outils professionnels, partage des identifiants dans une discussion ou ignore une demande d’authentification à deux facteurs (A2F) parce qu’il y voit une interruption plutôt qu’une mesure de protection.
Au fil du temps, ces décisions quotidiennes déterminent le niveau d’exposition de l’organisation. Au Royaume-Uni, l’ampleur de la menace empêche de considérer ce problème comme mineur. Le rapport du gouvernement britannique Cyber Security Breaches Survey 2025 a révélé que la moitié des entreprises ont subi un incident ou une fuite de données de sécurité au cours des 12 derniers mois, et l’hameçonnage reste le type de cybercriminalité le plus courant parmi les entreprises touchées.
Pour les responsables RH, les RSSI, les directeurs d’exploitation, les responsables informatiques et les équipes de sécurité, la formation à la sensibilisation à la sécurité est bien plus qu’un simple exercice de conformité. C’est ainsi que les entreprises réduisent les risques évitables. Le défi réside dans le fait que de nombreux programmes sont encore conçus pour valider des exercices plutôt que pour modifier concrètement les comportements. Les membres de l’équipe regardent une vidéo annuelle, cochent une case et reprennent les mêmes habitudes qui ont initialement généré le risque.
Une approche plus efficace consiste à traiter la sensibilisation comme faisant partie intégrante de la culture d’entreprise. Elle est renforcée au fil du temps, adaptée selon le rôle, soutenue par des politiques utilisables et appuyée par des outils qui facilitent le choix de la sécurité.
Nous expliquerons à quoi ressemble concrètement un programme de sensibilisation à la sécurité efficace, pourquoi tant d’organisations échouent et comment en construire un qui améliore le comportement au quotidien plutôt que de simplement documenter que la formation a eu lieu.
Pourquoi la formation à la sensibilisation à la sécurité échoue dans la plupart des organisations
La formation à la sensibilisation à la sécurité échoue souvent parce qu’elle est traitée comme un événement, au lieu d’être un système. Dans de nombreuses organisations, le programme se résume à un module de conformité annuel, un court questionnaire et rien d’autre. On attend du personnel qu’il assimile des conseils génériques une fois par an, puis qu’il les applique de manière cohérente à travers des centaines de flux de travail, d’outils et de décisions réels. Cela ne suffit pas à modifier les comportements de façon durable.
Le problème n’est pas que la formation à la sensibilisation manque de valeur. C’est que de nombreux programmes sont obsolètes ou trop déconnectés de la façon dont les gens travaillent réellement. Ils s’appuient sur des rappels abstraits, alors que les risques réels apparaissent dans les boîtes de réception, les drives partagés, les réinitialisations de mots de passe, les demandes urgentes des gestionnaires et les décisions d’accès quotidiennes. Si la formation ne reproduit pas ce que les gens voient ou font réellement chaque jour, il est peu probable qu’ils la retiennent ou l’appliquent.
Les programmes de formation devraient inclure une intégration et une formation de rappel pour tout le personnel sur la protection des données et la gouvernance de l’information, tandis que la sensibilisation devrait utiliser des méthodes de communication régulières pour maintenir la visibilité de la gouvernance de l’information, de la protection des données et de la sécurité de l’information dans le temps. Cela suggère un modèle continu plutôt qu’une intervention annuelle unique.
Une autre raison pour laquelle les programmes échouent est qu’ils se concentrent trop étroitement sur ce que les employés ne doivent pas faire, tout en ignorant la cause profonde des mauvaises habitudes. Dire au personnel de ne pas réutiliser les mots de passe aide en théorie, mais cela ne sert à rien si l’entreprise ne leur a pas fourni un moyen sûr et pratique de créer, stocker et partager des identifiants. Leur dire comment repérer l’hameçonnage est utile, mais moins efficace si le signalement des messages suspects est flou ou fastidieux.
À quoi ressemble un véritable programme de sensibilisation à la sécurité
Un véritable programme de sensibilisation à la sécurité n’est pas une chose que les employés terminent une fois pour l’oublier ensuite. Il s’agit d’un ensemble continu d’habitudes, d’attentes et de mesures de protection qui aident les gens à prendre de meilleures décisions de sécurité au fil du temps.
