Est-ce vraiment utile de sensibiliser les collaborateurs ?

En quoi la cybersécurité concerne-t-elle tous les collaborateurs ?

Les collaborateurs sont devenus la cible prioritaire des hackers, et les chiffres le confirment sans ambiguïté. Selon l’ANSSI, 73% des cyberattaques touchant les entreprises françaises sont des attaques de phishing, ciblant directement le facteur humain. Plus alarmant encore, 95% des violations de données réussies sont causées par une erreur humaine, selon Cybint Solutions.

Les raisons de cette vulnérabilité sont multiples :

• Ils sont sujets à leurs désirs et émotions, faciles à manipuler dans la peur ou l’urgence ;
• Ils cliquent toujours d’abord avant de réfléchir sous la pression ;
• Leurs connaissances du fonctionnement des virus informatiques restent globalement faibles ;
• Ils font confiance à tout ce qui arrive dans leur messagerie ;
• Ils sont curieux des choses sensationnelles.

Si les canaux de communication peuvent être techniquement protégés, aucun comportement de collaborateur ne peut être contrôlé par un système informatique. D’où l’importance cruciale de la formation.

Qu’est-ce que ça change que les collaborateurs soient sensibilisés ?

Les bénéfices d’une sensibilisation efficace sont mesurables et significatifs. Les collaborateurs formés apprennent à gérer leurs émotions et leurs peurs devant les messages suspects. Ils comblent ainsi le vide laissé par les protections techniques en agissant eux-mêmes de la meilleure manière pour bloquer les contenus malveillants.

Le résultat est tangible : l’entreprise subit beaucoup moins d’incidents de sécurité informatique qu’elle n’en aurait eu si autant de comportements n’avaient pas été corrigés. Concrètement, après 6 simulations de phishing, le taux de vulnérabilité face aux cyberattaques est divisé par deux, selon les données de Mailinblack.

Cela contribue directement à faire des entreprises plus viables et plus rentables, car le coût moyen d’une cyberattaque en France est estimé à 58 600€ selon le rapport 2025 sur les cyberattaques. Pour les PME, ce montant peut représenter une menace existentielle : 60% des entreprises victimes ferment dans les 18 mois suivant une attaque, selon Infolegale 2024 et la FEVAD (la Fédération du e-commerce et de la vente à distance).

Pourquoi les collaborateurs participent-ils si peu aux campagnes de sensibilisation ?

La méthode « manuelle » : un échec programmé

Il existe deux méthodes principalement employées dans les entreprises pour réaliser la sensibilisation. La première méthode consiste à confier cette activité à une personne qui manque souvent des qualifications de cœur de métier de la cyber, mais surtout de la réaliser par des contenus de présentation passifs (PowerPoint, Word, PDF…) distribués par mail aux collaborateurs, avec quelquefois des présentations magistrales de ces supports par le responsable. C’est la méthode « manuelle ».

Recevoir par mail des visuels de présentation désuets et peu attractifs ne motive guère les collaborateurs à les lire. On estime à moins de 10% le taux d’engagement moyen atteint par cette méthode. Cette approche « gratuite » souffre de nombreuses faiblesses qui la rendent inefficace, voire inutile :

• Il est impossible pour l’entreprise de s’assurer que les collaborateurs ont tous bien pris connaissance de ces contenus
• Il est encore moins possible de contrôler l’impact de ce savoir sur le comportement des collaborateurs
• Au rythme où changent les objectifs des hackers et leurs techniques de hameçonnage, ces contenus statiques sont vite dépassés

Autant dire que cette stratégie « gratuite » est en réalité la plus dangereuse et coûteuse dans les conséquences à prévoir.

La méthode plateformiste : des résultats limités malgré les investissements

La seconde méthode la plus répandue est la méthode plateformiste : les entreprises investissent dans des plateformes couplées LMS et moteur de phishing accessibles en ligne à chaque collaborateur.

Cette stratégie augmente considérablement la motivation des collaborateurs à consommer les contenus. Ceux-ci sont divers, variés, courts et stimulants. Avec la méthode plateformiste, les entreprises gagnent en maîtrise sur l’efficacité de leurs programmes de sensibilisation, car grâce aux campagnes de phishing elles peuvent mesurer factuellement dans quelles proportions les collaborateurs sont vulnérables.

L’ironie du sort : même si cette méthode apporte une amélioration radicale par rapport à la méthode manuelle pour un investissement raisonnable, elle produit des résultats qui restent décevants. La plupart des entreprises disposant de programmes plateformisés peinent à franchir la barre des 30% d’engagement, selon notre expérience et les retours du marché. Cela signifie que 70% en moyenne des collaborateurs gardent un comportement constituant une vulnérabilité importante pour le système d’information de l’entreprise.

Même après plusieurs années d’utilisation, de nombreux CISO parmi les plus motivés font ce constat amer : le plafond de verre des 30%.

Le facteur humain manquant

En réalité, le moyen technologique ne peut suffire à lui seul à attirer les collaborateurs. Dans des entreprises de plus en plus soumises à la concurrence, le collaborateur est souvent sursollicité dans son travail. La gouvernance des performances métier repose quasi exclusivement sur des objectifs de productivité. Le temps des collaborateurs est rare, particulièrement dans les métiers de production, ce qui engendre naturellement une défiance vis-à-vis des activités plateforme de sensibilisation cyber, vues au mieux comme des pertes de temps.

Pourquoi consacrer 1 heure à se former sur une discipline certes importante, qui ferait perdre des points de productivité donc des objectifs dans la journée sans contrepartie ?

En vérité, la sensibilisation, comme toute activité de formation, ne réussit que grâce à une composante humaine d’animation pédagogique forte. Pour les mêmes raisons qu’un projet informatique ne peut avancer seul sans un chef de projet, aucune plateforme de sensibilisation, si riche ou innovante soit-elle, ne peut seule motiver des collaborateurs très occupés à sacrifier une partie de leur temps de production.

La composante humaine apporte aux collaborateurs l’incarnation qui fonde les interactions avec une plateforme qui ne resterait sinon qu’une source supplémentaire de mails, d’images et de vidéos sérieuses. Sous la forme d’une équipe de coaching, elle apporte au programme de sensibilisation la touche animationnelle à base d’événements engageants et gratifiants.

Quels sont les bénéfices lorsque les collaborateurs participent aux programmes de sensibilisation ?

Les risques cyber occupent désormais la première ou seconde place dans les risques business au sein des entreprises selon tous les rapports des grands assureurs mondiaux. Dans une économie mondialisée et digitalisée, des collaborateurs sensibilisés représentent d’abord la baisse significative du risque de perte ou de fin d’activités à moyen terme pour les entreprises de toute taille.

Les chiffres parlent d’eux-mêmes :

• Plus de collaborateurs sensibilisés = baisse significative du nombre d’incidents de sécurité liés aux clics maladroits.
• Par ricochet = disponibilité plus grande des systèmes, donc de la production et du business.
• Au final = entreprise plus résiliente aux cyberrisques, renforcement de l’image de marque et crédit renforcé auprès des clients.

La sensibilisation n’est plus une option, c’est une nécessité stratégique. Avec 43% des organisations françaises ayant subi au moins une cyberattaque réussie au cours de l’année écoulée et un coût annuel de la cybercriminalité estimé à plus de 118 milliards d’euros en France en 2024, l’investissement dans la formation humaine devient l’une des protections les plus rentables qu’une entreprise puisse déployer.