Points clés
- Une stratégie de formation efficace commence par une analyse des risques réels de l'organisation — pas par le déploiement d'un catalogue de modules générique.
- La cartographie des populations à risque, des vecteurs d'attaque pertinents pour chaque population, et des comportements cibles à développer est l'étape de conception indispensable avant tout déploiement.
- Le budget de formation doit être alloué proportionnellement au risque : les populations les plus exposées (finance, IT, direction) nécessitent plus d'investissement que les populations à risque moyen.
- ISO 27001:2022 A.6.3 impose que le programme de sensibilisation soit adapté aux risques identifiés pour l'organisation — une exigence qui requiert une analyse des risques préalable.
Construire une stratégie de formation à la cybersécurité alignée sur les risques réels de l'organisation est une démarche structurée qui commence par la compréhension des risques — pas par le choix des outils ou des modules de formation. Cette démarche inverse la logique habituelle ("déployons ce programme de formation standard") pour adopter une logique de réduction du risque : quels sont nos risques humains réels, quelles populations sont exposées à ces risques, quels comportements faut-il développer pour réduire ces risques, quels formats sont les plus efficaces pour ces populations ?
Cette démarche par les risques produit des programmes plus efficaces, mieux acceptés par les équipes (parce que pertinents pour leur réalité), et plus facilement justifiables devant la direction générale (parce que directement reliés aux risques identifiés).
Étape 1 : Analyse des risques humains
L'analyse des risques humains commence par l'identification des vecteurs d'attaque les plus pertinents pour l'organisation. Pour un établissement financier, les fraudes BEC et le phishing ciblé sur les équipes de marché sont probablement les risques prioritaires. Pour un prestataire IT, les attaques sur la chaîne d'approvisionnement et la compromission des comptes privilégiés sont prioritaires. Pour un organisme de santé, les ransomwares et les fuites de données patients via des clés USB sont prioritaires.
Cette analyse s'appuie sur : les incidents passés de l'organisation (quels vecteurs ont été utilisés ?), les incidents documentés dans le secteur (Verizon DBIR par secteur, rapports ENISA sectoriels), les données de threat intelligence disponibles pour le secteur, et les résultats des audits de sécurité et des tests de pénétration. Elle produit une cartographie des risques humains spécifiques à l'organisation.
L'analyse identifie également les populations à risque élevé : quelles fonctions ont accès aux données ou aux systèmes les plus sensibles, quelles populations sont régulièrement exposées aux communications externes (commerciaux, support client, direction), quelles populations gèrent des transactions financières ou des accès privilégiés. Ces populations méritent un investissement de formation proportionnel à leur exposition.
Étape 2 : Définition des comportements cibles
Pour chaque risque identifié et chaque population exposée, la stratégie doit définir les comportements cibles que la formation doit développer. Ces comportements doivent être spécifiques, observables et mesurables — pas des objectifs généraux ("être plus vigilant") mais des comportements concrets ("vérifier les demandes de virement supérieures à X EUR par un appel téléphonique sur un numéro connu").
La définition des comportements cibles guide la conception des contenus de formation (quels scénarios, quelles procédures à mettre en pratique), le choix des formats (simulations pour les comportements de détection, procédures pour les comportements de réponse), et les indicateurs de mesure (les simulations mesureront l'adoption des comportements de détection, les exercices tabletop mesureront les comportements de réponse).
NIST SP 800-50 recommande de définir des objectifs d'apprentissage mesurables pour chaque audience, incluant les comportements attendus en situation réelle. Cette approche par objectifs comportementaux est plus rigoureuse que l'approche par contenu ("former les collaborateurs à reconnaître le phishing") et produit des programmes plus efficaces.
Étape 3 : Alignement budget-risque
L'allocation du budget de formation doit être proportionnelle au risque. Les populations à risque élevé (finance, IT, direction) nécessitent des programmes plus intensifs — simulations plus fréquentes, formats plus sophistiqués, formation par des experts. Les populations à risque moyen peuvent se satisfaire d'un programme standard de sensibilisation générale.
Un programme de formation stratégiquement conçu n'est pas nécessairement plus coûteux qu'un programme générique déployé uniformément — il peut même être moins coûteux en concentrant les ressources là où l'impact est maximal. La différenciation par le risque est un levier d'optimisation du retour sur investissement de la formation.
La révision annuelle de la stratégie doit intégrer les nouvelles menaces identifiées, les résultats des mesures d'efficacité, et les évolutions organisationnelles (nouvelles fonctions, nouveaux outils, nouvelles réglementations). Une stratégie figée devient obsolète à mesure que le paysage des menaces et le contexte organisationnel évoluent.
JPMorgan Chase consacre plus de 600 millions USD par an à la cybersécurité, dont une proportion significative à la formation et à la sensibilisation. Le programme de formation est conçu à partir d'une analyse annuelle des risques humains identifiés par l'équipe de threat intelligence de la banque. Les équipes de banque de marché reçoivent des formations spécifiques sur les risques de fraude financière et de manipulation de marché via des vecteurs cyber. Les équipes IT reçoivent des formations approfondies sur les techniques d'attaque avancées. Jamie Dimon a publiquement déclaré à plusieurs reprises que la formation à la cybersécurité était un investissement stratégique non négociable pour JPMorgan.
AXA a développé une stratégie de formation cyber alignée sur son analyse annuelle des risques cyber du groupe. La stratégie différencie les populations par niveau de risque et adapte les investissements en conséquence : les équipes d'underwriting et de gestion des sinistres reçoivent des formations renforcées sur la fraude cyber (un risque spécifique au secteur de l'assurance), les équipes IT reçoivent des formations techniques avancées, et les dirigeants reçoivent des briefings de threat intelligence trimestriels. AXA mesure l'efficacité de son programme par des simulations de phishing semestrielles et des revues annuelles d'incidents, avec reporting au comité d'audit et des risques.
Temasek, le fonds souverain singapourien, a développé une stratégie de formation cyber particulièrement rigoureuse en raison de son statut d'institution financière d'importance systémique. Le programme commence par une analyse des risques ciblant le fonds souverain (espionnage économique, fraudes BEC sur les participations, compromission des communications confidentielles). Des formations spécifiques sont déployées pour les équipes d'investissement (ciblées par des acteurs étatiques), les équipes financières (fraudes BEC), et la direction (whaling). Temasek conduit des simulations de whaling ciblant spécifiquement ses dirigeants, qui ont révélé des vulnérabilités sur lesquelles le programme a été ajusté.