Les programmes de sensibilisation à la cybersécurité semblent porter leurs fruits, mais les entreprises restent sceptiques quant au niveau réel de préparation de leurs collaborateurs. C’est l’un des paradoxes qui ressort du Rapport 2025 sur la sensibilisation et la formation à la sécurité publié par Fortinet.
Une efficacité mesurable des formations
Selon l’étude, les entreprises qui ont déployé des programmes de sensibilisation constatent des résultats tangibles. 67 % des organisations interrogées déclarent avoir observé une réduction modérée ou significative des intrusions et incidents de sécurité après la mise en place de formations dédiées.
Ces programmes incluent désormais plus fréquemment des simulations d’attaques, des évaluations régulières et des dispositifs de formation continue destinés à ancrer de nouveaux réflexes chez les collaborateurs. Longtemps perçue comme une obligation de conformité, la sensibilisation à la cybersécurité tend ainsi à devenir un véritable outil de gestion du risque.
Des salariés encore jugés insuffisamment préparés
Mais le rapport met également en lumière un décalage frappant. Près de sept décideurs sur dix estiment que leurs collaborateurs restent insuffisamment sensibilisés aux enjeux de sécurité. Autrement dit, les entreprises reconnaissent les bénéfices des programmes de formation, tout en considérant que les compétences acquises restent insuffisantes face à l’évolution des menaces…
Ce paradoxe suggère que la réduction des incidents ne repose pas uniquement sur la formation des utilisateurs, mais aussi sur l’amélioration des outils de sécurité et des dispositifs de détection.
L’IA renforce la prise de conscience… sans résoudre le problème
L’essor de l’intelligence artificielle dans les cyberattaques semble toutefois changer la perception des risques. Près de neuf entreprises sur dix indiquent que l’utilisation de l’IA par les cybercriminels a renforcé la prise de conscience des enjeux de cybersécurité au sein des organisations. Pourtant, cette prise de conscience ne se traduit pas nécessairement par une meilleure préparation. Seuls 40 % des décideurs estiment que leurs collaborateurs sont capables d’identifier ou d’éviter des attaques exploitant l’IA. Le développement de campagnes de phishing plus crédibles, de messages automatisés ou de deepfakes complique en effet la détection des attaques par les utilisateurs.
Le risque interne devient une préoccupation croissante
Autre évolution mise en avant par l’étude : la progression des préoccupations liées aux risques internes. Plus d’un quart des entreprises déclarent que ces risques constituent désormais un facteur clé dans la mise en place de programmes de formation. Les erreurs humaines, la manipulation involontaire de données sensibles ou encore l’usage non maîtrisé d’outils d’IA générative sont désormais identifiés comme des vecteurs de risque importants. Dans ce contexte, les programmes de sensibilisation cherchent de plus en plus à influencer les comportements quotidiens plutôt qu’à simplement valider des connaissances théoriques.
Des programmes encore inégaux
Malgré ces progrès, les entreprises rencontrent encore des difficultés à maintenir des formations régulières et à garantir leur efficacité. Les taux de complétion restent inégaux et certains contenus peinent à suivre l’évolution rapide des menaces. Le rapport souligne notamment l’intérêt de formats plus courts et plus fréquents, ainsi que d’un engagement plus visible du management pour encourager l’adoption de bonnes pratiques.
À mesure que les menaces évoluent, la sensibilisation apparaît ainsi comme un levier essentiel mais encore imparfait de la stratégie de cybersécurité des organisations.
