Comment former ses salariés à la cybersécurité en 2026 ?

En 2026, former ses équipes à la cybersécurité de manière uniforme, c'est ignorer une réalité que les études comportementales montrent de mieux en mieux : chaque collaborateur a un profil de vulnérabilité qui lui est propre.

Pourquoi la cybersécurité en entreprise en 2026 reste avant tout un problème humain

C'est un chiffre assez impressionnant qui devrait changer la façon dont on aborde la cybersécurité en entreprise. Globalement, les systèmes de filtrage font leur travail et les pare-feux aussi. Mais le problème, c'est que l'attaquant ne cherche pas à percer un mur technique : il cherche la porte la plus facile à ouvrir. Et contrairement à ce que notre égo aimerait nous faire croire, c'est presque toujours un être humain !

Le constat de base est simple : l'humain est accessible, prévisible, et surtout exposé en permanence via sa boîte mail, ses outils de messagerie et ses réseaux sociaux professionnels. Et contrairement à un système informatique, il ne se met pas à jour automatiquement ! Une bonne habitude acquise en formation peut rapidement se perdre si elle n'est pas entretenue.

Et c'est le problème de la formation cybersécurité comme on la voit le plus souvent : elle donne de l'information, mais elle ne crée pas de réflexe. Et face à une attaque bien construite, c'est le réflexe qui fait la différence, pas le souvenir d'une slide vue six mois plus tôt.

Biais cognitifs et phishing : pourquoi chaque collaborateur réagit différemment aux attaques ?

C'est l'un des enseignements les plus frappants qui ressort des études menées sur les biais cognitifs appliqués à la cybersécurité. On sait depuis longtemps que les attaquants exploitent des leviers psychologiques : stress, appât du gain, sentiment d'autorité ou encore la curiosité. Par contre, ce qui est assez nouveau comme information, c'est à quel point ces leviers varient d'une personne à l'autre.

Une étude menée sur 27 000 simulations d'attaques auprès de 5 700 utilisateurs uniques a permis de le mesurer concrètement. Le protocole consistait envoyer à chaque utilisateur au moins deux types d'attaques différents et observer s'ils tombaient dans le même piège à chaque fois ou s'ils étaient sensibles à certains biais plutôt qu'à d'autres. Le résultat est clair : 89 % des utilisateurs sont sensibles à un type de biais spécifique et résistent mieux aux autres.

Ce qu'il faut comprendre, c'est que la personne qui va cliquer sur un mail qui joue sur l'urgence et l'autorité ("Votre dirigeant vous demande de traiter ce virement immédiatement") n'est pas forcément celle qui va mordre à l'hameçon d'une fausse promotion. Et vice-versa. C'est pour cette raison que former tout le monde de la même façon, ce n'est pas forcément la méthode la plus efficace !

Retour de congé, fin d'année : les périodes où vos collaborateurs sont les plus vulnérables

Il y a un autre facteur que la formation cybersécurité classique ne prend pas en compte : c'est la temporalité. Un collaborateur formé et vigilant en septembre peut être bien plus vulnérable en janvier, au retour des fêtes et submergé par un volume de mails inhabituel.

Les études comportementales sur les simulations d'attaques montrent que certaines périodes de l'année font mécaniquement baisser la vigilance. Retour de congé, périodes de forte activité, fin d'année… Ce sont ces fenêtres que les attaquants connaissent et exploitent avec plaisir. Les campagnes de phishing ne sont pas lancées au hasard dans le calendrier !

Ce que ça implique pour une DSI, c'est que la sensibilisation ne peut pas être un événement ponctuel. Bien au contraire, elle doit être continue, et idéalement calée sur les moments où le risque est le plus élevé.

Simulation de phishing en entreprise : comment ça fonctionne et pourquoi c'est efficace

Pour faire une métaphore simple : on n'apprend pas à conduire en lisant le code de la route. On apprend en étant au volant, en faisant des erreurs dans un cadre sécurisé, et en comprenant pourquoi on a fait une erreur au moment où on la fait.

La sensibilisation par simulation, c'est la même chose ! On envoie à un collaborateur un faux mail de phishing reproduisant fidèlement les techniques utilisées par de vraies attaques : fausse demande de changement de RIB, faux mail de son dirigeant, fausse notification d'un outil qu'il utilise quotidiennement. S'il clique, il reçoit immédiatement une explication sur ce qu'il aurait dû repérer. L'apprentissage se fait à chaud, dans le contexte exact où l'erreur a eu lieu.

Ce format a plusieurs avantages sur la formation classique. Déjà, cela permet de créer un réflexe, tandis que la formation cybersécurité crée uniquement une connaissance. Cela permet également de mesurer objectivement le niveau de chaque collaborateur. Et pour finir, il permet surtout d'adapter le contenu et la difficulté à chaque profil, plutôt que de diffuser le même message à tout le monde.

Former ses salariés à la cybersécurité : guide étape par étape

• Lancez une première campagne de simulation multi-biais pour établir une base : qui est sensible à l'urgence, à l'autorité, à la curiosité ? Sans cette cartographie initiale, impossible de personnaliser quoi que ce soit.
• Calquez vos campagnes sur les périodes à risque : rentrée de janvier, retours de vacances, clôtures comptables. Ne lancez pas vos simulations au hasard dans le calendrier — les attaquants, eux, ne le font pas.
• Rendez le feedback immédiat et non punitif : quand un collaborateur clique sur un faux phishing, la page qui s'affiche doit expliquer pourquoi c'était un piège, pas faire honte. C'est à chaud que l'apprentissage est le plus efficace.
• Segmentez vos contenus par profil de vulnérabilité : des modules courts et ciblés par biais identifié, plutôt qu'une présentation générale pour tout le monde en même temps.
• Suivez la progression individuelle dans le temps, pas seulement le taux de clic global. Le bon indicateur, c'est : est-ce que ce collaborateur s'améliore d'une simulation à l'autre ?
• Augmentez progressivement la difficulté pour les profils qui progressent. Un dispositif trop facile crée un faux sentiment de sécurité, aussi dangereux que l'absence de formation.

Formation cybersécurité 2026 personnalisée : ce que la data permet de faire aujourd'hui

Ce que les données permettent de faire aujourd'hui va plus loin que la simple simulation. En analysant l'historique des simulations pour chaque utilisateur (quels types d'attaques l'ont touché, à quelles périodes, avec quelle évolution dans le temps..), il devient possible de construire un programme de sensibilisation qui s'adapte dynamiquement à chaque profil.

Un collaborateur qui progresse voit la difficulté des simulations augmenter ; et au contraire, un collaborateur qui montre des signes de fragilité sur une période donnée reçoit des contenus de renforcement ciblés.

C'est un changement de fonctionnement assez profond pour une DSILa DSI est la direction des systèmes d'informations d'une organisation.. La sensibilisation à la cybersécurité n'est plus une case à cocher une fois par an dans le plan de formation, c'est un dispositif vivant, qui s'appuie sur la data pour être utile au bon moment, pour la bonne personne.

On a abordé ce sujet en détail dans notre podcast, avec Achraf Hamid, Data Scientist et responsable IA chez Mailinblack. N'hésitez pas à aller l'écouter :)