Selon la dernière étude mondiale de KnowBe4, les incidents cyber liés au facteur humain ont bondi de 90 % en un an. Phishing toujours plus sophistiqué, usages non maîtrisés de l’IA, sanctions internes inégalement appliquées : à l’heure où les organisations parlent massivement de Zero Trust et d’IA générative, la gestion du risque humain reste largement immature.
Le risque humain progresse plus vite que les défenses
Le constat est sans appel. D’après le rapport The State of Human Risk 2025 de KnowBe4, 96 % des organisations reconnaissent rencontrer des difficultés à sécuriser le facteur humain, et 90 % des responsables cybersécurité déclarent une hausse des incidents impliquant directement des collaborateurs au cours des douze derniers mois. Un chiffre qui confirme une tendance lourde : l’humain n’est plus seulement la « première ligne de défense », il est devenu la principale surface d’attaque.
Dans le détail, 93 % des responsables interrogés indiquent que des cybercriminels ont exploité des employés pour pénétrer les systèmes, tandis que 90 % rapportent des incidents dus à des erreurs humaines, sans intention malveillante. L’email reste le vecteur numéro un, avec une augmentation de 57 % des incidents liés aux messageries, mais il est désormais concurrencé par les outils collaboratifs et les usages détournés d’applications d’IA.
Phishing, erreurs et menaces internes : une exposition généralisée
Le rapport met en lumière une réalité souvent sous-estimée : tous les profils sont concernés. Les contributeurs individuels représentent le volume de risque le plus élevé, mais les cadres dirigeants et les équipes IT concentrent une part critique de vulnérabilités en raison de leurs privilèges étendus. Résultat : 83 % des organisations ont subi des prises de contrôle de comptes, dont 59 % à la suite d’un simple email de phishing.
À cela s’ajoutent les menaces internes délibérées. Plus d’un tiers des responsables cybersécurité reconnaissent avoir été confrontés à des comportements intentionnels, allant de la fuite de données vers un concurrent à l’emport d’informations sensibles lors d’un départ. Des incidents rarement détectés en amont, et dont les impacts dépassent largement le périmètre IT, touchant la réputation, la conformité réglementaire et la compétitivité.
IA : accélérateur de productivité… et de risques
Autre enseignement clé : l’IA s’impose comme un nouveau vecteur de risque majeur. Les incidents impliquant des applications d’IA ont augmenté de 43 % en un an, faisant de ce canal le deuxième plus problématique après l’email. Téléversement de documents confidentiels, usage d’outils non autorisés, exposition aux deepfakes : les scénarios se multiplient.
Si 98 % des organisations affirment avoir pris des mesures pour encadrer ces usages, 56 % des collaborateurs jugent l’approche de leur entreprise inadaptée ou trop restrictive. Une fracture qui favorise l’émergence du « shadow AI » et complique la gouvernance des données. Pour 45 % des responsables cybersécurité, les menaces pilotées par l’IA constituent désormais le principal défi en matière de risque comportemental.
Sanction ou accompagnement : la France à contre-courant
L’étude révèle également de fortes disparités culturelles dans la gestion des incidents. En France, seuls 33 % des collaborateurs victimes de phishing sont sanctionnés, contre 70 % en Afrique du Sud ou plus de 50 % aux États-Unis et au Japon. Un positionnement parmi les plus conciliants, qui tranche avec une tendance globale où la sanction disciplinaire reste la réponse la plus fréquente aux incidents, y compris accidentels.
Ce décalage nourrit un malaise plus profond. Alors que 84 % des responsables cybersécurité jugent les sanctions efficaces, seuls 23 % des salariés y sont favorables en cas d’erreur involontaire. La majorité plaide pour davantage de formation ciblée et d’accompagnement, révélant une crise de confiance entre politiques de sécurité et vécu opérationnel.
Vers une gestion du risque humain plus mature
Seulement 16 % des organisations disposent aujourd’hui d’un programme de gestion du risque humain réellement structuré, et moins d’un tiers bénéficient d’une visibilité fine sur les comportements à risque. Pourtant, 97 % des responsables interrogés estiment que des budgets supplémentaires sont indispensables pour sécuriser le facteur humain, en particulier face à l’essor de l’IA.
Comme le résume Javvad Malik, conseiller principal CISO chez KnowBe4 : « L’avenir du travail reposera sur une collaboration étroite entre humains et IA. Sécuriser l’un sans l’autre n’est plus une option. La gestion du risque humain doit évoluer pour intégrer la couche IA, avant que les activités critiques ne basculent vers des plateformes non contrôlées. »
