Malgré une prise de conscience collective et l’augmentation constante des budgets de cybersécurité, la cybercriminalité continue de flamber. En France, son coût annuel dépasse déjà les 100 milliards de dollars (environ 119 milliards d’euros), et à eux seuls les ransomwares devraient atteindre 275 milliards de dollars à l’échelle mondiale d’ici 2031. Comment expliquer cette escalade, alors même que les organisations renforcent massivement leurs défenses ?
La cyber-résilience n’est pas qu’une affaire de technologie mais surtout de comportements humains
By
Published on 23 novembre 2025 9h00
99,9%Microsoft a constaté que le MFA peut bloquer plus de 99,9 % des attaques de compromission de compte
Cette année encore, les analyses convergent : juste après les failles de sécurité non corrigées des logiciels, les collaborateurs sont fréquemment identifiés comme le maillon le plus vulnérable des dispositifs de cyber-résilience. Sans toujours en avoir conscience, ils ne disposent pas encore des moyens adéquats pour jouer un rôle actif dans la protection de leur organisation. Comprendre les racines de cette situation et y remédier est désormais impératif pour maîtriser le risque généré par l'évolution constante des menaces.
La formation : le talon d'Achille de la cyber-résilience européenne
Bien que les organisations mondiales aient intégré l'importance des investissements financiers et humains pour leur cyber-résilience, cette stratégie reste compromise par un facteur critique : le manque d'implication des employés. Qu'il s'agisse d'une réticence personnelle ou d'un défaut de considération managériale, cette lacune fragilise l'ensemble de la "façade" défensive.
Les statistiques sont éloquentes : en Europe, près d'un tiers des employés (32%) ne bénéficie d'aucune formation ou ressource en cybersécurité. Cette carence en sensibilisation représente l'une des principales failles de la cyber-résilience actuelle.
Par conséquent, même lorsque des formations sont dispensées, l'acculturation aux mesures de cybersécurité de base reste insuffisante. Un grand nombre d'employés ne saisissent toujours pas l'impact de leurs actions (ou inactions) sur la sécurité de leur entreprise, et peinent à identifier les signaux d'une attaque par ransomware.
Plus alarmant encore, une partie significative de la population active ignore purement et simplement l'existence de ces menaces, réduisant d'autant le niveau de vigilance. Cette situation est particulièrement préoccupante en France, où seulement 30% des employés déclarent avoir "une vague idée" de ce qu'est un ransomware, un chiffre bien inférieur à la moyenne européenne (74%).
Face à un incident : le signalement n’est pas un réflexe
Que se passe-t-il lorsque l'attaque est avérée ? Même si certains employés reconnaissent avoir été victimes d'une cyberattaque, le processus de signalement est loin d'être optimal. Trop souvent, ils ne notifient pas leur organisation correctement, ou trop lentement, voire pas du tout, considérant que "ce n'est pas leur problème". Cela révèle une lacune profonde : au-delà de la formation technique, c'est une culture organisationnelle encourageant la transparence et la rapidité de communication face aux menaces qui fait défaut.
Même au sein des entreprises dotées de protocoles de signalement clairs, une part significative d'employés choisit de ne pas alerter alors que le facteur temporel est critique quant à l’impact d’une attaque. Parmi les 72% d'employés européens se disant capables d'identifier une cyberattaque, 43% déclarent qu'ils n'en informeraient pas l'équipe de cybersécurité.
Cette réticence s'explique en partie par la tendance à ne signaler les problèmes qu'à leur supérieur hiérarchique. Plus grave encore, 7% des employés avouent qu'ils ne diraient rien à personne s'ils suspectaient une attaque. Un tel silence peut gravement compromettre la capacité de l'entreprise à réagir efficacement à un incident.
Développer une culture cyber éclairée : le potentiel inexploité des employés
Au-delà des protocoles, la culture d'entreprise est façonnée par les croyances personnelles et la communication interne. Or, de nombreuses idées reçues persistent en matière de cybersécurité : environ un tiers des employés estiment encore que la protection de l'organisation relève de la seule responsabilité des équipes IT et de cybersécurité. Seuls 18% des employés européens reconnaissent qu'il s'agit d'une responsabilité partagée.
D'autres mythes persistent, notamment concernant le ciblage des attaques. Malgré la médiatisation quotidienne de cyberattaques massives visant des organisations de toutes tailles, près d'un tiers des employés européens pensent encore que seules les grandes entreprises sont concernées par ces menaces.
Enfin, si l'email est désormais correctement identifié comme un vecteur majeur d'attaques, d'autres points d'entrée courants restent sous-estimés. C'est le cas des plateformes collaboratives (SharePoint, Google Drive), des réseaux Wi-Fi, et même des téléphones mobiles, qui représentent autant de passerelles potentielles.
Bien que ces observations ne reflètent pas la réalité de toutes les organisations, elles soulignent l'impératif d'un travail de fond auprès des employés. Cet effort est essentiel pour garantir la pérennité et l'efficacité des investissements techniques et des processus de sécurité déjà en place.
Il est donc crucial que chaque entreprise réalise ses propres évaluations des risques pour identifier ses lacunes spécifiques et prendre les mesures correctives adaptées. Se préparer à une cyber-attaque, en considérant qu’elle sera couronnée de « succès », et donc en la simulant, reste le meilleur moyen d’en limiter les impacts. Une telle simulation accélère la prise de conscience de tous les employés de l’entreprise. Elle permet d'instaurer ou de renforcer une culture de la cybersécurité fondée sur une responsabilité partagée, impliquant activement tous les acteurs de l'entreprise.