Points clés
- Les indicateurs d'un programme de sensibilisation doivent mesurer les comportements réels, pas seulement la participation aux formations.
- Le taux de complétion des modules de formation est un indicateur de processus (combien ont fait la formation) — non un indicateur de résultat (quel est l'impact sur le risque).
- Les cinq indicateurs les plus corrélés à la réduction du risque humain : taux de clic sur les simulations, taux de signalement, délai de signalement, taux de répétition des erreurs, et évolution de ces métriques dans le temps.
- ISO 27001:2022 A.6.3 et NIST SP 800-50 imposent l'évaluation de l'efficacité des programmes de formation, avec des mesures documentées présentables lors des audits.
Le pilotage d'un programme de sensibilisation nécessite un tableau de bord d'indicateurs qui distingue les mesures de processus des mesures d'impact. Cette distinction est fondamentale : un programme peut avoir un taux de complétion de 98 % sans avoir modifié d'un iota les comportements à risque des collaborateurs. Mesurer uniquement le taux de complétion donne une illusion de programme efficace qui peut être très coûteuse si elle conduit la direction à ne pas investir dans des mesures d'impact réelles.
Le tableau de bord d'un programme de sensibilisation doit être construit autour d'indicateurs comportementaux — ce que font les collaborateurs, pas seulement ce qu'ils ont appris. Ces indicateurs permettent à la direction de prendre des décisions éclairées sur l'investissement dans le programme et d'identifier rapidement les populations ou les sujets qui nécessitent des interventions complémentaires.
Les indicateurs de comportement à suivre
Le Phish-prone Percentage (PPP) — taux de susceptibilité au phishing — est l'indicateur le plus directement actionnable. Il mesure le pourcentage de collaborateurs qui cliquent sur les simulations de phishing. L'industrie utilise ce taux comme benchmark : un PPP inférieur à 5 % est considéré comme excellent, entre 5 et 15 % comme acceptable pour les organisations en cours de maturisation, au-dessus de 15 % comme un signal d'alarme nécessitant une intervention.
Le taux de signalement (Reporter Rate) mesure le pourcentage de collaborateurs qui signalent les emails de simulation plutôt que d'y cliquer ou de les ignorer. Un taux de signalement élevé est le signal d'une culture de vigilance active. L'objectif n'est pas seulement que les collaborateurs ne cliquent pas — c'est qu'ils signalent, contribuant activement à la chaîne de détection. Un taux de signalement de 10 à 15 % sur les simulations de phishing est considéré comme un niveau mature.
La resilience ratio — rapport entre le taux de signalement et le taux de clic — est une mesure composite de la maturité comportementale. Un resilience ratio supérieur à 3 (trois fois plus de signalements que de clics) indique une population qui non seulement résiste au phishing mais contribue activement à la détection. Cet indicateur est recommandé par Cofense comme mesure de maturité de la culture de sécurité.
Les indicateurs d'évolution dans le temps
L'évolution des indicateurs dans le temps est plus révélatrice que leur valeur absolue. Un PPP qui descend de 25 % à 12 % en 6 mois indique un programme efficace, même si le niveau absolu est encore supérieur à l'objectif. Un PPP stable à 8 % depuis 12 mois sans amélioration indique que le programme a atteint un plateau et nécessite de nouvelles interventions pour progresser.
La régression saisonnière — augmentation du taux de clic après les périodes de vacances ou lors des périodes de forte activité — est un phénomène documenté. Les collaborateurs qui n'ont pas eu de simulation pendant une période prolongée (été, fêtes de fin d'année) présentent un taux de clic temporairement plus élevé. Cette régression est un argument supplémentaire pour la continuité des simulations tout au long de l'année.
Le taux de répétition des erreurs — collaborateurs qui ont cliqué sur plusieurs simulations consécutives malgré les formations de remédiation — identifie les individus qui nécessitent un accompagnement plus personnalisé. Ces collaborateurs ne sont pas nécessairement malveillants ou négligents — ils peuvent avoir des difficultés d'apprentissage spécifiques, un niveau d'exposition plus élevé au phishing dans leur rôle, ou une configuration d'accès particulièrement exposée qui nécessite des contrôles techniques compensatoires.
Présenter les indicateurs à la direction
Le tableau de bord du programme de sensibilisation doit être présenté à la direction générale sous une forme actionnable et compréhensible pour des non-spécialistes. La traduction des indicateurs techniques en termes de risque métier est essentielle : "notre PPP est de 12 %" devient "12 % de nos collaborateurs cliqueraient sur un email de phishing standard — cela représente X personnes potentiellement compromettables par un attaquant utilisant ce vecteur".
La comparaison avec des benchmarks sectoriels — données Proofpoint, KnowBe4, IBM — donne du contexte à la direction. Savoir que l'organisation est au-dessus ou en dessous de la moyenne sectorielle permet d'évaluer le niveau de risque relatif et de justifier des investissements supplémentaires ou de valoriser les résultats obtenus.
ISO 27001:2022 A.6.3 et NIST SP 800-50 imposent des revues périodiques de l'efficacité du programme. Ces revues doivent être documentées et produire des recommandations d'ajustement. Les résultats de ces revues doivent figurer dans le rapport annuel de sécurité présenté à la direction générale.
KnowBe4, l'un des principaux fournisseurs de formation à la sensibilisation, publie annuellement son Phishing by Industry Benchmarking Report. L'édition 2024 établit que le PPP moyen sans formation est de 34,3 % — soit un tiers des collaborateurs qui cliqueraient sur un phishing standard. Après 90 jours de formation, ce taux descend à 18,9 %. Après 12 mois de formation continue avec simulations régulières, il atteint 4,6 %. Ces données constituent les benchmarks de référence utilisés par les RSSI pour justifier leurs investissements en formation devant la direction et montrer l'évolution de leur programme.
La Banque Centrale Européenne a développé dans le cadre de sa supervision des institutions financières un ensemble d'indicateurs de culture cyber qui vont au-delà des métriques de formation standard. Ces indicateurs couvrent : la fréquence des simulations de phishing, le PPP par département, le taux de signalement, le délai moyen de signalement, et le nombre de faux positifs (emails légitimes signalés par erreur). La BCE utilise ces indicateurs dans ses évaluations de supervision technologique pour évaluer la maturité de la culture cyber des établissements supervisés. Les résultats de ces évaluations influencent les exigences de capital réglementaire liées au risque opérationnel.
La Monetary Authority of Singapore impose dans son Technology Risk Management framework que les institutions financières maintiennent des indicateurs de suivi de leur programme de formation cyber, incluant : le taux de complétion des formations obligatoires, les résultats des simulations de phishing par département, le taux de signalement des incidents par les collaborateurs, et le délai de signalement. Ces indicateurs doivent être reportés au conseil d'administration annuellement et être disponibles lors des inspections MAS. Plusieurs institutions financières de Singapour présentent ces indicateurs dans leurs rapports annuels comme preuve de leur engagement dans la culture cyber.