Les collaborateurs des entreprises constituent le principal risque en matière de cybersécurité

Une étude menée entre le 17 et le 23 février 2026 par MetaCompliance auprès d’un échantillon de 200 RSSI en France, en Allemagne, en Suède et au Royaume-Uni traduit un échec des programmes de sensibilisation à la cybersécurité en entreprise. Et pour preuve, 68 % des entreprises de la zone EMEA estiment que leurs propres collaborateurs constituent le principal risque en matière de cybersécurité et 81 % des répondants affirment que ces programmes sont inefficaces, parce qu’ils abordent le risque humain comme un simple enjeu de formation, et non comme un défi de gestion des risques à part entière.

Pis encore, les investissements consentis par les organisations ne suffisent plus ou sont mal estimés : les entreprises allouent en moyenne 15 % de leur budget annuel de sécurité à la sensibilisation, et 79 % d’entre elles dispensent des formations au moins toutes les deux semaines)… Les résultats ne sont pas satisfaisants : un quart (25 %) des sociétés expriment des difficultés à capter l’attention des collaborateurs, quand 24 % ne parviennent pas à faire adopter des pratiques sûres au quotidien, et 24 % peinent à obtenir l’implication des différents services. L’enjeu est donc autant organisationnel que comportemental.

Les RSSI pointent même une forme de décrochage entre la perception qu’ils ont de leur programme et les résultats tangibles observés auprès des collaborateurs : « si de nombreux RSSI considèrent que leur organisation a dépassé le stade des cases à cocher  en matière de sensibilisation, et que certains qualifient même leur approche de comportementale (33 %) ou intégrant une gestion du risque humain (24 %), les progrès perçus ne se traduisent pas par un changement significatif », etc.

Source: InfoDSI