Le risque humain reste le talon d’Achille de la cybersécurité malgré l’explosion des budgets de formation. Les RSSI de la zone EMEA appellent désormais à une refonte totale des stratégies de sensibilisation.
La cybersécurité fait face à un paradoxe de taille. Alors que les entreprises multiplient les modules d’apprentissage, le facteur individuel demeure la faille privilégiée des attaquants. Une étude récente signée MetaCompliance souligne ce décalage : 68 % des responsables de la sécurité informatique (RSSI) voient encore dans leurs propres effectifs la source principale de danger. Malgré des sessions répétées, la théorie peine à se transformer en réflexes concrets face à des menaces qui gagnent en finesse.
Le piège des cases à cocher
Le constat des professionnels interrogés est sans appel. Environ huit responsables sur dix jugent les programmes actuels inadaptés car ils traitent le sujet sous un angle purement pédagogique. Pour James Mackay, dirigeant de MetaCompliance, s’imaginer protégé simplement parce qu’une session a été validée par les salariés est un leurre dangereux. Le sentiment de sécurité grandit, mais la réalité du terrain n’évolue pas. Les chiffres montrent d’ailleurs que 15 % du budget sécurité part dans ces programmes, sans pour autant freiner l’ingénierie sociale dopée à l’intelligence artificielle.
Une gestion fine des comportements
Face à ces limites, les stratégies mutent. L’idée n’est plus d’arroser tout le monde avec le même message, mais de cibler les profils les plus exposés. Près de 80 % des experts souhaitent désormais une gestion du risque basée sur les actes réels et la culture collective. L’objectif consiste à intervenir au moment même où l’erreur peut se produire, directement durant les tâches quotidiennes. Cette personnalisation permettrait d’agir plus vite et surtout de mesurer enfin le retour sur investissement de ces dispositifs.
Inverser la logique de protection
La priorité pour les douze prochains mois semble claire : sortir de la sensibilisation passive pour entrer dans une phase de suivi permanent. Les RSSI veulent désormais identifier les individus à haut risque et adapter les messages en temps réel. Selon James Mackay, il faut traiter cette menace comme n’importe quel autre péril financier ou opérationnel. Pour lui, la clé réside dans l’utilisation de données concrètes afin de délivrer la bonne information au bon moment, seule méthode capable de réduire durablement les vulnérabilités liées aux interactions humaines.
Article basé sur un communiqué de presse reçu par la rédaction.
