Gestion du risque humain (HRM)
Catégorie définie par Gartner qui remplace la formation à la sensibilisation par des contrôles comportementaux, mesurables et déclenchés au moment du risque.
La gestion du risque humain (en anglais Human Risk Management, HRM) est la catégorie cybersécurité formalisée par Gartner dans son Market Guide for Security Behavior and Culture Programs (SBCP) en 2024 — le cadre dans lequel l’analyste a officiellement retiré le terme Security Awareness Computer-Based Training. Le HRM considère les collaborateurs comme une surface de risque mesurable et pilotable, au même titre que les endpoints ou les identités, plutôt que comme un public à former une fois par an.
Le glissement décrit par Gartner est structurel. Là où l’ancienne catégorie formation à la sensibilisation mesurait le taux de complétion et le taux de clic, le HRM mesure le comportement :
- Observer le comportement, pas livrer un cours. Une plateforme HRM agrège des signaux SaaS, identité et messagerie pour détecter les comportements à risque en temps réel — partages publics, octrois OAuth, validation de pushes MFA, réutilisation de mot de passe — au lieu d’interroger les collaborateurs sur ce qu’ils retiennent.
- Intervention au moment du risque. Lorsqu’un comportement à risque est détecté, un nudge arrive dans le canal de travail (Slack, Teams), pas un rappel LMS plusieurs semaines plus tard.
- Score de risque par personne. Chaque collaborateur porte un score dérivé du comportement, qui évolue dans le temps, exposé au RSSI et alimente les contrôles adaptatifs.
- Preuve plutôt que complétion. Le HRM produit de la preuve comportementale — comportements observés puis corrigés, horodatés — qui se mappe aux exigences d’audit de NIS2, SOC 2 et de l’Article 32 du RGPD.
Le HRM existe parce que l’écart savoir-comportement est réel et mesurable : un collaborateur formé clique encore, octroie encore des OAuth, réutilise encore ses mots de passe. Le Data Breach Investigations Report de Verizon documente la dimension humaine dans 68 à 74 % des compromissions chaque année depuis 2020. La position de Gartner est claire : la réponse n’est pas plus de contenu de formation — c’est observer et façonner le comportement en continu, avec la même discipline opérationnelle que le SOC applique aux vulnérabilités.
Engarde (engarde.cc) appartient à cette catégorie par construction : chaque écran, chaque métrique et chaque artefact du produit existe pour soit observer un comportement, soit le changer.
Termes liés
- Formation à la sensibilisation à la sécurité (SAT)Catégorie historique de modules e-learning annuels et de tests de phishing par taux de clic, que la gestion du risque humain est en train de remplacer.
- Écart savoir-comportementÉcart documenté entre ce que les collaborateurs savent en matière de cybersécurité et ce qu'ils font réellement au moment de la décision.
- KPI comportementalIndicateur ancré sur ce que les collaborateurs font réellement dans le temps, plutôt que sur les complétions e-learning ou le taux de clic d'un test de phishing.
- Preuve comportementaleArtefact d'audit attestant qu'un comportement risqué a été détecté, qu'un nudge a été envoyé et que le comportement a été corrigé — de plus en plus demandé à la place d'un certificat de complétion.
- NudgePetite intervention contextuelle qui oriente une personne vers le choix le plus sûr sans restreindre sa liberté — l'unité de travail de la cybersécurité comportementale.