KPI comportemental
Indicateur ancré sur ce que les collaborateurs font réellement dans le temps, plutôt que sur les complétions e-learning ou le taux de clic d'un test de phishing.
Un KPI comportemental est un indicateur qui mesure ce que les collaborateurs font réellement dans l’environnement numérique — partage public de fichiers, octrois OAuth, validations de push MFA, réutilisation de mots de passe, temps passé sur un mail suspect — plutôt que ce qu’ils ont complété dans un LMS ou comment ils ont performé sur un seul test de phishing simulé. Les KPI comportementaux sont le langage opérationnel de la gestion du risque humain, au même titre que le MTTR et le taux de couverture des détections le sont pour le SOC.
Le contraste avec les métriques héritées de la formation à la sensibilisation est tranché :
- Métrique SAT : taux de complétion. Dit qui a regardé la vidéo. Ne dit rien du comportement ultérieur.
- Métrique SAT : taux de clic sur phishing simulé. Une photo instantanée dans des conditions irréalistes, qui se dégrade comme mesure dès qu’on en fait une cible — voir loi de Goodhart.
- KPI comportemental : taux de partage risqué pour 100 utilisateurs actifs. Compte la fréquence à laquelle la population partage des fichiers sensibles en « toute personne disposant du lien » par semaine, en tendance.
- KPI comportemental : délai médian octroi-révocation OAuth. Mesure la vitesse à laquelle l’organisation réagit quand un collaborateur a accordé un scope excessif à une application tierce.
- KPI comportemental : taux d’acceptation MFA injustifié. Compte les validations de push MFA non justifiées — l’indicateur avancé de la famille d’attaque qui a fait tomber Uber et Cisco en 2022. Voir fatigue MFA.
Un KPI comportemental bien conçu présente cinq propriétés :
- Comportement, pas savoir. Compte ce que le collaborateur a fait, pas ce qu’il a retenu.
- Tendance, pas instantané. Affiché en série temporelle pour que la baisse soit visible et statistiquement significative.
- Imputé. Décliné par équipe, département ou collaborateur, pour que la responsabilité atterrisse quelque part.
- Auditable. Chaque point se résout en une observation horodatée qui alimente la preuve comportementale pour les revues NIS2, SOC 2 ou Article 32 du RGPD.
- Conscient de Goodhart. Couplé à une contre-mesure (ex. taux de faux-positif des nudges) pour que l’optimisation du chiffre principal ne déplace pas silencieusement le risque ailleurs.
Les KPI comportementaux n’ont de sens qu’à partir d’une ligne de base comportementale — la lecture de l’état actuel de la population, avant toute intervention. Sans cette ligne de base, chaque variation du KPI est du bruit.
Engarde (engarde.cc) traite les KPI comportementaux comme des objets de première classe : ce sont les chiffres que le RSSI présente au comité exécutif, et ceux que lit l’auditeur quand il interroge l’efficacité réelle du contrôle.
Termes liés
- Gestion du risque humain (HRM)Catégorie définie par Gartner qui remplace la formation à la sensibilisation par des contrôles comportementaux, mesurables et déclenchés au moment du risque.
- Preuve comportementaleArtefact d'audit attestant qu'un comportement risqué a été détecté, qu'un nudge a été envoyé et que le comportement a été corrigé — de plus en plus demandé à la place d'un certificat de complétion.
- Ligne de base comportementaleLecture pré-intervention de ce que font réellement les collaborateurs dans le SaaS, l'identité et la messagerie — référence pour mesurer tout changement de comportement ultérieur.
- Écart savoir-comportementÉcart documenté entre ce que les collaborateurs savent en matière de cybersécurité et ce qu'ils font réellement au moment de la décision.
- Loi de Goodhart« Quand une mesure devient une cible, elle cesse d'être une bonne mesure » — le piège du taux de clic comme KPI de sécurité.