La formation à la sensibilisation ne réduit pas les incidents parce qu’elle comble un écart de connaissance qui n’a jamais été le problème. Le vrai écart se situe entre ce que les collaborateurs savent et ce qu’ils font — et cet écart entre savoir et comportement ne se comble que par une observation comportementale continue, des nudges en temps réel et de la répétition espacée.
L’industrie de la cybersécurité a un secret peu reluisant : nous résolvons le mauvais problème depuis plus d’une décennie.
Chaque année, les organisations dans le monde dépensent environ 5,6 milliards de dollars en formation à la sensibilisation. Les collaborateurs subissent des heures de modules e-learning, regardent des vidéos sur l’hygiène des mots de passe et réussissent des quiz sur le phishing. Les taux de complétion sont suivis. Les cases de conformité sont cochées. La direction se félicite d’« investir dans la couche humaine ».
Et pourtant, selon le Verizon Data Breach Investigations Report 2024, 68 % des incidents impliquent encore un facteur humain non malveillant — qu’il s’agisse de cliquer sur un lien de phishing, de mal configurer un système ou d’envoyer des données au mauvais destinataire. Ce chiffre n’a quasiment pas bougé en dix ans.
Quelque chose est fondamentalement cassé. Et ce ne sont pas vos collaborateurs.
L’écart entre savoir et comportement
Voici une question qui devrait préoccuper tout RSSI : si vos collaborateurs réussissent un quiz de sécurité, pourquoi continuent-ils à cliquer sur des liens de phishing ?
La réponse se trouve dans ce que les sciences du comportement appellent l’écart entre savoir et comportement. Savoir quelque chose et le faire sont deux processus cognitifs entièrement distincts.
Vous savez que vous devriez utiliser du fil dentaire chaque jour. Vous savez que vous ne devriez pas consulter votre téléphone au volant. Vous savez que vous devriez utiliser un mot de passe unique pour chaque compte. Combien d’entre eux faites-vous réellement, de manière constante, chaque jour ?
La formation à la sensibilisation repose sur une hypothèse erronée : si les gens savent ce qu’il faut faire, ils le feront. Des décennies de recherche en sciences du comportement nous disent que ce n’est tout simplement pas vrai.
Le savoir est nécessaire mais largement insuffisant. Le comportement est dicté par le contexte, les habitudes, la charge cognitive, la pression temporelle et une douzaine d’autres facteurs qu’un module de formation annuel de 45 minutes ne peut pas adresser.
Quand un collaborateur partage un dossier Google Drive publiquement au lieu de le restreindre à des personnes précises, c’est rarement parce qu’il ne connaît pas les contrôles d’accès. C’est parce qu’il court pour tenir un délai, que l’interface de partage propose par défaut une option moins sécurisée, et que le chemin sécurisé demande trois clics supplémentaires. Le savoir n’a pas échoué. L’environnement, oui — et c’est précisément ce que le monitoring SaaS continu est conçu pour révéler.
Le problème d’Ebbinghaus
Même si le savoir suffisait, il existe un autre problème fondamental : les gens oublient presque tout ce qu’ils apprennent.
En 1885, le psychologue allemand Hermann Ebbinghaus a documenté ce que l’on appelle aujourd’hui la courbe de l’oubli. Ses recherches ont montré que, sans renforcement, les gens oublient environ 70 % d’une information nouvelle en 24 heures et jusqu’à 90 % en une semaine.
Pensez à cela dans le contexte de la formation annuelle à la sécurité. Un collaborateur suit un module d’une heure en janvier. En février, il en a peut-être retenu 10 à 20 %. En juin, la formation pourrait tout aussi bien n’avoir jamais eu lieu.
Certaines organisations ont réagi en augmentant la fréquence — trimestrielle au lieu d’annuelle, ou modules de micro-apprentissage mensuels. Cela aide à la rétention, mais ne résout toujours pas le problème central.
Vous pouvez rappeler à quelqu’un les bonnes pratiques contre le phishing tous les mois, mais si son environnement quotidien fait du comportement à risque le chemin de moindre résistance, les rappels seuls ne changeront pas ce qu’il fait.
Les taux de complétion sont des métriques de vanité
Assistez à n’importe quel comité où l’on discute de formation à la cybersécurité, et vous entendrez la même métrique : « Nous avons atteint 97 % de taux de complétion sur notre formation annuelle à la sensibilisation à la sécurité. »
Ce chiffre ne veut presque rien dire.
