Malgré l’augmentation des investissements, la formation à la sensibilisation à la sécurité continue de produire des bénéfices marginaux. En mettant l’accent sur les actions plutôt que sur les connaissances, la GRH basée sur l’IA peut personnaliser la formation pour améliorer le comportement des employés et le retour sur investissement.
Le gourou de la cybersécurité, Bruce Scheier, est souvent cité pour dire : « Les gens sont le maillon le plus faible de la chaîne de sécurité ». Aucun mot plus précis n’a jamais été prononcé sur la cybersécurité. Vous pouvez dépenser des millions de dollars en pare-feu, en outils de sécurité des terminaux, en contrôles d’accès et en cryptage des données, mais un seul employé peut provoquer une faille de sécurité catastrophique, simplement en téléchargeant un fichier malveillant ou en cliquant sur un lien malveillant.
Des recherches sectorielles indiquent que 70 à 90 % des violations sont le résultat d’employés qui succombent à l’ingénierie sociale, commettent des erreurs basées sur leurs compétences, partagent des données sensibles avec des services informatiques fantômes ou sont compromis par un utilisateur privilégié. Oh, et les choses semblent empirer à mesure que les adversaires adoptent des attaques sophistiquées basées sur l’IA comme les deepfakes.
Bien entendu, ce problème est bien connu. En guise de contre-mesure, les organisations ont dépensé environ 6 milliards de dollars en formation de sensibilisation à la sécurité (SAT) en 2025. Bien que certaines entreprises l’aient fait à titre de bonne pratique, la plupart l’ont fait pour se conformer aux réglementations industrielles ou gouvernementales telles que HIPAA (exige un « programme de sensibilisation et de formation à la sécurité » pour tous les membres du personnel selon 45 CFR § 164.308), RGPD (l’article 39(1)(b) charge les agents de protection des données de « sensibilisation et formation du personnel »), PCI. (l’exigence 12.6 impose un programme formel pour sensibiliser tout le personnel à la sécurité des données des titulaires de carte), et bien d’autres.
Une étude du secteur indique que les dépenses SAT augmenteront d’environ 15 % par an à mesure que les organisations continuent d’investir dans ce que Gartner appelle « des programmes de comportement et de culture de sécurité ».
Le paradoxe de la formation à la sensibilisation à la sécurité
Même si la formation à la sensibilisation à la sécurité est devenue un incontournable des RSSI et des RH, son efficacité reste discutable. Certaines organisations considèrent le SAT comme un exercice de vérification de la conformité réglementaire, sans se soucier de sa valeur. Les employés exacerbent cette folie à travers le « théâtre de conformité », en cliquant sur les didacticiels aussi vite que possible pour les mettre à l’écart. Même les employés studieux peuvent souffrir de la « courbe de l’oubli », un modèle psychologique qui illustre comment les informations se perdent au fil du temps lorsqu’on ne tente pas de les conserver.
Dans certains cas, le SAT peut même être contre-productif. Dans certaines études, les employés qui reçoivent des notes élevées grâce à une formation de sensibilisation à la sécurité deviennent trop confiants et complaisants à l’égard de leur comportement en matière de sécurité.
À mon humble avis, il existe ici une situation décevante que j’appelle le paradoxe de la formation à la sensibilisation à la sécurité. Malgré les exigences de conformité réglementaire et des investissements importants, la SAT semble offrir des avantages marginaux.
De toute évidence, SAT est défectueux, même avec des améliorations périphériques telles que les outils de phishing synthétique. Alors, que faut-il ? Au cours des prochaines années, les organisations devraient abandonner les formations statiques/sporadiques en matière de sécurité pour se tourner vers une discipline émergente appelée gestion des risques humains (GRH).
Qu’est-ce que la gestion des risques humains ?
La GRH est définie comme une stratégie de cybersécurité qui identifie, mesure et réduit les risques causés par le comportement humain. En termes simples, la formation de sensibilisation à la sécurité porte sur ce que savent les employés ; La GRH concerne ce qu’ils font (c’est-à-dire leur comportement réel en matière de cybersécurité).
Pour être plus précis, la GRH s’intègre aux outils de sécurité de la messagerie électronique, aux passerelles Web et aux systèmes de gestion des identités et des accès (IAM) pour identifier les vulnérabilités humaines. De plus, il mesure les risques à l’aide de données comportementales et identifie les utilisateurs les plus à risque d’une organisation. La GRH cherche ensuite à atténuer ces risques en appliquant des interventions ciblées telles que le micro-apprentissage, les simulations ou les contrôles de sécurité automatisés. Enfin, la GRH surveille les changements de comportement afin que les organisations puissent suivre les progrès.
Il existe une idée fausse selon laquelle la GRH et le SAT sont des animaux différents, de sorte que les organisations intéressées par la GRH doivent budgétiser les deux. Faux. En fait, les principales solutions de GRH de fournisseurs tels que Fable Security, KnowBe4 et Mimecast proposent des produits de GRH remplis de matériel SAT standard. Ils proposent même un support de formation spécifique pour les exigences de conformité réglementaire.
Démocratiser la formation à la sécurité grâce à l’IA
Je sais à quoi tu penses. La gestion des ressources humaines ressemble au dernier terme à la mode inventé par les acteurs du marketing de l’industrie de la cybersécurité. Ouais, c’est un peu vrai, mais HRM générique a un fusil de chasse partenaire basé sur l’IA. Et contrairement au battage médiatique général de l’industrie sur l’IA, les recherches et les experts s’accordent sur le fait que l’IA est bien placée pour changer l’éducation telle que nous la connaissons.
Dans son livre, le professeur Ethan Mollick de l’Université de Pennsylvanie suggère que l’IA fournira un apprentissage personnalisé à grande échelle où l’IA agira comme un « tuteur socratique » qui « poussera » les étudiants vers l’excellence, proposera des simulations et des jeux de rôle et proposera un apprentissage basé sur la personnalité. Dans un contexte de GRH, un « nudge » peut être considéré comme un micro-apprentissage continu. Un utilisateur clique sur un lien malveillant et est guidé vers une leçon de sécurité appropriée visant à renforcer une bonne hygiène et un bon comportement.
Armée de l’IA, la GRH comprendra également les habitudes et les méthodes d’apprentissage. Par exemple, Alice a tendance à mieux apprendre grâce à des descriptions écrites, tandis que Bob préfère regarder des vidéos. Les principaux outils de GRH peuvent également jouer un rôle auprès des utilisateurs, en gamifiant la formation en cybersécurité et en jouant sur leur caractère compétitif. Ainsi, la GRH (avec l’IA) a le potentiel de démocratiser l’expertise d’une manière nouvelle et unique.
Du point de vue du retour sur investissement, la GRH offre une approche beaucoup plus granulaire de l’atténuation des cyber-risques que le SAT standard. Les RSSI et les responsables RH peuvent rendre compte de l’amélioration de la cyberhygiène et du comportement, plutôt que du nombre d’employés qui ont été formés et ont passé des tests génériques. Les récidivistes sont non seulement identifiés, mais bénéficient également d’outils de formation et d’une attention personnalisés. In fine, la GRH permet de montrer une corrélation directe entre la formation et une réduction des incidents de sécurité réels.
Pour citer Aristote, « Nous sommes ce que nous faisons à plusieurs reprises. L’excellence n’est donc pas un acte, mais une habitude ». La GRH vise à personnaliser la formation pour changer les comportements et les habitudes. Si Aristote était RSSI, il verrait sûrement la logique de passer du SAT générique à la GRH.
