Fatigue de la cybersécurité : comment réinventer la sensibilisation en entreprise

La fatigue cybersécurité : un frein à l’engagement

Formations obligatoires, simulation de phishing, newsletter interne, les entreprises redoublent d’efforts pour mettre en place des méthodes de sensibilisation et de formation des salariés afin que ceux-ci soient conscients des menaces et puissent se protéger. Elles sont souvent associées à des politiques de sécurité, charte utilisateur, contraignant les salariés à agir selon les bonnes pratiques.

Ces initiatives, bien que nécessaires, fatiguent souvent les salariés. Les messages répétitifs et les règles trop contraignantes génèrent un rejet et une lassitude grandissante.

Un rapport de KnowBe4 sur la vulnérabilité des salariés face aux attaques révèle que 86% des salariés pensent pouvoir identifier des attaques d’hameçonnage et que 47,7% des salariés affirment avoir été victimes d’une attaque réelle. Malgré les méthodes de sensibilisation instaurées par les entreprises, on observe un contraste entre le sentiment de confiance de pouvoir bien se protéger et la réalité.

Les limites des méthodes classiques

Les approches actuelles montrent ainsi leur limite pour protéger les entreprises. Les simulations de phishing peuvent être perçues comme des pièges pour les salariés et générer de la frustration et du stress lorsque ceux-ci n’arrivent pas à les détecter. Les newsletters sont souvent peu lues avec un taux moyen d’ouverture d’environ 20%. Enfin, les formations ponctuelles sans suivi régulier n’apportent qu’un impact temporaire dans le quotidien des collaborateurs. Les messages unidirectionnels et supports statiques peinent ainsi à susciter une réelle adhésion.

Ces formats manquent souvent d’interactivité et de personnalisation qui sont pourtant deux leviers essentiels pour capter l’attention et surtout marquer les salariés sur le long terme.

Des formats ludiques pour réenchanter la sensibilisation

Pour inverser la tendance, il est nécessaire de miser sur de nouveaux formats. Intégrer la gamification permet de transformer la sensibilisation en une expérience interactive et engageante. Défis, quiz, mise en situation tel qu’un escape game5, des jeux de plateaux, des cartes de jeux, ou encore des jeux interactifs, incitent à la participation active, et favorisent la mémorisation des bonnes pratiques. 

Pour relever ce défi, nous avons expérimenté des formats de sensibilisation intégrant ces concepts innovants, notamment la gamification. Que ce soit en interne ou auprès de nos clients, ces méthodes favorisent l’engagement et la participation active des collaborateurs, bien plus que les formations traditionnelles. Cela est également confirmé par une étude de TalentLMS nous montrant que 83% des salariés recevant une formation gamifiée se sentent motivés (6) et impliqués dans leur apprentissage. De plus, la rétention d’information est améliorée de + de 35%, grâce à cette implication plus importante et grâce au format propice à la mémorisation des bonnes pratiques.

L’innovation dans la sensibilisation

À l’ère de l’intelligence artificielle, celle-ci s’impose comme un incontournable dans les programmes de sensibilisation. Les possibilités sont diverses et variées : deepfakes, fuite de données émanant des chats conversationnels, social engineering avancée, etc. Tant par leur caractère innovant que par leur omniprésence dans notre actualité, ces technologies constituent aussi bien  un atout pour intéresser les collaborateurs qu’un risque cyber grandissant.

L’IA représente une opportunité précieuse pour enrichir les outils de sensibilisation, transformant la simple transmission d’informations en expérience immersive et engageante. Grâce à des parcours personnalisés, interactifs et évolutifs, l’IA s'adapte finement aux différents profils, contextes et enjeux individuels. Elle redéfinit la sensibilisation comme un puissant levier de culture d’entreprise, un outil d'engagement profond et un moteur de changement durable, catalysant l’évolution positive au cœur des organisations.

Quand chacun devient un gardien de la sécurité informatique par la culture d’entreprise

La sécurité ne repose pas que sur les outils, mais sur l’implication de chacun. Une entreprise est vraiment protégée lorsque chaque collaborateur devient acteur de la sécurité informatique. Mettre en place une culture d’entreprise intégrant la cybersécurité est alors primordiale pour répondre à cet enjeux. 

Le Cyber Mois, organisé par cybermalveillance.gouv.fr, a pour but de fédérer les acteurs publics et privés autour d’une cause commune : sensibiliser le public aux risques numériques et promouvoir des comportements sécurisés face aux cybermenaces. 

Chez mc2i, ce mois est un véritable évènement cyber où la communication, les animations ludiques sous forme de kiosque ou de sessions pédagogiques se mêlent aux quotidiens de chacun pour ainsi rappeler la présence constante de la cybersécurité. Cela permet de favoriser le développement d’une véritable culture de la cybersécurité entre chaque individu. Cela représente également des moments privilégiés de rencontre et d’échange permettant de recueillir les besoins et difficultés des collaborateurs, pour pouvoir mieux s’adapter à leur quotidien.

Cette culture de la cybersécurité doit également imprégner les processus et les actions quotidiennes de chaque membre de l'organisation. L'intégration de la sécurité dans les projets (ISP), ainsi que dans les décisions et les actions individuelles, constitue un atout majeur. Elle permet à chacun d'adopter une approche proactive face aux enjeux de sécurité informatique. Contrairement à une méthodologie où la cybersécurité n'intervient qu'en fin de projet de manière souvent contraignante, l'ISP agit comme un soutien positif tout au long du processus de développement. Cela sert à instaurer une confiance accrue envers les solutions proposées tout en assurant une conformité continue aux normes de sécurité en vigueur.

Implication de la direction et mesure d’impact : 2 actions étroitements liées

L'implication de la direction est essentielle pour aligner la stratégie cyber avec les objectifs stratégiques de l'entreprise et ainsi construire une culture de sécurité robuste. Les leaders doivent incarner les pratiques sécurisées nécessaires face aux menaces numériques, influençant ainsi l'engagement des équipes et favorisant une culture proactive axée sur la réduction des risques. En tant que modèles, ils motivent chaque collaborateur à adopter des comportements sécurisés et sont capables d'identifier les obstacles spécifiques qui pourraient entraver ces pratiques.

Pour garantir l’efficacité des campagnes de sensibilisation, il est crucial de mesurer leur impact. L'utilisation d'indicateurs précis (KPI) permet de suivre l'engagement et les acquis des collaborateurs, tout en identifiant les axes d'amélioration. Cette approche data-driven optimise les investissements en cybersécurité et permet d'ajuster les programmes pour qu'ils restent en adéquation avec les réalités de l'entreprise.

Enfin, une collaboration étroite entre la direction et les équipes de cybersécurité est vitale pour analyser les données recueillies et développer des programmes dynamiques. Cette synergie est indispensable pour que chacun, quel que soit son niveau hiérarchique, adopte une approche proactive face aux défis numériques, intégrant ainsi la stratégie cyber aux risques globaux de l'entreprise pour une protection continue.