Kantyra Kantyra

← Alle artikelen

Oplossen

La sensibilisation change-t-elle vraiment le comportement ?

Alain Rees · 10-07-2026 · 9 min leestijd

Presque toutes les organisations proposent une formation de sensibilisation annuelle, une simulation de phishing trimestrielle et une affiche près de la machine à café. La question que l'on pose rarement à cette occasion est de savoir si le comportement change réellement. Ces dernières années, cette question a enfin été étudiée à grande échelle, auprès de dizaines de milliers de collaborateurs dans de vraies organisations, et la réponse est déconcertante. Pour l'approche courante, la formation annuelle obligatoire assortie d'une leçon après chaque mauvais clic, la recherche ne trouve quasiment aucun effet. Pour quelques autres approches, elle en trouve bel et bien un. Fait notable, une grande partie de ces recherches provient d'universités néerlandaises.

Cet article relève de la phase Résoudre du modèle qui sous-tend Kantyra. Le comportement est une mesure et, comme toute mesure, il ne doit pas seulement exister, mais aussi fonctionner.

Pourquoi tout le monde sait-il quoi faire après la formation, et quelqu'un clique-t-il malgré tout ?

Le problème fondamental porte un nom : l'écart entre la connaissance et le comportement. Maria Bada, Angela Sasse et Jason Nurse ont analysé pourquoi les campagnes de sensibilisation échouent et sont parvenus à un diagnostic simple : savoir ce qui est sûr ne se traduit pas automatiquement par un comportement sûr, et les campagnes qui misent surtout sur la peur ont plutôt tendance à produire l'effet inverse. La recherche de validation australienne autour du HAIS-Q, un questionnaire très utilisé qui mesure séparément la connaissance, l'attitude et le comportement, confirme ce constat : la connaissance de la politique est plus fortement corrélée à l'attitude qu'au comportement. Celui qui ne teste que la connaissance après la formation mesure donc la mauvaise chose.

Tommy van Steen, de l'université de Leyde, a mis le doigt sur la cause avec ses collègues. Ils ont analysé dix-sept campagnes de sensibilisation menées par des pouvoirs publics à l'aide des outils des sciences comportementales et ont constaté que ces campagnes reposent presque entièrement sur la transmission d'informations, tout en n'exploitant guère les techniques éprouvées de changement de comportement. La plupart des actions de sensibilisation, en somme, ne sont pas conçues pour modifier le comportement. Il n'est alors pas surprenant qu'elles ne le fassent pas.

Que disent les grandes études de terrain ?

Deux études récentes, toutes deux menées dans de vraies organisations sur de nombreux mois, ont attisé le débat. Des chercheurs de l'ETH Zurich ont suivi pendant quinze mois plus de quatorze mille collaborateurs d'une grande entreprise et ont testé l'approche que presque tous les fournisseurs vendent : celui qui clique sur un e-mail de phishing simulé reçoit sur-le-champ une page de leçon. Résultat : ces leçons n'ont pas rendu les cliqueurs meilleurs et pouvaient même les rendre plus vulnérables. Une étude de suivi de la même équipe en a démêlé la raison. Le peu d'effet de telles simulations provient du rappel périodique que le phishing existe, et non du contenu de la leçon, que les collaborateurs lisent à peine faute de temps. Les récompenses pour bon comportement n'ont pas davantage aidé.

La seconde étude est peut-être encore plus directe. Grant Ho et ses collègues ont mené, dans une grande organisation de santé américaine, une expérience randomisée de huit mois auprès de plus de dix-neuf mille collaborateurs et n'ont trouvé aucun lien significatif entre le fait d'avoir récemment terminé la formation de sensibilisation annuelle et la probabilité de se laisser prendre à une simulation de phishing. Leur conclusion laisse peu de marge : la formation anti-phishing courante n'offre probablement, dans la pratique, que peu de valeur protectrice.