Cela commence par la continuité. Utilisez des ressources de formation conçues pour compléter les politiques et procédures existantes. Elles devraient couvrir des domaines pratiques tels que les mots de passe robustes, les bonnes pratiques relatives au BYOD, l’ hameçonnage et le signalement d’incidents. Ce mélange est utile car une sensibilisation efficace ne s’arrête pas à un seul sujet. Elle doit refléter l’ensemble des actions de routine qui façonnent la sécurité dans les lieux de travail réels.
Mais la continuité seule ne suffit pas. Le programme doit également refléter les différences réelles dans la manière dont les équipes sont confrontées aux risques.
Un programme efficace doit également être spécifique au rôle. Un membre de l’équipe financière traitant des demandes de paiement n’est pas confronté au même risque quotidien qu’un responsable marketing partageant des comptes de réseaux sociaux, ou qu’un responsable RH gérant des dossiers d’employés. Les conseils génériques ont leur place, mais ils fonctionnent mieux lorsqu’ils sont suivis d’une formation adaptée aux systèmes, aux données et aux types d’attaques les plus pertinents pour chaque groupe.
Le composant suivant est la pratique. Les employés ne développent pas un meilleur jugement uniquement en lisant des règles. Ils progressent grâce à une exposition répétée à des scénarios réalistes : simulations d’hameçonnage, exercices de signalement, révisions d’accès et courts rappels liés aux outils ou flux de travail réels. Les simulations d’attaques sont particulièrement utiles car elles permettent de tester si le programme influence le comportement dans les moments cruciaux, plutôt que seulement lors d’un questionnaire.
Des politiques de sécurité et de mot de passe claires sont tout aussi importantes. Le personnel doit savoir comment les identifiants doivent être créés, stockés, partagés et retirés lorsqu’ils ne sont plus nécessaires, comment les messages suspects doivent être signalés, quand l’A2F est requise et que faire s’ils pensent avoir commis une erreur.
Enfin, un véritable programme traite la sécurité comme une norme de travail partagée plutôt que comme une préoccupation informatique spécialisée. Cela signifie que les gestionnaires la renforcent, que les dirigeants montrent l’exemple et que les équipes en parlent comme faisant partie du fonctionnement quotidien de l’organisation. Instaurer ce type de culture demande plus qu’un simple document de politique, mais c’est l’un des moyens les plus puissants pour réduire l’erreur humaine répétée au fil du temps.
Le guide de Proton sur la culture de la cybersécurité en entreprise pour les PME est utile ici car il présente la sensibilisation non pas comme une campagne basée sur la peur, mais comme faisant partie du fonctionnement quotidien d’une entreprise.
Pourquoi l’hameçonnage et l’abus d’identifiants doivent être au centre du programme
Si un programme de sensibilisation à la sécurité tente de tout couvrir de la même manière, il peut perdre de vue l’essentiel. La plupart des organisations ont tout intérêt à commencer par les risques les plus susceptibles de causer de réels dommages.
L’hameçonnage figure en tête de liste. Le rapport du gouvernement britannique Cyber Security Breaches Survey 2025(nouvelle fenêtre) a révélé que l’hameçonnage restait le vecteur d’attaque le plus répandu parmi les entreprises victimes de cybercriminalité, touchant 93 % d’entre elles. Cela reflète une réalité plus large au sein des entreprises britanniques, où l’hameçonnage demeure l’une des méthodes d’attaque les plus courantes.
L’hameçonnage s’arrête rarement au message lui-même. Dans de nombreuses organisations, les véritables dommages commencent une fois que les identifiants volés sont utilisés pour accéder à des comptes, exploiter la réutilisation de mots de passe, s’introduire dans d’autres systèmes ou profiter d’identifiants partagés qui n’ont jamais été strictement contrôlés.
Les entreprises doivent adopter une approche multicouche. Il doit être plus difficile pour les attaquants d’atteindre les utilisateurs et plus facile pour ces derniers d’identifier et de signaler les messages d’hameçonnage suspects. Cela protège les organisations des effets des e-mails d’hameçonnage non détectés et les aide à réagir rapidement aux incidents.
Un programme de sensibilisation à la sécurité solide doit refléter cette même logique. Les employés doivent être capables de reconnaître les comportements suspects, mais ils ont également besoin de contrôles environnants qui réduisent l’impact d’une erreur.
