Dans cette ETI industrielle d’environ 800 collaborateurs, la DSI a structuré la sensibilisation cybersécurité. Les campagnes tournent, les formations sont suivies, les indicateurs remontent. Mais sur le terrain, les comportements n’évoluent pas. Ce décalage n’est pas marginal. Il révèle des limites récurrentes dans la manière d’aborder le sujet, et invite à déplacer le regard, du clic vers la capacité réelle à réagir.
Un dispositif en place… sans progression
Le programme est en place. Deux simulations de phishing par an. Une campagne d’affichage. Des rappels internes. Un module e-learning est obligatoire. 82 % des équipes l’ont d’ailleurs validé.
Sur le papier, le sujet est traité. Les actions s’enchaînent. Mais derrière, les comportements n’évoluent pas. Voire, ils se dégradent.
Les chiffres le montrent. Dernière simulation : 27 % de clics. Deux ans plus tôt : 29 %. Et le terrain confirme cette stagnation : même des profils jugés expérimentés se font piéger sur des scénarios sans grandes complexité.
Côté managers, la lassitude s’installe. Les campagnes sont perçues comme répétitives, sans effet visible. Le comptable ne voit pas le lien avec ses risques quotidiens. L’administrateur système ne se reconnaît pas dans les scénarios du module e-learning.
Bref, le dispositif est bien présent, mais il ne prend pas. Il est perçu comme lourd à porter par la DSI et parfois inutile auprès des collaborateurs.
L’entreprise peut montrer qu’elle agit. Elle a, en revanche, plus de mal à montrer que de nouveaux réflexes s’installent.
Des limites structurelles fréquemment observées
Sur ce type de dispositif, les mêmes constats reviennent souvent.
Le sujet reste porté par la DSI, souvent très sollicitée. Faute de temps, les actions s’enchaînent sans réelle structuration, souvent centrées sur des outils censés à la fois sensibiliser et mesurer.
Les dispositifs de sensibilisation sont connus : campagnes de phishing, modules e-learning, communications internes. Mais leur usage reste mécanique. Une campagne est lancée, un message est envoyé… puis le sujet retombe.
Le rythme lui-même pose problème. Une formation annuelle, même obligatoire, a un effet court si elle n’est pas réactivée. Entre deux cycles espacés, l’attention baisse et les “mauvais” comportements ressurgissent.
Les messages restent souvent génériques. Tous les collaborateurs reçoivent la même sensibilisation, malgré des niveaux d’exposition et des typologies de risque très différents. L’appropriation reste limitée.
Pour cet industriel, ces limites étaient en partie présentes. Mais il fallait surtout identifier précisément les points de blocage propres à l’entreprise.
Sortir du pilotage intuitif
Après plusieurs cycles sans progression nette, relancer une campagne supplémentaire n’aurait pas apporté de réponse. Il fallait donc objectiver.
Un diagnostic flash est lancé : en 45 minutes, il permet de trancher où agir immédiatement, où arrêter de sur-investir, et avec qui porter le sujet au-delà de l’IT.
Trois constats ressortent :
- Les contenus du module peu incarnés. Les messages sont identiques pour tous, avec peu de scénarios métier. Finance, achats, RH notamment ne se reconnaissent pas dans les exemples proposés.
- Le signalement peu ancré dans les usages. Le “quoi faire en cas de doute” reste peu visible et peu utilisé. Les collaborateurs hésitent, ou ne savent pas à qui remonter l’information.
- Le pilotage qui reste en surface. Les taux de complétion et de clic sont suivis, mais sans lecture par métier, sans suivi des délais de réaction, ni visibilité sur la manière dont les équipes réagissent réellement.
Repères si vous êtes dans une situation similaire
- Ne pilotez pas uniquement la complétion et le clic : ajoutez au moins un indicateur lié au signalement et, si possible, au délai de réaction.
- Traitez le clic comme un signal, pas comme un verdict. Le contexte et la difficulté du leurre font varier les résultats.
- Sans relais managérial, la sensibilisation reste périphérique. Le sujet doit entrer dans les routines, pas seulement dans un reporting.
- Segmentez par métiers : un message générique finit par perdre tout le monde.
- Si vos clients demandent des garanties, anticipez : preuves simples, cohérentes, compréhensibles hors DSI.
