Points clés
- Limiter la formation cyber aux équipes IT est l'une des erreurs de gouvernance les plus coûteuses documentées dans les incidents récents : la majorité des attaques réussies exploitent des collaborateurs non-IT.
- Le Verizon DBIR 2024 établit que 68 % des violations impliquent un élément humain — et la majorité des personnes impliquées ne font pas partie des équipes IT.
- La fraude BEC, le phishing, le social engineering et le vol d'identifiants ciblent précisément les fonctions qui n'ont pas de formation spécialisée : finance, RH, commercial, direction.
- ISO 27001:2022 A.6.3 impose que la formation et la sensibilisation à la sécurité couvrent l'ensemble du personnel de l'organisation, pas uniquement les équipes techniques.
La formation à la cybersécurité est souvent pensée comme un sujet technique, géré par et pour les équipes IT. Cette perception est inexacte et dangereuse. Les cyberattaques ne ciblent pas les systèmes d'information directement — elles ciblent les personnes qui y ont accès. Et ces personnes sont en majorité dans des fonctions non techniques : finance, RH, commercial, opérations, direction générale.
Concevoir un programme de formation cyber réservé aux équipes IT, c'est sécuriser la porte principale d'un bâtiment dont les fenêtres et les portes latérales sont ouvertes. Les fonctions non-IT représentent à la fois les cibles prioritaires des attaquants et les populations les moins souvent couvertes par les programmes de formation.
Les fonctions non-IT comme cibles prioritaires
Les équipes financières sont la cible principale des fraudes BEC, qui représentent la perte financière directe la plus importante liée à la cybercriminalité selon le FBI IC3. Une fraude BEC ne nécessite aucune compromission technique — seulement un employé financier qui transfère des fonds sur la foi d'un email convaincant. Former les équipes financières à détecter et à déjouer ces fraudes est plus efficace pour prévenir la perte financière directe que n'importe quel investissement en infrastructure de sécurité.
Les équipes RH sont la cible principale des attaques visant les données personnelles des collaborateurs : formulaires W-2, données de paie, informations personnelles. Une attaque réussie sur une équipe RH peut exposer les données de l'ensemble des collaborateurs d'une organisation. En 2016, le phishing ciblant les équipes RH pour obtenir les formulaires W-2 des employés est devenu un vecteur d'attaque massif aux États-Unis, touchant des centaines d'organisations dont Seagate, SnapChat et Weight Watchers.
Les équipes commerciales et marketing gèrent des données clients (soumises au RGPD), utilisent de nombreux outils cloud non standardisés, et ont souvent des pratiques de partage de données moins rigoureuses que les équipes IT. La compromission d'un CRM (Customer Relationship Management) ou d'une base de données prospects par un phishing ciblant un commercial expose les données de milliers de clients et engage la responsabilité RGPD de l'organisation.
Adapter le message aux non-IT
La formation des équipes non-IT doit être conçue dans un langage non technique, ancré dans des situations concrètes de leur quotidien professionnel. Un module sur "la sécurité des mots de passe" sera plus efficace s'il utilise l'exemple concret d'un mot de passe partagé pour accéder au CRM commun, plutôt qu'une explication théorique de la longueur et de la complexité des mots de passe.
Le contenu doit être centré sur les risques métiers plutôt que sur les risques techniques. Pour une équipe financière, le message clé n'est pas "attention aux emails de phishing" mais "une fraude BEC peut entraîner un virement frauduleux qui coûte à l'entreprise des centaines de milliers d'euros et engage votre responsabilité personnelle si vous n'avez pas suivi les procédures de validation". Ce cadrage métier rend le risque concret et actionnable.
Les formations les plus efficaces pour les non-IT utilisent des exemples d'incidents dans des organisations comparables, des scénarios simulés proches de leur réalité professionnelle, et des procédures claires et simples à appliquer. La complexité technique doit être nulle — le collaborateur non-IT n'a pas besoin de comprendre comment fonctionne le phishing, mais il doit savoir reconnaître un email suspect et savoir quoi faire ensuite.
La gouvernance comme vecteur d'inclusion des non-IT
L'inclusion des équipes non-IT dans les programmes de formation nécessite un portage organisationnel au-delà de la DSI. La direction générale doit mandater explicitement que le programme de formation s'applique à l'ensemble des collaborateurs, sans exception. Les managers des fonctions non-IT (directeur financier, DRH, directeur commercial) doivent être impliqués dans la définition du programme pour leur population — leur implication légitime le programme auprès de leurs équipes.
Les résultats de la formation des équipes non-IT (taux de clic sur les simulations, taux de signalement) doivent être reportés à leurs managers directs avec la même régularité que les résultats des équipes IT. Cette visibilité crée une responsabilité managériale sur les comportements cyber de leurs équipes, indépendante de la DSI.
En février 2016, un employé du département RH de Snapchat a reçu un email de phishing usurpant l'identité du CEO Evan Spiegel, demandant des informations sur la paie des employés. L'employé a complié, transmettant les données de paie d'un grand nombre de collaborateurs actuels et anciens. Aucune vulnérabilité technique n'a été exploitée — uniquement un employé RH non formé aux fraudes par usurpation d'identité interne (CEO fraud). L'incident a conduit Snapchat à étendre son programme de formation cyber à l'ensemble des fonctions non-IT, avec un accent particulier sur les équipes RH et financières.
La fraude de 19,2 millions EUR subie par Pathé Films France en 2018 a impliqué exclusivement des collaborateurs non-IT : le directeur général et le directeur financier de la filiale française. Ces deux cadres dirigeants ont effectué plusieurs virements successifs sur instruction d'emails usurpant l'identité du CEO d'Amsterdam, sans vérification secondaire. L'enquête a établi que ni les dirigeants ni les équipes financières de Pathé n'avaient reçu de formation spécifique aux fraudes BEC ciblant le niveau direction. La formation cyber de Pathé était principalement orientée vers les équipes IT et numériques.
Une filiale européenne de Toyota a perdu 37 millions USD en 2019 dans une fraude BEC. Des attaquants ont usurpé l'identité d'un partenaire commercial de Toyota pour demander un changement de coordonnées bancaires, suivi de plusieurs virements. Les équipes financières locales ont effectué les virements sans suivre les procédures de validation que Toyota avait mises en place au niveau groupe. L'investigation a établi que la formation sur ces procédures n'avait pas été correctement déployée pour les équipes financières des filiales, et que les procédures de validation n'avaient pas été testées dans des simulations. Toyota a depuis déployé un programme de formation BEC spécifique pour toutes ses équipes financières mondiales.