Le taux de complétion vous dit que les collaborateurs ont assisté à la formation. Il ne vous dit pas s’ils l’ont comprise, s’ils s’en souviennent, ni — point le plus critique — si elle a changé leur comportement.
Cela revient à mesurer le succès d’un régime en comptant le nombre de livres de nutrition qu’une personne a achetés.
Les métriques qui comptent vraiment sont comportementales :
- Combien de collaborateurs partagent des fichiers avec des paramètres d’accès trop permissifs ?
- Combien utilisent leur messagerie personnelle pour des documents professionnels ?
- Combien ont leur agenda paramétré en public ?
- Combien accordent des permissions OAuth à des applications tierces non vérifiées ?
Ce sont des comportements observables, mesurables, qui sont directement corrélés au risque organisationnel. Mais la plupart des organisations ne les mesurent jamais parce qu’elles se concentrent sur la mauvaise chose : la complétion de formation plutôt que le changement de comportement. Le même piège des métriques de vanité se retrouve avec les simulations de phishing mesurées au taux de clic.
Pourquoi l’industrie de la formation persiste
Si la formation ne fonctionne pas, pourquoi l’industrie continue-t-elle de croître ? Trois raisons :
1. Les exigences réglementaires. Des référentiels comme ISO 27001, SOC 2, le RGPD ou les recommandations de l’ANSSI exigent que les organisations démontrent des activités de sensibilisation à la sécurité. La formation est le moyen le plus simple et le plus auditable de cocher cette case. Peu importe qu’elle soit inefficace — elle est documentable. Mais les preuves de conformité peuvent aussi être comportementales, et les auditeurs l’attendent de plus en plus.
2. Le problème d’attribution. Il est quasi impossible de prouver qu’un incident s’est produit parce que la formation a échoué, ou qu’un incident a été évité parce que la formation a fonctionné. Cette ambiguïté permet aux éditeurs de formation de revendiquer les bons résultats et de rejeter la responsabilité des mauvais.
3. L’inertie organisationnelle. La formation à la sensibilisation est une valeur connue. Les achats savent comment l’acheter. Les RH savent comment la déployer. Le management sait comment en rendre compte. Passer à une approche fondamentalement différente exige de repenser les processus, les métriques et les relations fournisseurs. C’est difficile.
Aucune de ces raisons n’a quoi que ce soit à voir avec la réduction réelle du risque.
Ce que les sciences du comportement nous disent fonctionne vraiment
Si la formation traditionnelle est cassée, quelle est l’alternative ? La réponse vient de décennies de recherche en sciences du comportement, et ne ressemble en rien à un module de LMS.
1. Observer les comportements réels, pas les connaissances auto-déclarées
On ne peut pas changer ce que l’on ne voit pas. La première étape est d’arrêter de se fier aux scores de quiz et de commencer à observer ce que les collaborateurs font réellement.
Cela signifie auditer les configurations SaaS réelles, les permissions de partage de fichiers, les pratiques d’authentification et les usages applicatifs.
Quand vous observez que 34 % de vos collaborateurs ont leur Google Calendar paramétré en public — exposant les titres de réunions, listes de participants et liens de visioconférence à quiconque dispose de l’URL — vous avez identifié un risque spécifique, mesurable, actionnable. Aucun quiz ne vous le dira. Seule l’observation le fera.
2. Boucler la boucle de feedback
Les sciences du comportement sont claires sur ce point : le comportement change le plus vite quand le feedback est immédiat et spécifique.
C’est pour cela qu’un radar est plus efficace qu’un cours de conduite. Le retour arrive au moment exact où le comportement se produit, dans le contexte exact où il compte.
Appliqué à la cybersécurité, cela signifie que lorsqu’un collaborateur partage un document sensible en accès public, il doit recevoir un feedback immédiat — pas un module de formation générique trois mois plus tard, mais un nudge contextuel spécifique au moment où le comportement à risque se produit, lui expliquant ce qu’il a fait, pourquoi c’est risqué et comment corriger.
3. Utiliser la répétition espacée pour combattre la courbe de l’oubli
L’antidote à la courbe d’Ebbinghaus est la répétition espacée — délivrer de l’information par petites doses, à intervalles croissants, calibrés au moment où la mémoire commence à s’effacer.
C’est le même principe que derrière les applications d’apprentissage des langues comme Anki ou Duolingo.
Au lieu d’une formation annuelle de 60 minutes, imaginez de courts quiz ciblés délivrés via Slack ou Teams, étalés sur des semaines et des mois, chacun renforçant un comportement spécifique pertinent pour le rôle réel et les actions observées du collaborateur.