C’est là que l’hygiène des identifiants devient centrale. Former le personnel à éviter les mots de passe faibles ou réutilisés est utile, mais cela devient beaucoup plus efficace lorsqu’il est soutenu par des outils qui réduisent la dépendance à la mémoire et facilitent l’utilisation sécurisée des identifiants en pratique. Nous abordons également cet état d’esprit préventif plus large dans notre guide sur la prévention des fuites de données pour les entreprises, qui souligne le rôle des contrôles pratiques dans la réduction des expositions évitables.
Le rôle des outils dans la réduction du risque humain
La sensibilisation à la sécurité n’est qu’une partie du problème. Les personnes sont bien plus susceptibles de suivre des pratiques sécurisées lorsque celles-ci s’intègrent naturellement dans leur façon de travailler. Si l’option la plus sûre est aussi la plus facile à utiliser, l’adoption est beaucoup plus cohérente. Si elle semble lente, maladroite ou difficile à utiliser, même les employés les mieux intentionnés commenceront à chercher des raccourcis.
La gestion des mots de passe en est l’un des exemples les plus clairs. Les organisations demandent souvent au personnel de créer des mots de passe forts et uniques, d’utiliser l’A2F et d’éviter de les partager. Mais à moins de donner aux employés un moyen pratique de le faire, cette consigne reste théorique. Ils se rabattent sur des mots de passe faciles à retenir, le stockage sur navigateur, des feuilles de calcul, des applications de notes ou des outils de messagerie car ces options semblent plus rapides sur le moment.
Un gestionnaire de mots de passe pour entreprises aide à combler cette lacune. Proton Pass for Business est conçu pour faciliter la création, le stockage et le partage sécurisés de mots de passe au sein des équipes, tout en offrant aux organisations un contrôle plus étroit sur les pratiques en matière d’identifiants. Ces fonctionnalités aident les employés à créer et à remplir automatiquement des mots de passe forts et uniques, à utiliser l’A2F sur leurs comptes et à protéger les identifiants stockés avec un chiffrement de bout en bout.
Cela ne remplace pas la formation de sensibilisation à la sécurité. Cela la renforce en facilitant l’adoption de comportements sûrs. Au lieu de demander au personnel de mémoriser des dizaines de règles complexes sur les mots de passe, vous leur fournissez un système qui favorise le comportement que vous attendez. Cela rend les bonnes pratiques de sécurité plus faciles à maintenir et l’application des politiques plus réalisable.
Il en va de même pour le signalement des incidents, le contrôle d’accès et l’intégration des nouveaux collaborateurs. Dans ces domaines, des outils sont souvent nécessaires pour donner aux employés un processus clair à suivre et pour offrir à l’organisation une surveillance et un contrôle constants. Les outils ne peuvent pas remplacer le jugement, mais ils peuvent rendre les actions sécurisées plus simples, plus rapides et plus cohérentes dans le travail quotidien.
Un cadre pratique en 6 étapes pour lancer ou améliorer votre programme de sensibilisation à la sécurité
Un programme de sensibilisation à la sécurité est plus efficace lorsqu’il est conçu comme un rythme opérationnel régulier plutôt que comme une campagne ponctuelle. Le cadre ci-dessous peut vous aider à démarrer.
Étape 1 : Définir les comportements spécifiques que vous souhaitez modifier
Commencez par les risques. Identifiez les comportements les plus susceptibles d’exposer votre organisation. Cela peut inclure le fait de cliquer sur des liens suspects, de réutiliser des mots de passe, de partager des identifiants de manière informelle, de ne pas signaler les incidents, des processus de départ d’employés défaillants ou la mauvaise manipulation de données personnelles telles que les informations des clients ou des employés.
Étape 2 : Hiérarchiser les scénarios à haut risque
Tous les sujets de formation n’ont pas besoin du même poids. Concentrez-vous d’abord sur les scénarios les plus pertinents pour le profil de menace et le modèle opérationnel de votre organisation.
Pour de nombreuses entreprises, cela signifie l’hameçonnage, la manipulation des identifiants, le contrôle d’accès et le signalement des incidents. L’objectif à ce stade est de concentrer la formation du personnel sur les comportements et les scénarios les plus susceptibles de réduire les risques au quotidien.