Il y a eu, dans la recherche zurichoise, une constatation nettement positive, et elle est instructive. Un bouton de signalement permettant aux collaborateurs de transférer les e-mails suspects fonctionnait, lui, bel et bien. Le collectif des collaborateurs s'est révélé être un mécanisme de détection rapide et évolutif pour les nouvelles campagnes de phishing, avec une charge de travail maîtrisable pour l'équipe de sécurité. Le gain ne résidait pas dans la prévention de chaque clic, mais dans la détection précoce de l'attaque. Cela rejoint parfaitement ce que j'ai écrit précédemment à propos du comportement de signalement.

Qu'est-ce qui change alors le comportement ?

La recherche néerlandaise donne davantage de relief à la réponse. Jan-Willem Bullee et Marianne Junger, de l'université de Twente, ont mené une méta-analyse portant sur dix-neuf études réunissant plus de vingt-trois mille participants et ont trouvé de grandes différences entre les interventions : certaines fonctionnent bien, d'autres ne font rien du tout. Le schéma était toujours le même : les interventions intensives l'emportent sur les légères, et un objectif étroit l'emporte sur un récit large. Des recherches de terrain antérieures menées à Twente avaient déjà montré que les moyens éphémères échouent : les avertissements et le fait de pointer les dangers juste avant le moment à risque ne réduisaient pas la divulgation de données personnelles, et pouvaient même l'accroître. Et une expérience twentoise d'enseignement anti-phishing dans des écoles primaires a mis en évidence le problème de durabilité : juste après la formation, la reconnaissance augmentait nettement, mais après quatre semaines l'effet avait déjà disparu. Former une fois par an relève dès lors davantage du rituel que de la mesure.

Ce qui fonctionne, en revanche, est actif et répété. Van Steen et Deeleman ont montré qu'un serious game améliorait non seulement l'attitude, mais aussi le comportement autodéclaré, là où les brochures d'information ne le faisaient pas. Une recherche américaine y a ajouté un facteur surprenant : celui qui délivre le message compte. Les conseils factuels passaient le mieux lorsqu'ils venaient d'un expert en sécurité, tandis que les récits d'incidents fonctionnaient le plus fortement lorsque des collègues les racontaient, des personnes comme vous. Le fil rouge qui traverse tout cela est la répétition. De courtes impulsions ciblées, avec une certaine régularité, l'emportent sur la séance annuelle d'une heure.

Comment faire de la sensibilisation une stratégie comportementale ?

La conclusion de vingt ans de recherche n'est pas que vous devriez cesser toute sensibilisation, mais que vous devriez cesser de traiter la sensibilisation comme une obligation isolée. Van Steen a récemment publié à cet effet un cadre en cinq étapes utile : partez du comportement que vous voulez changer, et non du matériel pédagogique dont vous disposez par hasard, choisissez des interventions dont le mécanisme d'action est prouvé, et mesurez le comportement plutôt que la participation. C'est aussi ainsi que je vois les choses chez Kantyra. Dans le registre, la sensibilisation est une mesure comme une autre, avec un responsable, un test d'efficacité et une date de test. La question de ce test n'est pas de savoir si tout le monde a terminé le e-learning, mais si le comportement évolue : le nombre de tentatives de phishing réussies diminue-t-il, le nombre de signalements augmente-t-il, et à quelle vitesse le premier signalement d'une nouvelle campagne parvient-il ? Celui qui travaille avec un partenaire de formation, comme nous le faisons avec 2LRN4, peut aussi tout simplement poser ces questions au partenaire ; un bon partenaire veut être jugé là-dessus.

Qu'est-ce que cela signifie pour votre organisation ?

Si vous ne retenez qu'une chose de cet article, que ce soit celle-ci : jugez la sensibilisation au comportement, et non à la participation. Posez-vous trois questions. Après la formation, mesurez-vous autre chose que la présence et un quiz de connaissances ? Le nombre d'e-mails suspects signalés augmente-t-il, et à quelle vitesse une nouvelle campagne de phishing est-elle repérée par vos propres collaborateurs ? Et si une activité de sensibilisation ne montre aucun effet comportemental mesurable depuis deux ans, quelle est la raison de la reconduire ? Les mêmes euros peuvent aller à des interventions courtes, ciblées et répétées, à un bouton de signalement avec un retour rapide, et à des mesures techniques qui rendent le clic moins grave. La recherche est unanime à ce sujet : mieux vaut un petit effet réellement présent qu'un grand programme qui rassure avant tout.

