- 68 % des RSSI de la zone EMEA considèrent que les collaborateurs restent le risque majeur en matière de sécurité
- 79 % d’entre eux tentent d’influer sur les comportements pour gérer ces risques, mais les menaces évoluent plus vite que les bonnes pratiques
Paris, le 13 mai 2026 — Les responsables de sécurité des systèmes d’information (RSSI) de la zone EMEA tournent le dos aux actions traditionnelles de sensibilisation à la cybersécurité. En effet, une nouvelle étude, Rethinking Human cyber Risk, révèle que 78 % d’entre eux pensent qu’il est urgent de changer d’approche. Cette étude, réalisée par MetaCompliance, société de gestion des risques humains qui place la sécurité au cœur des organisations, met en évidence un constat généralisé : les méthodes actuelles ne protègent pas des risques cyber liés à l’humain.
D’après l’enquête menée dans le cadre de cette étude auprès de 200 RSSI en France, au Royaume-Uni, en Suède et en Allemagne, 81 % des répondants affirment que les programmes de sensibilisation échouent parce qu’ils abordent le risque humain comme un simple enjeu de formation, et non comme un défi de gestion des risques à part entière. Par ailleurs, 68 % des entreprises estiment que leurs propres collaborateurs constituent le principal risque en matière de cybersécurité, ce qui témoigne d’une vulnérabilité persistante au cœur de la sécurité institutionnelle.
Malgré des investissements constants dans les programmes de sensibilisation (les entreprises allouent en moyenne 15 % de leur budget annuel de sécurité à la sensibilisation, et 79 % d’entre elles dispensent des formations au moins toutes les deux semaines), les résultats ne sont pas à la hauteur. Un quart (25 %) des entreprises expriment des difficultés à capter l’attention des collaborateurs, tandis que 24 % ne parviennent pas à faire adopter des pratiques sûres au quotidien, et 24 % peinent à obtenir l’implication des différents services. L’enjeu est donc autant organisationnel que comportemental.
Ce décalage s’explique par une approche dépassée. Si de nombreux RSSI considèrent que leur organisation a dépassé le stade des « cases à cocher » en matière de sensibilisation, et que certains qualifient même leur approche de comportementale (33 %) ou intégrant une gestion du risque humain (24 %), les progrès perçus ne se traduisent pas par un changement significatif.
« Le niveau de confiance augmente, mais cela ne signifie pas que le risque diminue », fait remarquer James Mackay, directeur général de MetaCompliance. « De nombreuses entreprises pensent qu’en ayant “coché la case” de la formation à la cybersécurité, elles sont réellement protégées, alors que les failles humaines n’ont pas changé. »
« Cela crée un décalage dangereux. Les entreprises se sentent plus en sécurité, mais les collaborateurs restent leur principale vulnérabilité. Dans le même temps, les menaces sont de plus en plus sophistiquées, car l’IA augmente l’échelle et la précision des attaques par ingénierie sociale. Les organisations seront donc de plus en plus exposées si ce décalage subsiste. »
Par conséquent, les RSSI réclament un modèle plus stratégique. Près de quatre sur cinq (79 %) souhaitent évoluer vers une gestion du risque humain, une approche qui se concentre à la fois sur l’identification des individus à haut risque, sur l’adaptation des interventions en fonction du comportement, mais aussi sur le renforcement d’une culture de sécurité collective à l’échelle de l’organisation. Ils sont 83 % à penser que des interventions ciblées réduiraient les risques plus rapidement, et 80 % à estimer que les messages de sécurité sont plus efficaces lorsqu’ils sont diffusés pendant les tâches de travail.
Une telle évolution est nécessaire à l’heure où les nouvelles menaces pressent les entreprises à moderniser leurs défenses. Au cours des 12 prochains mois, les entreprises consultées prévoient de se concentrer sur l’augmentation de la fréquence d’engagement (27 %), de produire un retour sur investissement mesurable (25 %) et d’adapter les interventions aux individus à haut risque (24 %), en particulier pour répondre aux attaques par ingénierie sociale dopée à l’IA (24 %).
« Comme n’importe quel autre risque, le risque cyber lié à l’humain doit constamment être suivi, mesuré et ciblé », ajoute James Mackay. Cela signifie d’aller au-delà de la sensibilisation pour faire réellement changer les comportements. Les entreprises doivent inverser leur approche de la cybersécurité : elles doivent utiliser les informations en temps réel pour cibler les bonnes personnes et leur délivrer le bon message, au bon moment. C’est la seule manière de réduire le risque cyber lié à l’humain à grande échelle. »
Lien de téléchargement de l’étude complète (version anglaise) : https://www.metacompliance.com/awareness-assets/security-awareness-reduce-human-risk
Pour toute demande d’interview ou de visuels, nous vous invitons à vous rapprocher de l’Agence Talkcom.PR. L’étude en français est attachée à ce mail.
Méthodologie
L’étude a été menée par Censuswide, auprès d’un échantillon de 200 RSSI dans des entreprises de plus de 250 collaborateurs (de plus de 30 ans) en France, en Allemagne, en Suède et au Royaume-Uni (50 RSSI sur chaque marché). Les données ont été recueillies entre le 17 et le 23 février 2026. Censuswide est membre de la Market Research Society (MRS) et du British Polling Council (BPC), et signataire du Global Data Quality Pledge. Nous adhérons au Code de conduite de la MRS et aux principes ESOMAR.
À propos de MetaCompliance
MetaCompliance est une société de gestion des risques humains qui place la culture de la sécurité au cœur des organisations. Sa plateforme intelligente clé en main allie automatisation, outils de formation personnalisés sur la cybersécurité et analyses comportementales, avec pour objectif de mesurer, atténuer et gérer les risques humains à grande échelle. Avec plus de six millions d’utilisateurs dans le monde, MetaCompliance aide les entreprises internationales à réduire les risques humains et à faire changer durablement les comportements. www.metacompliance.com