Qu’est-ce que la sensibilisation appropriée ?
Date de publication :
- mars 6, 2026
Une industrie entière propose souvent à ses clients des produits et des services dont l’utilité est limitée. Et pourtant, ils les achètent !
Aujourd’hui, en 2026, le marché de la sensibilisation à la cybersécurité représente environ 6,7 milliards de dollars USD [1]. Créé il y a un peu plus de 20 ans, il est dominé par des fournisseurs de sensibilisation ou de Security Awareness Training (SAT) que je considère comme appartenant à la deuxième génération. Des entreprises telles que Proofpoint, Terranova, KnowBe4, SANS, SoSafe, Hoxhunt, ou quel que soit leur nom, captent la part du lion de ce marché, qui devrait atteindre près de 15 milliards de dollars USD d’ici 2031. À cela s’ajoutent des centaines d’autres acteurs, comme CYBERDISE | Cybersecurity Awareness.
Cependant, ce qui est frappant dans cette offre, c’est que les produits et services visent souvent peu ou pas à modifier les comportements. Des simulations de phishing standardisées, parfois présentées comme ludiques mais en réalité peu utiles, sont vendues. Des heures sont perdues dans des formations à la sécurité de l’information longues et ennuyeuses. Des teachable moments sont mis en œuvre et documentés de manière ludique, ce qui peut éventuellement améliorer la perception des risques cyber, mais pas le comportement réel et efficace des individus.
Ma conclusion, après plus d’une décennie de connaissance approfondie du marché : une grande partie de ce qui est proposé dans le domaine de la cyber awareness est, d’une certaine manière, pertinent — mais avec un impact malheureusement très limité dans la pratique.
Mais ce qui m’inquiète réellement, c’est que semaine après semaine, je rencontre des CISO et des ingénieurs sécurité qui souhaitent changer de fournisseur de cybersecurity awareness, tout en continuant à exiger les mêmes approches en matière d’exercices ou de contenu — des approches qui, dans la pratique, apportent à peine d’améliorations mesurables en matière de sécurité.
Ils me demandent des formations standard, de préférence toute une bibliothèque complète. Des parcours d’apprentissage dynamiques menant à des modules de formation ou à des exercices de phishing qui ne sont pas — ou très peu — personnalisés. Clairement, c’est une impasse. Et beaucoup ne s’en rendent même pas compte ! Certains s’en moquent, tant qu’ils peuvent cocher une case quelque part. La gamification est également devenue un mot à la mode ces dernières années, et c’est un sujet sur lequel on m’interroge régulièrement. Il est vrai que des formations ludiques, parfois basées sur la compétition, sont souvent perçues comme moins rébarbatives. Mais leur bénéfice réel reste limité : la gamification modifie souvent les connaissances, mais pas les comportements en situation de stress.
Mais qu’est-ce que la sensibilisation appropriée (proper awareness) ? Des études montrent que les formations normatives améliorent les attitudes, mais ne modifient le comportement réel que dans une mesure limitée. Aujourd’hui, les employés savent souvent ce qu’il faudrait faire, mais agissent différemment dans la pratique. Une sensibilisation efficace à la cybersécurité vise donc à :
- Développer une attitude saine face au risque
- Améliorer de manière observable les comportements face au risque
Il s’agit de deux dimensions différentes, qui doivent être influencées de manière ciblée. Une étude de la Lucerne University of Applied Sciences and Arts spubliée en 2025 [2] montre que les simulations d’attaque sont plus efficaces que les formations normatives. Les simulations personnalisées sont, à leur tour, plus efficaces que les exercices de phishing classiques (standardisés), et les expositions au spear phishing soutenues par l’IA et l’OSINT améliorent le plus fortement les comportements face au risque.
De plus, la sensibilisation doit être continue. Les clients qui ne font quelque chose que deux fois par an feraient presque mieux de ne rien faire et d’économiser leur argent (je sais : « si seulement le régulateur n’était pas là »). Un comportement inapproprié devrait toujours être suivi d’une impulsion d’apprentissage immédiate. De tels événements, comme tous les autres teachable moments — qui devraient rester courts — doivent être intégrés dans une structure de KPI pertinente. Et puis il y a la répétition. Une bonne sensibilisation repose sur la répétition. Les gens ne commencent réellement à changer que lorsque des spécialistes comme nous sont déjà fatigués du contenu pédagogique ! Et il y a aussi l’IA : nous savons désormais que les e-mails de spear phishing générés par l’IA dépassent les taux de clics obtenus par des experts humains [3]. Si les cybercriminels utilisent l’IA, alors nous devons également former nos employés à l’aide de l’IA. L’étude HSLU montre également que l’utilisation de données OSINT dans les exercices de phishing augmente considérablement le niveau de sensibilisation (« Waouh, comment savent-ils des choses aussi privées sur moi ? »).
En résumé, la sensibilisation appropriée (proper awareness) est :
- Orientée vers le comportement
- Basée sur des simulations
- Continue
- Personnalisée et adaptée au contexte
- Mesurable
- Techniquement intégrable
- Soutenue par l’IA, utilisant des données OSINT
- Scientifiquement fondée
Tout le reste n’est qu’une formation obligatoire !
Une véritable sensibilisation à la cybersécurité vise à améliorer les comportements face au risque, et non simplement à lancer des campagnes de formation avec de beaux cours ou à divertir les employés avec des tentatives de phishing loin d’être réalistes.
—
Suis-je le seul à faire ce constat — ou d’autres observent-ils les mêmes limites structurelles dans notre secteur ?
Nous sommes impatients de partager avec vous d’autres informations, actualités et mises à jour sur la cybersécurité dans les prochains numéros de cette newsletter. Toutefois, si vous ne trouvez pas cela utile, nous sommes désolés de vous voir partir. Veuillez cliquer sur le bouton de désabonnement ci-dessous.
