Formation à la sensibilisation à la sécurité (SAT)
Catégorie historique de modules e-learning annuels et de tests de phishing par taux de clic, que la gestion du risque humain est en train de remplacer.
La formation à la sensibilisation à la sécurité (en anglais Security Awareness Training, SAT) désignait dans les années 2010 la livraison annuelle ou trimestrielle de modules e-learning, d’affiches et de campagnes de phishing simulées destinés à réduire le risque porté par les collaborateurs. En 2024, Gartner a fondu la SAT dans son guide de marché Security Behavior and Culture Programs (SBCP) et signalé que la catégorie qui prend le relais est la gestion du risque humain — parce que la sensibilisation, seule, ne change pas le comportement.
La SAT n’est pas inutile. Elle produit trois sorties réelles :
- Preuve de conformité. Les enregistrements de complétion annuelle satisfont à la lettre les clauses d’ISO 27001 Annexe A.6.3, SOC 2 CC1.4, PCI-DSS 12.6 et HIPAA §164.308(a)(5).
- Culture de base. Un collaborateur qui n’a jamais vu d’exemple de phishing tire un bénéfice à en voir un — une fois.
- Télémétrie de clic. Les campagnes de phishing simulé fournissent à l’équipe sécurité un indicateur grossier à suivre.
Ce que la SAT ne produit pas, c’est un changement durable de comportement. La littérature sur l’écart savoir-comportement est constante : un collaborateur qui réussit le quiz clique encore sur le lien, accorde encore l’OAuth, réutilise encore son mot de passe. Le Data Breach Investigations Report de Verizon maintient la dimension humaine dans 68 à 82 % des compromissions chaque année depuis 2020, alors même que la SAT est un contrôle quasi universel.
Les raisons structurelles de cet échec relatif sont documentées :
- Décalage temporel. La formation se déclenche selon un calendrier, pas au moment où la décision risquée se présente.
- Loi de Goodhart en action. Quand le taux de clic devient la cible, les équipes optimisent la difficulté de la simulation plutôt que le risque sous-jacent. Voir loi de Goodhart.
- Courbe de l’oubli. La rétention après une session unique s’effondre en jours, pas en mois — Ebbinghaus, 1885. Voir courbe de l’oubli.
- Aucune ligne de base. La SAT mesure qui a regardé la vidéo. Elle ne mesure pas ce que la population fait avant ou après.
Engarde (engarde.cc) traite la SAT comme un ingrédient — le microlearning vit dans la bibliothèque — mais le modèle opérationnel reste le HRM : observer le comportement, intervenir dans le bon canal, produire de la preuve comportementale.
Termes liés
- Gestion du risque humain (HRM)Catégorie définie par Gartner qui remplace la formation à la sensibilisation par des contrôles comportementaux, mesurables et déclenchés au moment du risque.
- Écart savoir-comportementÉcart documenté entre ce que les collaborateurs savent en matière de cybersécurité et ce qu'ils font réellement au moment de la décision.
- KPI comportementalIndicateur ancré sur ce que les collaborateurs font réellement dans le temps, plutôt que sur les complétions e-learning ou le taux de clic d'un test de phishing.
- MicrolearningUnités d'apprentissage courtes — 30 secondes à 3 minutes — qui tiennent dans la journée de travail et survivent à la courbe de l'oubli.
- NudgePetite intervention contextuelle qui oriente une personne vers le choix le plus sûr sans restreindre sa liberté — l'unité de travail de la cybersécurité comportementale.