La sensibilisation à la sécurité devient une culture, et non plus seulement une question de procédure
Pour être efficace, la formation doit être continue, pertinente et considérée comme un élément essentiel de la gestion des risques, assure Fortinet à l’issue du 2025 Security Awareness and Training Global Research Report.
L’une des conclusions les plus importantes du rapport est que la formation est efficace. 67 % des organisations font état de réductions modérées ou importantes des intrusions, incidents et violations de données après la mise en place de programmes de sensibilisation et de formation à la sécurité.
Les pratiques de mesure gagnent également en maturité. Parmi les indicateurs les plus courants figurent la réduction des incidents de sécurité, les retours des employés et les audits de sécurité. De nombreuses organisations combinent désormais formation en présentiel et en ligne avec des simulations, des évaluations et un renforcement continu. Cela témoigne d’une évolution : on passe d’une formation ponctuelle à des programmes conçus pour modifier les comportements et réduire les risques sur le long terme.
Taux d’achèvement et cohérence : les points faibles
Malgré de meilleures mesures et de meilleurs résultats, la plupart des organisations peinent encore à assurer le suivi. Seul un faible pourcentage fait état d’un taux d’achèvement complet de la formation. Parallèlement, près de sept dirigeants sur dix estiment que leurs employés manquent encore de sensibilisation à la sécurité.
Ceci explique en partie l’écart entre l’investissement et les résultats. Une formation non suivie, non renforcée ou non mise à jour face à l’évolution des menaces ne peut pas apporter toute sa valeur. Le rapport propose des améliorations concrètes : des modules de formation plus courts et plus fréquents, une responsabilisation plus claire quant à l’achèvement des formations, une meilleure adéquation entre le contenu et les menaces actuelles, et un soutien visible de la direction. De plus, la nécessité de microformations régulières s’accroît pour suivre le rythme des progrès de l’IA.
La sensibilisation à la sécurité devient une culture, et non plus seulement une question de procédure
La plupart des dirigeants considèrent désormais la sensibilisation à la sécurité comme une responsabilité partagée par l’ensemble de l’organisation, et non plus comme une simple fonction informatique ou de sécurité. Presque tous sont également ouverts à l’utilisation de politiques pour gérer les comportements à risque, surtout lorsqu’elles sont accompagnées d’une formation expliquant leur raison d’être.
Il s’agit d’un changement important. Une formation efficace à la sensibilisation à la sécurité ne se résume pas à la réussite d’un examen. Il s’agit d’influencer les décisions quotidiennes, de renforcer les bonnes pratiques et de réduire les risques sur le lieu de travail.
Conséquences pour 2026 et au-delà
Les données sont claires : la formation à la sensibilisation à la sécurité réduit les incidents. Et les organisations qui y investissent et en mesurent les résultats constatent des améliorations concrètes. Mais l’IA accélère à la fois les capacités des attaquants et son adoption par les entreprises. Parallèlement, le risque interne augmente. Et trop de programmes restent inefficaces en raison de faibles taux de participation ou de contenus obsolètes.
Pour être efficace, la formation doit être continue, pertinente et considérée comme un élément essentiel de la gestion des risques, et non comme un projet secondaire.
