Alors que les cyberattaques se multiplient et que les salariés restent mal armés pour y faire face, faut-il imposer une formation minimale en cybersécurité, au même titre que les formations réglementaires ? Derrière le bon sens apparent de la réponse se cache une réalité plus contrastée… et plus urgente (retour sur quelques résultats d'une récente étude d'Ipsos x Riot).
Cybersécurité : tout le monde en parle, mais qui apprend vraiment ?
Les entreprises ne manquent pas d’initiatives en matière de sensibilisation à la cybersécurité. Modules en ligne, newsletters, serious games ou ateliers ponctuels peuplent les catalogues internes. Mais, dans les faits, près d’un salarié sur deux n’y met jamais les pieds, ou si rarement que cela revient au même. Le prétexte du manque de temps est devenu un argument universellement brandi, révélateur surtout d’un désintérêt profond. Or, la multiplication des dispositifs ne compense pas l’absence d’engagement. Une formation non suivie, aussi brillante soit-elle, est une protection fictive. Cela commence à se voir : seuls 2 % des salariés se disent compétents en cybersécurité, 15 % avouent ne rien y connaître, et la plupart peinent à identifier un hameçonnage, encore confondu par un quart d’entre eux avec… un virus ou un espace de stockage. De là à dire que les entreprises nagent à vue en matière de cyberprévention, il n’y a qu’un pas.
Faire entrer la cybersécurité dans les obligations de formation, une hérésie ?
L’idée de rendre la formation cyber obligatoire pourrait passer pour un excès de zèle, une bureaucratisation supplémentaire du champ de la formation. Ce serait pourtant reconnaître une réalité simple : les failles ne sont pas d’abord techniques, elles sont humaines. Si la gestion des mots de passe reste aussi désastreuse – 44 % des salariés réutilisent les mêmes dans leur vie perso, 48 % dans leur vie pro –, c’est moins par ignorance que par manque de conscience des risques. Or, cette conscience ne se décrète pas : elle se construit, se renforce, se maintient par des rappels réguliers. En matière de conformité, on ne demande pas à un salarié s’il souhaite suivre la formation incendie, RGPD ou harcèlement : on l’y inscrit. Pourquoi la cybersécurité ferait-elle exception, alors que les conséquences d’une négligence individuelle peuvent se chiffrer en millions d’euros ou en perte de données critiques ? Ce « SMIC cyber » – une base de compétences minimales, partagées par tous – n’est plus un luxe, c’est une condition de survie opérationnelle.
Des programmes bien pensés… mais mal intégrés
Les initiatives internes ne manquent pas de créativité. Pourtant, leur efficacité reste largement théorique. Beaucoup de salariés cliquent, valident, ferment. Certains oublient jusqu’à avoir suivi quoi que ce soit. Dans ce contexte, 30 % seulement activent systématiquement la double authentification, toutefois considérée comme le minimum vital. L’écart est flagrant entre l’ambition affichée des programmes et la réalité de leur assimilation. C’est ici que l’approche réglementaire peut jouer un rôle d’aiguillon. Ce que la volonté individuelle ne permet pas, l’obligation structurée peut l’imposer. À condition néanmoins de ne pas confondre obligation et remplissage. Intégrer la formation cyber dans le champ des conformités, c’est aussi l’occasion de la sortir du marketing RH pour la rapprocher du réel : des contenus courts, ciblés, fréquents, testés dans leur efficacité réelle. Surtout : adaptés à la diversité des situations : un salarié de TPE, souvent laissé seul, n’a pas les mêmes réflexes qu’un cadre d’un grand groupe avec référent cybersécurité attitré. Or, 82 % des salariés de TPE déclarent ne pas avoir de contact identifié en cas d’incident. Autant dire qu’ils avancent sans filet.
La prévention coûte moins cher que le déni
Le sujet n’est plus de savoir si les entreprises doivent former, mais comment et à quel rythme. La formation volontaire a montré ses limites. Les rappels ponctuels, aussi bien conçus soient-ils, n’atteignent que ceux déjà convaincus. Pour les autres, c’est une case à cocher, une vidéo à laisser tourner en arrière-plan. Dans ces conditions, prétendre que l’on protège l’entreprise est une illusion dangereuse. Imposer un socle de formation cyber, c’est reconnaître la gravité du risque. C’est aussi, pour les responsables formation, sortir d’une logique de l’offre à tout prix pour entrer dans une stratégie de maîtrise des risques. Un tournant culturel autant qu’organisationnel. Il ne s’agit plus d’enrichir le catalogue, mais de réduire la surface d’exposition. La cybersécurité ne relève plus uniquement de la DSI, mais du champ de la compétence professionnelle essentielle. On attend d’un salarié qu’il sache répondre à un client, collaborer en équipe, gérer un projet. On doit pouvoir attendre qu’il sache identifier un e-mail frauduleux, protéger ses accès, ne pas mettre l’ensemble du SI en péril par négligence ou désinvolture. Bref, qu’il connaisse et respecte le minimum syndical de la cybersécurité.
|