Points clés
- Les erreurs les plus fréquentes après une formation cyber ne sont pas des erreurs de contenu, mais des erreurs de mise en œuvre : formation sans suivi, sans mesure, sans adaptation au contexte réel.
- Uber (2022) a subi une compromission via une fatigue MFA — un vecteur d'attaque qui avait émergé après les dernières mises à jour du programme de formation de l'entreprise, créant un angle mort.
- Tesco Bank (2016) avait conduit des formations de sensibilisation aux fraudes bancaires dans les mois précédant une attaque qui a détourné 2,5 millions GBP via des transactions frauduleuses automatisées.
- Les études comportementales montrent que la formation sans simulation pratique a un effet significativement inférieur à la formation avec application en situation réelle simulée.
Mettre en place un programme de formation à la cybersécurité est une étape nécessaire, mais insuffisante si le programme n'est pas conçu et mis en œuvre correctement. Les organisations qui investissent dans la formation sans attention aux erreurs les plus communes voient leur investissement produire un effet limité — et parfois une fausse impression de protection qui peut être plus dangereuse que l'absence de formation.
L'analyse des incidents documentés et des études sur l'efficacité des programmes de sensibilisation permet d'identifier les erreurs les plus fréquentes et les ajustements qui maximisent l'impact des programmes.
Les erreurs de conception les plus communes
La formation générique non contextualisée est l'erreur la plus répandue. Un contenu identique pour toutes les fonctions de l'organisation — du directeur financier à l'assistant logistique — ne répond pas aux risques spécifiques de chaque poste. Les équipes financières sont principalement exposées aux fraudes BEC et aux virements frauduleux. Les équipes IT sont principalement exposées aux attaques sur les comptes privilégiés et aux compromissions de la chaîne d'approvisionnement. Les équipes commerciales sont exposées aux attaques sur les CRM et aux exfiltrations de données clients. Chaque population devrait recevoir une formation adaptée à son exposition réelle.
La formation orientée conformité plutôt qu'efficacité est une deuxième erreur structurelle. Lorsque la formation est conçue pour cocher des cases de conformité réglementaire ou normative plutôt que pour réduire effectivement le risque, elle optimise la participation et les scores aux quizzes sans chercher à modifier les comportements réels. Le résultat est un programme dont la valeur de conformité est élevée mais dont l'impact sécuritaire est faible.
L'absence de mesure de l'efficacité est une troisième erreur. Sans suivi du taux de clic sur les simulations de phishing, du taux de signalement des emails suspects, et de l'évolution de ces indicateurs dans le temps, il est impossible de savoir si le programme produit l'effet attendu. La formation sans mesure est un investissement sans visibilité sur son retour.
Les erreurs de mise en œuvre
La formation unique sans renforcement produit un effet de pic et de déclin. Après la formation, le taux de clic sur les simulations de phishing baisse immédiatement, puis remonte progressivement pour retrouver son niveau initial en l'absence de rappels. Les programmes les plus efficaces maintiennent une simulation mensuelle avec un rappel de formation personnalisé pour les collaborateurs qui ont cliqué.
L'absence de feedback immédiat et personnalisé réduit l'efficacité des simulations de phishing. Lorsqu'un collaborateur clique sur un email de simulation, la page de destination doit immédiatement lui expliquer qu'il vient de cliquer sur une simulation, identifier les signaux d'alerte qu'il aurait dû détecter, et proposer un module de formation courte (3-5 minutes). Ce feedback immédiat ancre l'apprentissage dans le contexte de l'erreur.
La stigmatisation des collaborateurs qui cliquent sur les simulations est une erreur à éviter absolument. Lorsque les résultats des simulations de phishing sont communiqués de manière à nommer ou identifier les collaborateurs ayant cliqué, cela crée une culture de la peur qui décourage le signalement des incidents réels. Les collaborateurs qui craignent d'être identifiés après avoir commis une erreur éviteront de signaler un incident réel — ce qui est précisément l'inverse de l'objectif recherché.
Corriger le programme avant qu'un incident ne le force
La revue périodique du programme de formation est indispensable pour maintenir son efficacité. Le paysage des menaces évolue : de nouveaux vecteurs d'attaque émergent (smishing, vishing, deepfake audio), de nouvelles techniques de social engineering sont documentées, de nouveaux scénarios de fraude se répandent. Un programme qui ne s'adapte pas devient progressivement obsolète et laisse des angles morts.
NIST SP 800-50 recommande une revue annuelle du programme de formation avec mise à jour des contenus en fonction de l'évolution des menaces, des incidents récents dans l'organisation, et des résultats des mesures d'efficacité. ISO 27001:2022 A.6.3 impose un programme adapté aux risques identifiés dans l'organisation — une adaptation qui doit être dynamique et non figée.
La compromission d'Uber en septembre 2022 illustre une erreur post-formation classique : le programme de formation n'avait pas été mis à jour pour couvrir la technique de la fatigue MFA (MFA Bombing). Un attaquant a obtenu les identifiants d'un sous-traitant d'Uber sur le dark web, puis a envoyé des dizaines de notifications MFA au téléphone du sous-traitant jusqu'à ce que celui-ci, submergé par les notifications, accepte l'une d'elles. Cette technique, documentée depuis 2021, n'était pas couverte par le programme de formation d'Uber. L'attaquant a ensuite eu accès aux systèmes internes d'Uber, incluant les outils de sécurité. Uber a dû suspendre ses systèmes internes pendant plusieurs heures.
L'attaque WannaCry qui a frappé le NHS England en mai 2017 a paralysé des milliers d'ordinateurs dans des dizaines d'hôpitaux. L'investigation post-incident a établi que le NHS avait conduit des formations de sensibilisation à la cybersécurité, mais que ces formations n'avaient pas été mises à jour pour couvrir les risques spécifiques des systèmes Windows XP non patchés, qui représentaient une proportion significative du parc informatique du NHS. La formation traitait des risques génériques de phishing mais ne couvrait pas les risques liés aux systèmes obsolètes et à l'absence de patching. Le rapport du National Audit Office a identifié la formation insuffisante comme l'un des facteurs ayant contribué à l'ampleur de l'incident.
Medibank Private, le plus grand assureur santé privé d'Australie, a subi en octobre 2022 une compromission exposant les données médicales de 9,7 millions de clients. L'investigation a révélé que l'accès initial avait été obtenu via les identifiants d'un sous-traitant, probablement compromis par un info-stealer. Medibank avait des programmes de formation en place, mais ceux-ci ne couvaient pas spécifiquement les risques liés aux accès prestataires et aux logiciels de vol d'identifiants. L'OAIC (Office of the Australian Information Commissioner) a lancé une investigation qui a conclu que Medibank n'avait pas pris les mesures raisonnables pour protéger les informations personnelles, incluant des mesures de formation et de sensibilisation adaptées aux risques identifiés.