Étape 3 : Segmenter la formation par rôle
La sensibilisation à la sécurité est bien plus susceptible de modifier les comportements lorsque les employés peuvent reconnaître leur propre réalité de travail dans la formation. Différents rôles entraînent différents types d’exposition, qu’il s’agisse de manipuler des dossiers sensibles, d’approuver des demandes à haut risque, de gérer des accès privilégiés ou de partager des informations avec des contacts externes.
Un programme plus efficace reflète ces différences au lieu de donner à chacun les mêmes conseils abstraits. Plus la formation est proche des décisions auxquelles les personnes sont réellement confrontées, plus elle devient facile à appliquer en pratique.
Étape 4 : Instaurer un rythme de renforcement
Une session de formation annuelle unique ne suffit pas à changer les comportements. Utilisez l’intégration, des formations de rappel, de brefs rappels, des exercices de simulation et des communications régulières pour maintenir les messages clés actifs. Le renforcement peut être léger, mais il doit être continu.
Étape 5 : Soutenir la formation par des politiques et des outils
La formation devient bien plus crédible lorsque les employés voient comment l’appliquer dans la pratique. Assurez-vous donc que les politiques sont claires, faciles à trouver et rédigées dans une langue que les employés peuvent réellement utiliser. Soutenez-les ensuite avec des fonctionnalités qui facilitent l’adoption d’un comportement sécurisé dans la pratique.
Si votre politique stipule que le personnel doit utiliser des mots de passe forts et uniques et éviter le partage informel, donnez-leur un gestionnaire de mots de passe sécurisé qui facilite cette tâche. Si votre politique indique que les messages suspects doivent être signalés immédiatement, rendez le chemin d’accès de signalement évident et fluide.
Étape 6 : Examiner, mesurer et améliorer
Un programme de sensibilisation à la sécurité doit évoluer avec votre entreprise. Les nouveaux outils, les changements de rôles, les incidents et les types d’attaques créent tous de nouveaux points de pression.
Examinez les résultats régulièrement, mettez à jour la formation en fonction des incidents et des quasi-accidents, et ajustez le programme lorsque vous constatez des points faibles récurrents. L’objectif n’est pas de terminer le programme, mais de le rendre plus efficace au fil du temps.
Comment mesurer l’impact
L’une des erreurs les plus faciles à commettre en matière de formation à la sensibilisation à la sécurité est de mesurer ce qui est pratique plutôt que ce qui est significatif. Les taux de réussite peuvent vous indiquer qui a suivi la formation ou cliqué sur le module, mais ils ne disent que très peu de choses sur la question de savoir si le programme influence le comportement dans les moments qui présentent réellement un risque.
Une approche plus utile consiste à observer l’évolution de la manière dont les personnes réagissent aux situations réelles au fil du temps. Les résultats des simulations de hameçonnage peuvent vous aider à comprendre si les employés deviennent plus prudents, plus observateurs et plus susceptibles de remettre en question et de signaler les messages suspects.
Les incidents liés aux identifiants peuvent montrer si les habitudes à risque telles que la réutilisation des mots de passe, le partage non sécurisé ou la mauvaise gestion des comptes deviennent moins courantes. Le respect des politiques peut également révéler si les employés appliquent réellement les attentes définies par le programme, plutôt que d’y être simplement exposés.
Il est tout aussi important de surveiller les signaux opérationnels. À quelle vitesse les messages suspects ou les demandes inhabituelles sont-ils signalés ? Le MFA est-il activé de manière cohérente là où il devrait l’être ? Les droits d’accès sont-ils révoqués rapidement lors du départ d’un employé ? Les équipes les plus exposées font-elles preuve d’un meilleur jugement dans des scénarios réalistes à mesure que le programme se développe ?
Ce sont souvent les indicateurs qui montrent si la sensibilisation s’intègre au fonctionnement de l’organisation, plutôt que de rester cantonnée à un environnement de formation.
En fin de compte, le véritable test n’est pas de savoir si les employés ont suivi le programme. Il s’agit de savoir si, par conséquent, votre organisation constate moins d’erreurs évitables, de meilleures habitudes de signalement et un comportement de sécurité quotidien plus robuste.