Le quiz sur les permissions de partage d’agenda part au collaborateur dont l’agenda est effectivement public. Le quiz sur les permissions OAuth part à l’équipe qui vient de connecter un nouvel outil tiers.
Ce n’est pas une formation générique. C’est du renforcement comportemental personnalisé — et c’est ce qui transforme la sensibilisation en véritable pare-feu humain.
4. S’aligner sur la propre politique de l’organisation
Chaque organisation a une politique de sécurité (en France, la PSSI — Politique de Sécurité des Systèmes d’Information). Ces politiques définissent ce que les collaborateurs doivent et ne doivent pas faire. Mais la plupart des collaborateurs n’ont jamais lu la PSSI de leur entreprise, et même ceux qui l’ont fait n’en retiennent pas les détails.
L’approche la plus efficace relie le feedback comportemental directement à la politique de l’organisation. Au lieu de bonnes pratiques génériques, les collaborateurs apprennent les règles spécifiques de leur entreprise, renforcées par des nudges et des quiz qui font référence au document de politique réel auquel leur organisation s’est engagée.
5. Faire du chemin sécurisé le chemin le plus simple
L’enseignement le plus profond des sciences du comportement est que les gens choisissent par défaut l’option la plus facile. Si le comportement à risque est plus facile que le comportement sécurisé, aucune formation ne changera durablement les résultats.
Cela suppose de travailler avec la DSI pour modifier les paramètres par défaut, simplifier les workflows sécurisés et retirer les frictions des bons choix. Les données d’observation sont ici essentielles : elles montrent précisément où se trouvent les points de friction, pour pouvoir agir sur l’environnement, et pas seulement sur l’individu.
De la formation au changement comportemental
Le basculement que je décris n’est pas incrémental. C’est un modèle fondamentalement différent :
| Formation traditionnelle | Approche comportementale |
|---|---|
| Annuelle ou trimestrielle | Continue |
| Contenu générique | Personnalisé selon le comportement observé |
| Mesure la complétion | Mesure le changement de comportement |
| Délivrée dans un LMS | Délivrée là où le travail se fait (Slack, Teams) |
| Basée sur un curriculum | Basée sur des données de risque réelles |
| Teste la connaissance | Change les habitudes |
| Déconnectée de la politique | Arrimée à la PSSI de l’organisation |
Il ne s’agit pas de mieux faire de la formation. Il s’agit de remplacer la formation par quelque chose qui fonctionne vraiment : observation continue, feedback immédiat et renforcement espacé ancré dans les sciences du comportement. Le même principe porte aujourd’hui les programmes zero-trust modernes et la réponse à incident qui commence par le comportement — pas seulement la sensibilisation.
La vérité qui dérange
L’industrie de la cybersécurité a consacré une décennie et des milliards de dollars à une approche qui ne réduit pas significativement le risque humain. Nous le savons par les données. Les taux d’incidents impliquant une erreur humaine ne se sont pas améliorés malgré l’explosion des dépenses de formation.
Les organisations qui mèneront la prochaine décennie sont celles qui accepteront d’abandonner le confort des taux de complétion et d’embrasser le travail plus dur, plus honnête, du changement de comportement.
Cela suppose d’observer ce que les collaborateurs font réellement, pas ce qu’ils disent savoir. Cela suppose de délivrer le feedback dans l’instant, pas en salle de classe. Et cela suppose de mesurer ce qui compte : non pas si les gens ont réussi un quiz, mais s’ils ont cessé de partager des fichiers publiquement, cessé d’accorder des permissions OAuth excessives, et commencé à suivre la politique de sécurité de leur organisation dans la pratique.
La formation enseigne aux gens quoi faire. Les sciences du comportement font qu’ils le font vraiment.
La question pour chaque RSSI est simple : voulez-vous une case de conformité, ou voulez-vous moins d’incidents ? Engarde (engarde.cc) — la plateforme de cybersécurité centrée sur le comportement — a été conçu pour la seconde option : audits comportementaux SaaS, nudges en temps réel dans Slack et Teams, et quiz en répétition espacée arrimés à votre propre PSSI. Pour aller plus loin, lisez le livre blanc « Hacking the Habit » ou découvrez le projet.
Sources : Verizon 2024 DBIR · Gartner Design Report · JISEM - Decision Fatigue and Cybersecurity · UChicago - Gaps in cybersecurity training
