HKOWT news

Think straight, talk straight

Cyberrisque humain : pourquoi le modèle de sensibilisation actuel est à bout de souffle

Alors que l’être humain reste au cœur de la majorité des incidents de sécurité, les stratégies pour y faire face stagnent dans une approche purement formelle. Une enquête menée par MetaCompliance auprès de 200 RSSI en Europe révèle un fossé béant entre les investissements de formation (seulement 14 % du budget cyber) et la réalité d’une menace dopée par l’intelligence artificielle. Pour les entreprises, l’enjeu n’est plus de « former pour être conforme », mais de piloter le risque comportemental comme un système opérationnel.

 

 

Le modèle traditionnel de sensibilisation, basé sur des modules annuels et des simulations de phishing génériques, ne suffit plus. Aujourd’hui, un employé reçoit en moyenne des informations de sécurité six à sept fois par mois, mais sans aucun impact mesurable sur son comportement. Ce modèle dit « axé sur la conformité » vise avant tout à démontrer que des mesures ont été prises, plutôt qu’à réduire réellement les risques.

Le marché change sous la pression de l’IA générative. Elle permet des attaques d’ingénierie sociale ultra-personnalisées et réduit le délai entre l’erreur humaine et ses conséquences. En France, la situation est particulièrement tendue : 78 % des RSSI considèrent leurs employés comme un risque plutôt que comme un atout, le taux le plus élevé de l’étude. Face à l’usurpation d’identité par deepfake et à la sophistication des menaces, 78 % des responsables estiment qu’il est désormais urgent de faire évoluer leurs programmes.

Vers une gestion intégrée du risque comportemental
Le principal frein à cette évolution est le « piège de la mesure ». Actuellement, 89 % des RSSI sont incapables d’établir un lien certain entre leurs activités de sensibilisation et une baisse effective des incidents. Les indicateurs utilisés (taux de complétion des formations, clics sur des faux phishings) sont jugés superficiels par 70 % des décideurs. Pour convaincre les conseils d’administration, dont le soutien s’estompe souvent rapidement après un incident, les RSSI doivent passer à des indicateurs de performance quantifiables.

La solution réside dans la gestion intégrée du risque humain, une approche encore minoritaire (seulement 24 % des entreprises européennes). Ce changement de paradigme implique trois leviers majeurs :

  • L’analyse des signaux en temps réel : abandonner les contenus statiques pour des interventions déclenchées par les comportements réels des utilisateurs.
  • La pertinence contextuelle : 81 % des RSSI estiment que les formations échouent car elles sont trop générales. Le ciblage par rôle et profil de risque devient la priorité.
  • L’alignement interfonctionnel : le risque humain ne doit plus être la seule responsabilité du RSSI, mais un sujet partagé avec les RH et la direction.

Pour sortir de l’impasse, les entreprises ne cherchent plus une révolution technologique, mais un modèle opérationnel clair permettant de transformer la vigilance des employés en une ligne de défense mesurable.

Source: InfoDSI

Translate »
RSS
Follow by Email
Facebook
Twitter
YouTube
YouTube
Set Youtube Channel ID
LinkedIn
Share
Telegram
WeChat
WhatsApp
Tiktok