Les hackers attaquent 24h/24. Pendant ce temps, 75 % des salariés ne passent pas plus de cinq heures par an à se former. Une dissonance inquiétante que confirme l’enquête Riot/IPSOS menée début 2025 auprès de 500 entreprises françaises : méthodes de formation obsolètes, comportements à risque et besoin criant d’une protection en temps réel des collaborateurs.
Face à des menaces qui se professionnalisent, l’étude révèle un paradoxe : 68 % des organisations disposent d’une solution de sensibilisation… mais 61 % se limitent encore à des communications ponctuelles (newsletters, guides, PDF) et 45 % misent sur des modules vidéo. Résultat : une approche passive qui favorise le désengagement. Plus d’un tiers des salariés se sentent peu ou pas concernés, 72 % ne consacrent que 1 à 5 heures par an au sujet, et 23 % s’y impliquent très rarement. Parmi les moins engagés, 64 % invoquent le manque de temps.
Dans le même temps, les attaquants ont changé d’échelle. Avec les progrès de l’IA générative, ils lancent des attaques ultra-personnalisées. Depuis fin 2022, les incidents de phishing auraient bondi de 1 265 %. Et comme « il suffit d’un seul salarié » pour ouvrir une brèche, chaque minute sans réponse adaptée augmente l’exposition de l’entreprise.
Les pratiques quotidiennes restent, elles aussi, fragiles. 48 % des employés ne sauraient pas vers qui se tourner en cas d’incident. Côté mots de passe, malgré les passkeys et gestionnaires, 57 % conservent encore leurs sésames de façon risquée (téléphone, ordinateur, papier) et 44 % réutilisent le même mot de passe sur plusieurs services — une aubaine pour le credential stuffing. Plus surprenant : ces réflexes concernent autant les stagiaires que les dirigeants.
Le phishing reste la menace n°1 : au moins 90 % des cyberattaques démarrent par un e-mail piégé. Pourtant, seuls 76 % des employés savent le définir correctement, et 20 % de ceux qui se disent « compétents » n’identifient pas une attaque. Pire : l’authentification à deux facteurs (2FA), pourtant simple et efficace, n’est utilisée systématiquement que par 30 % des répondants.
La bonne nouvelle ? Là où des formats interactifs et immersifs sont déployés — chatbots éducatifs (18 %) et serious games (32 %) — l’engagement grimpe en moyenne de +7 points par rapport aux formats traditionnels. Autrement dit : quand la formation devient expérientielle, elle commence enfin à changer les comportements.
Passer d’une culture de la sensibilisation à une culture de l’action
- Institutionnaliser la 2FA par défaut sur tous les comptes.
- Généraliser les passkeys et un gestionnaire d’identifiants, et bannir la réutilisation des mots de passe.
- Remplacer les PDF par des parcours interactifs continus : micro-modules, chatbots, serious games, simulations de phishing en conditions réelles.
- Mettre en place des nudges en temps réel (alertes contextualisées dans l’outil de travail) plutôt que des rappels génériques.
- Clarifier le processus d’alerte : canal unique, SLA, personnes référentes, et entraînements réguliers.
- Suivre des KPIs de comportement (taux de 2FA, réutilisation, signalements, temps de réaction) plutôt que le seul « temps de formation ».
Comme le résume Benjamin Netter (Riot), les menaces évoluent plus vite que nos formations. Le message est clair : la cybersécurité ne peut plus être un rendez-vous annuel, mais un réflexe quotidien, soutenu par des outils et des expériences qui donnent envie d’agir. Pour approfondir les enseignements et outiller votre plan d’action, consultez le rapport complet : .
Auteur : Inforisque.