Des années de formations, de tests et de conseils n’auraient donc eu qu’un impact symbolique. Deux études d’envergure viennent remettre en question l’efficacité réelle des formations anti phishing imposées aux employés.
L’Université de Californie à San Diego, en collaboration avec Chicago, a suivi près de 20 000 personnes pendant huit mois. Malgré la diversité des méthodes utilisées, les résultats sont décevants : dans la majorité des cas, les formations au phishing n’ont pas empêché les clics dangereux. Ariana Mirian, chercheuse chez Censys, résume ainsi la situation : « Ces formations standardisées ne sont pas efficaces pour empêcher les utilisateurs de cliquer. »
Les chercheurs ont comparé plusieurs formats de formation, des pages Web aux exercices interactifs. Seule la formation interactive a légèrement réduit le taux d’erreurs, de 19 % en moyenne. Mais ce gain ne concerne qu’une minorité des employés, ceux qui s’investissent réellement.
La formation statique, elle, n’a rien changé. Pire encore, ceux qui la subissaient plusieurs fois finissaient parfois par cliquer plus souvent. Sur l’ensemble des participants, seuls 24 % ont suivi leur formation jusqu’au bout, la moitié a quitté la page en moins de dix secondes.
Une confiance accrue… et pourtant un comportement plus risqué
Plus étonnant encore : les formations au phishing renforcent souvent la confiance des employés envers le système. Cette impression de sécurité pousse certains à baisser la garde, car ils pensent être mieux protégés qu’ils ne le sont vraiment.
À Zurich, une étude sur 14 000 employés a montré que cette surconfiance augmentait les risques de clics. Les emails les plus convaincants ont piégé même les profils les plus compétents dans 15 % des cas. Un seul message bien formulé suffit à compromettre toute une structure.
Des résultats qui s’expliquent par des études en environnement réel
Mirian avance une hypothèse pour expliquer la rupture avec les études plus anciennes. Contrairement aux recherches en laboratoire, ces expériences ont été menées dans des conditions réelles. Elles prennent en compte la fatigue, les distractions et le contexte professionnel. Selon elle, ces facteurs changent radicalement la manière dont les gens perçoivent et traitent les messages. Les chercheurs insistent sur le fait qu’il ne s’agit pas d’un rejet complet de la formation, mais d’un constat d’échec des méthodes actuelles.
Changer de logique : décharger l’humain, renforcer la technique
La sécurité, selon Mirian, devrait tendre vers des systèmes qui allègent la charge mentale des utilisateurs. « Devons-nous vraiment faire reposer toute la responsabilité sur eux ? », interroge-t-elle. Le coaching individuel, plus coûteux, pourrait fonctionner, tout comme des mécanismes d’incitation intégrés au travail quotidien.
Mais dans l’immédiat, les solutions techniques paraissent plus efficaces. La généralisation de l’authentification à deux facteurs matérielle figure parmi les recommandations prioritaires. Car comme le conclut Mirian : « Les méthodes actuelles ne fonctionnent pas. »
