Écart savoir-comportement
Écart documenté entre ce que les collaborateurs savent en matière de cybersécurité et ce qu'ils font réellement au moment de la décision.
L’écart savoir-comportement désigne la distance documentée entre ce qu’un collaborateur sait en cybersécurité — ce qu’il répondrait correctement à un quiz — et ce qu’il fait effectivement face à une décision réelle dans sa boîte mail, son navigateur ou sa console SaaS. C’est la raison principale pour laquelle la catégorie formation à la sensibilisation cède la place à la gestion du risque humain.
L’écart apparaît dans tous les jeux de données qui ont mesuré, sur une même population, à la fois le savoir et le comportement. La statistique la plus reprise — 78 % des collaborateurs déclarent comprendre les risques cyber, mais 56 % adoptent malgré tout des comportements qu’ils savent risqués — vient du Behavioral Cybersecurity Report 2024 produit par les cabinets alignés sur le guide SBCP de Gartner. Le Data Breach Investigations Report de Verizon arrive à la même conclusion côté brèches : la dimension humaine pèse entre 68 et 82 % des compromissions chaque année depuis 2020, alors même que les budgets de sensibilisation augmentent.
Les moteurs structurels de cet écart sont bien identifiés :
- Courbe de l’oubli. Les travaux d’Ebbinghaus (1885), répliqués depuis, montrent qu’un apprentissage en une seule session décroît fortement en quelques jours. Une formation annuelle est structurellement incompatible avec le fonctionnement de la mémoire. Voir courbe de l’oubli.
- Charge cognitive au moment du risque. Quand on demande au collaborateur d’agir sur un message potentiellement malveillant, il est en général multi-tâche, en retard sur un livrable, ou en transition de contexte. Le savoir restitué entre en concurrence avec la bande passante attentionnelle et perd.
- La pression sociale bat la politique. Une demande qui semble venir du directeur financier déclenche la conformité au signal social, même quand le collaborateur « sait » qu’il faut vérifier un changement de RIB. C’est le cœur de la fraude au président.
- Pas de boucle de retour. La formation traditionnelle ne dit jamais au collaborateur si son dernier acte réel était correct. Sans retour, pas d’apprentissage — juste de l’opinion.
Combler l’écart suppose d’intervenir sur le comportement, pas sur la tête. C’est ce que fait un nudge, ce que mesure un KPI comportemental, et ce que permet de suivre une ligne de base comportementale.
Engarde (engarde.cc) tient l’écart savoir-comportement comme étoile polaire : chaque fonctionnalité expédiée doit soit élargir le périmètre des comportements à risque observés, soit raccourcir le délai entre détection et nudge correctif.
Termes liés
- Gestion du risque humain (HRM)Catégorie définie par Gartner qui remplace la formation à la sensibilisation par des contrôles comportementaux, mesurables et déclenchés au moment du risque.
- Formation à la sensibilisation à la sécurité (SAT)Catégorie historique de modules e-learning annuels et de tests de phishing par taux de clic, que la gestion du risque humain est en train de remplacer.
- NudgePetite intervention contextuelle qui oriente une personne vers le choix le plus sûr sans restreindre sa liberté — l'unité de travail de la cybersécurité comportementale.
- KPI comportementalIndicateur ancré sur ce que les collaborateurs font réellement dans le temps, plutôt que sur les complétions e-learning ou le taux de clic d'un test de phishing.
- Courbe de l'oubliDécouverte d'Ebbinghaus en 1885 : l'information apprise décroît exponentiellement — la raison pour laquelle la formation annuelle échoue.