Points clés
- Un programme de sensibilisation sans mesure de son efficacité est un coût sans visibilité sur son retour — et potentiellement une fausse impression de protection.
- Le taux de clic sur les simulations de phishing, le taux de signalement des emails suspects et le délai de signalement sont les trois indicateurs comportementaux les plus directement corrélés à la réduction du risque humain.
- Proofpoint (State of the Phish 2024) documente que les organisations avec des programmes de formation mesurés et ajustés en continu obtiennent des taux de clic sur les simulations de phishing inférieurs de 60 % à la moyenne.
- ISO 27001:2022 A.6.3 et NIST SP 800-50 imposent l'évaluation de l'efficacité des programmes de formation, pas seulement leur mise en œuvre.
La mesure de l'efficacité d'un programme de sensibilisation à la cybersécurité est l'une des fonctions les moins bien maîtrisées dans la plupart des organisations. Les indicateurs les plus fréquemment utilisés — taux de complétion des modules de formation, scores aux quizzes, nombre de collaborateurs formés — mesurent la participation à la formation, pas son impact sur les comportements. Cette confusion entre indicateurs de processus et indicateurs de résultats produit une vision flatteuse et trompeuse de l'efficacité réelle du programme.
Les dirigeants qui investissent dans la formation ont besoin d'indicateurs qui répondent à la question qui compte vraiment : est-ce que ce programme réduit effectivement le risque humain ? Répondre à cette question nécessite des indicateurs comportementaux, pas seulement des indicateurs de participation.
Les indicateurs comportementaux à suivre
Le taux de clic sur les simulations de phishing est l'indicateur le plus directement corrélé à la vulnérabilité réelle des collaborateurs aux emails de phishing. Un taux élevé indique une population non préparée à détecter les tentatives de phishing standard. La mesure de l'évolution de ce taux dans le temps — avant et après une formation, après plusieurs vagues de simulation — permet d'évaluer l'impact du programme sur le comportement réel.
Le taux de signalement des emails suspects est un indicateur complémentaire et particulièrement révélateur. Un collaborateur qui signale un email suspect — même si cet email était en réalité légitime — démontre qu'il applique les bons réflexes de vigilance. Dans les programmes les plus efficaces, le taux de signalement des simulations de phishing augmente parallèlement à la baisse du taux de clic : les collaborateurs non seulement résistent à l'attaque mais la signalent, activant le processus de détection et de réponse.
Le délai de signalement (temps entre la réception d'un email suspect et son signalement à l'équipe de sécurité) mesure la réactivité des équipes. Un délai court — moins de 15 minutes pour les meilleures organisations — est corrélé à une capacité de réponse aux incidents plus rapide. La détection précoce d'une campagne de phishing réelle permet de bloquer les emails similaires avant qu'ils n'atteignent d'autres boîtes de réception.
Les indicateurs de maturité du programme
Le SANS Security Awareness Maturity Model définit cinq niveaux de maturité, chacun associé à des comportements mesurables. Un programme qui vise uniquement la conformité (niveau 2) sera mesuré différemment d'un programme qui vise l'engagement des équipes (niveau 4) ou la culture de sécurité intégrée (niveau 5). Définir le niveau de maturité cible et les indicateurs correspondants permet d'aligner les attentes et les investissements.
Le taux de répétition des erreurs après une simulation mesure si les collaborateurs qui ont cliqué sur une simulation et reçu un feedback correctif évitent de reproduire l'erreur lors de simulations ultérieures. Un taux élevé de répétition d'erreurs indique que le feedback post-simulation n'est pas efficace — soit dans son contenu, soit dans sa forme ou son délai.
L'évolution de l'indicateur dans le temps est plus importante que sa valeur absolue. Un taux de clic initial de 30 % qui descend à 8 % après 12 mois de programme indique une réduction significative du risque. Cet indicateur d'évolution est celui qui doit être présenté à la direction générale pour justifier l'investissement dans le programme.
Intégrer la mesure dans le cycle de gestion du programme
Les mesures d'efficacité doivent alimenter les décisions d'ajustement du programme. Un taux de clic élevé sur les simulations impliquant des emails au nom du département IT indique que les collaborateurs ne sont pas formés à cette technique spécifique — le programme doit être ajusté pour inclure des modules sur l'usurpation d'identité interne. Un taux de signalement faible indique que les collaborateurs ne savent pas comment signaler ou n'ont pas confiance dans le processus de signalement — une réponse organisationnelle différente de la formation.
ISO 27001:2022 A.6.3 et NIST SP 800-50 imposent explicitement l'évaluation de l'efficacité des programmes de formation. Ces évaluations font partie des preuves attendues lors des audits. Un programme qui ne produit pas de mesures d'efficacité ne satisfait pas pleinement à ces exigences.
Google a développé un programme de mesure de la culture de sécurité qui va au-delà des indicateurs standard. En plus des simulations de phishing et des taux de complétion de formation, Google mesure les comportements sécurisés dans les pratiques de développement (sécurité du code, revues de sécurité), les comportements d'accès (utilisation des clés de sécurité physiques, respect du principe de moindre privilège) et les comportements de signalement (utilisation des canaux internes de signalement des incidents de sécurité). Ces mesures multidimensionnelles permettent d'identifier les populations à risque et d'adapter les interventions. Google a partagé des éléments de cette approche dans ses publications sur la sécurité BeyondCorp et la culture de sécurité.
Deutsche Telekom a développé un tableau de bord de mesure de son programme de sensibilisation qui est présenté trimestriellement au COMEX. Le tableau de bord inclut l'évolution du taux de clic sur les simulations de phishing par département, le taux de signalement des emails suspects, et un indice composite de culture de sécurité calculé à partir de plusieurs indicateurs comportementaux. Ce reporting a permis d'identifier des départements avec des taux de risque significativement plus élevés et de cibler des interventions de formation spécifiques. Deutsche Telekom a présenté cette approche lors de conférences de l'ENISA comme un exemple de gouvernance de la culture cyber orientée données.
DBS Bank, régulièrement citée comme l'une des banques les plus avancées numériquement en Asie, a développé un programme de mesure de la culture cyber qui intègre des indicateurs comportementaux issus des systèmes de contrôle d'accès, des systèmes de messagerie et des outils de développement. Ces indicateurs sont agrégés dans un score de culture de sécurité par équipe, qui est utilisé pour cibler les interventions de formation et identifier les populations à risque. DBS a présenté cette approche lors du Singapore International Cyber Week comme un exemple de mesure data-driven de la culture cyber. La MAS cite DBS dans ses publications comme modèle de gouvernance de la formation cyber.