Points clés
- Le paysage des menaces évolue continûment : de nouveaux vecteurs d'attaque émergent chaque année (smishing, vishing, deepfake, fatigue MFA, attaques sur l'IA générative) qui rendent les formations statiques rapidement obsolètes.
- La formation contextualisée — adaptée aux risques spécifiques de l'organisation, du secteur, et de la fonction du collaborateur — est significativement plus efficace que la formation générique selon les études comportementales.
- SolarWinds (2020) illustre comment des équipes formées aux risques standards n'avaient pas été préparées aux attaques sur la chaîne d'approvisionnement logicielle — un vecteur qui a nécessité une mise à jour urgente des programmes de formation dans tout le secteur.
- NIST SP 800-50 (révision 2023) et ISO 27001:2022 A.6.3 imposent explicitement l'adaptation continue des programmes de formation à l'évolution des menaces et des risques.
La formation à la cybersécurité n'est pas un projet avec une date de fin — c'est un programme permanent. Cette nécessité de continuité découle de deux dynamiques convergentes : l'évolution du paysage des menaces, qui introduit régulièrement de nouveaux vecteurs d'attaque, et la dégradation naturelle des comportements appris, qui nécessite un renforcement régulier pour maintenir les réflexes acquis.
La contextualisation est le second impératif. Une formation qui couvre les risques génériques du phishing sans s'adapter aux risques spécifiques du secteur, de l'organisation et de la fonction du collaborateur produit un apprentissage partiel. Les attaquants, eux, s'adaptent — leurs emails de phishing exploitent des actualités sectorielles, des événements internes, des relations de confiance spécifiques. La formation doit être au moins aussi contextuelle que les attaques qu'elle cherche à contrer.
La nécessité de la continuité
La recherche comportementale en sécurité confirme ce que la psychologie de l'apprentissage établit depuis longtemps : les comportements appris se dégradent sans renforcement. Des simulations de phishing mensuelles maintiennent un niveau d'alerte significativement plus élevé que des simulations trimestrielles, qui sont elles-mêmes plus efficaces que des simulations semestrielles. La fréquence optimale dépend du niveau initial de culture cyber et des ressources disponibles, mais la continuité est non négociable.
Le renforcement par la communication régulière sur les menaces actuelles — bulletins de sécurité, partage d'exemples récents de phishing détectés, communication sur les tentatives d'attaque déjouées — maintient la vigilance entre les sessions de formation formelles. Cette communication ne doit pas être alarmiste, mais factuelle et actionnelle : voici ce qui se passe, voici ce que vous devez faire.
La formation continue doit être intégrée dans les processus existants plutôt qu'ajoutée comme une charge supplémentaire. Un rappel de 3 minutes dans une réunion d'équipe mensuelle, un module court déclenché après un clic sur une simulation de phishing, une actualité de sécurité dans la newsletter interne : ces micro-formations continues ont un impact cumulatif significatif sur les comportements.
La nécessité de la contextualisation
Les attaques de phishing les plus sophistiquées exploitent le contexte spécifique de l'organisation cible : des événements récents, des noms de cadres, des formats de communication internes, des actualités sectorielles. Un email de phishing qui reproduit fidèlement la charte graphique de la messagerie interne et mentionne un projet réel de l'organisation est significativement plus efficace qu'un email générique — et plus difficile à détecter sans une formation spécifiquement contextualisée.
Les simulations de phishing les plus efficaces sont celles qui reproduisent les techniques réelles utilisées contre des organisations du même secteur. Un établissement financier devrait simuler des emails imitant les communications de la BCE ou de la Banque de France, des alertes de fraude interne, des demandes de virement urgentes. Un prestataire IT devrait simuler des emails imitant des alertes de fournisseurs de sécurité, des notifications de vulnerabilités dans des logiciels utilisés.
La MAS (Monetary Authority of Singapore) dans son TRM framework impose aux institutions financières de mettre à jour leurs programmes de formation en fonction des menaces émergentes identifiées dans les publications sectorielles et les avis de l'autorité. Cette obligation d'adaptation dynamique est désormais une composante standard des exigences de gouvernance cyber dans les secteurs régulés.
Adapter la formation aux nouvelles menaces
L'IA générative a créé une nouvelle génération de menaces que les programmes de formation développés avant 2022 ne couvrent pas : emails de phishing générés automatiquement et sans fautes, deepfakes audio imitant la voix d'un dirigeant pour valider un virement, assistants IA utilisés pour du social engineering contextuel. Les programmes de formation doivent intégrer la détection de ces nouvelles menaces dès maintenant, avant qu'elles ne deviennent le vecteur dominant.
Les attaques sur les outils collaboratifs (Teams, Slack, SharePoint) représentent un vecteur émergent documenté depuis 2021. Des attaquants compromettent des comptes Teams et envoient des messages de phishing depuis des comptes légitimes de l'organisation ou de partenaires. Les collaborateurs formés à détecter les emails de phishing ne sont pas nécessairement préparés à détecter les messages de phishing dans les outils collaboratifs.
MGM Resorts a subi en septembre 2023 une compromission dévastatrice facilitée par une attaque de social engineering téléphonique. Les attaquants ont trouvé sur LinkedIn les informations d'un employé IT de MGM, puis ont appelé le support IT de MGM en se faisant passer pour cet employé, demandant une réinitialisation de ses identifiants. Le support a complié, donnant aux attaquants accès aux systèmes Okta de MGM. La formation du support IT ne couvrait pas spécifiquement les techniques de vishing (voice phishing) utilisant des informations OSINT. MGM a estimé la perte à plus de 100 millions USD. L'incident a conduit l'industrie hôtelière à réviser ses programmes de formation pour couvrir explicitement le vishing et les attaques OSINT.
WPP, le plus grand groupe de communication au monde, a subi en 2024 une tentative de fraude par deepfake audio et vidéo ciblant un cadre dirigeant. Des attaquants ont organisé une conférence téléphonique en utilisant des deepfakes du PDG de WPP et d'un autre cadre dirigeant pour demander un transfert de fonds. L'attaque a été détectée grâce à la vigilance du cadre ciblé, qui a refusé de valider le transfert. WPP a publiquement communiqué sur cet incident pour alerter ses employés et ses pairs. Cet incident illustre que la formation doit désormais couvrir les techniques deepfake, y compris pour les communications audiovisuelles qui semblent authentiques.
Un employé du bureau de Hong Kong du cabinet d'ingénierie Arup a transféré 200 millions HKD (25,6 millions USD) en 2024 suite à une conférence vidéo avec des deepfakes de plusieurs cadres dirigeants de l'entreprise. L'employé, initialement méfiant face à une demande par email, a été convaincu par ce qui semblait être une vidéoconférence authentique avec plusieurs collègues. Des enquêteurs de la police de Hong Kong ont confirmé que les participants à la vidéoconférence étaient des deepfakes générés par IA. Cet incident a démontré la capacité des deepfakes vidéo à convaincre même des collaborateurs vigilants, et a conduit à une révision urgente des procédures de validation des virements dans de nombreuses organisations.