Reddition de comptes et sources

Cet article est une synthèse étayée de recherches scientifiques existantes et non une recherche indépendante évaluée par des pairs. Là où je propose une lecture ou une interprétation, cette interprétation relève de ma responsabilité.

  1. Bullee, J.-W. & Junger, M. (2020). How effective are social engineering interventions? A meta-analysis. Information & Computer Security, 28(5). https://doi.org/10.1108/ICS-07-2019-0078
  2. Junger, M., Montoya, L. & Overink, F.J. (2017). Priming and warnings are not effective to prevent social engineering attacks. Computers in Human Behavior, 66. https://doi.org/10.1016/j.chb.2016.09.012
  3. Lastdrager, E., Carvajal Gallardo, I., Hartel, P. & Junger, M. (2017). How Effective is Anti-Phishing Training for Children? Proceedings of SOUPS 2017, USENIX. https://www.usenix.org/conference/soups2017/technical-sessions/presentation/lastdrager
  4. Van Steen, T., Norris, E., Atha, K. & Joinson, A. (2020). What (if any) behaviour change techniques do government-led cybersecurity awareness campaigns use? Journal of Cybersecurity, 6(1). https://doi.org/10.1093/cybsec/tyaa019
  5. Van Steen, T. & Deeleman, J.R.A. (2021). Successful Gamification of Cybersecurity Training. Cyberpsychology, Behavior, and Social Networking, 24(9). https://doi.org/10.1089/cyber.2020.0526
  6. Prümmer, J., Van Steen, T. & Van den Berg, B. (2024). A systematic review of current cybersecurity training methods. Computers & Security, 136. https://doi.org/10.1016/j.cose.2023.103585
  7. Van Steen, T. (2025). Developing a behavioural cybersecurity strategy: A five-step approach for organisations. Computer Standards & Interfaces, 92. https://doi.org/10.1016/j.csi.2024.103939
  8. Lain, D., Kostiainen, K. & Capkun, S. (2022). Phishing in Organizations: Findings from a Large-Scale and Long-Term Study. 2022 IEEE Symposium on Security and Privacy. https://doi.org/10.1109/SP46214.2022.9833766
  9. Ho, G. et autres (2025). Understanding the Efficacy of Phishing Training in Practice. 2025 IEEE Symposium on Security and Privacy. https://doi.org/10.1109/SP61157.2025.00076
  10. Lain, D., Jost, T., Matetic, S., Kostiainen, K. & Capkun, S. (2024). Content, Nudges and Incentives: A Study on the Effectiveness and Perception of Embedded Phishing Training. Proceedings of ACM CCS 2024. https://doi.org/10.1145/3658644.3690348
  11. Bada, M., Sasse, A.M. & Nurse, J.R.C. (2019). Cyber Security Awareness Campaigns: Why do they fail to change behaviour? arXiv. https://arxiv.org/abs/1901.02672
  12. Kirlappos, I. & Sasse, M.A. (2012). Security Education against Phishing: A Modest Proposal for a Major Rethink. IEEE Security & Privacy, 10(2). https://doi.org/10.1109/MSP.2011.179
  13. Parsons, K. et autres (2017). The Human Aspects of Information Security Questionnaire (HAIS-Q): Two further validation studies. Computers & Security, 66. https://doi.org/10.1016/j.cose.2017.01.004
  14. Wash, R. & Cooper, M.M. (2018). Who Provides Phishing Training? Facts, Stories, and People Like Me. Proceedings of CHI 2018. https://doi.org/10.1145/3173574.3174066
Zien hoe dit in Kantyra werkt?

In een demo van 30 minuten lopen we het model door aan de hand van jouw situatie.

Plan een demo

Meer in de fase Oplossen