D’après une étude de Sharp Europe, présentée le 7 février 2025, les salariés français estiment ne pas être prêts à détecter et à prévenir une cyberattaque sur leur lieu de travail. L’essor de l’intelligence artificielle et l’absence de formation en cybersécurité tendent à renforcer ce sentiment.
Une étude menée par Sharp Europe dans 11 pays, dont la France, auprès de 11 000 salariés, révèle que plus de 8 salariés sur 10 s’estiment insuffisamment préparés à repérer et prévenir une cyberattaque au travail. 20 % se disent même plus préoccupés qu’il y a un an à l’idée de tomber dans les filets des cybercriminels et de compromettre leur entreprise.
Cette peur semble renforcée par l’émergence de l’intelligence artificielle : 26 % des salariés français interrogés considèrent l’IA comme une source d’inquiétude, et 24 % se disent incapables de détecter une cyberattaque exploitant l’IA, comme un e-mail de phishing sophistiqué.
Des formations insuffisantes
Sharp Europe met en lien cette préoccupation avec le manque de formations dispensées par les employeurs ces deux dernières années. Pourtant, « les technologies évoluant constamment, la formation à la cybersécurité doit suivre le même rythme », souligne Roland Singer, vice-président des services informatiques de Sharp Europe. En effet, 58 % des salariés de PME françaises déclarent n’avoir suivi aucune formation en cybersécurité, et 40 % n’en ont tout simplement jamais reçu, contre 24 % à l’échelle européenne.
« Il est donc de la responsabilité des dirigeants de PME de mettre en place un programme de formation solide en matière de cybersécurité, dispensé et mis à jour régulièrement. Ce faisant, ils peuvent maintenir un haut niveau de sensibilisation parmi leurs employés et s’assurer que les contenus sont adaptés aux menaces actuelles. » ajoute Roland Singer.
Des formations à l’efficacité contestée
Une récente étude interne de Mimecast remet cependant en question l’efficacité des programmes de sensibilisation. L’éditeur en cybersécurité a mené une analyse auprès de 42 000 clients, comparant le nombre d’incidents détectés entre les entreprises ayant mis en place des formations de sensibilisation (y compris celles de Mimecast) et celles n’en ayant pas. Résultat : le taux de réduction des incidents chez les entreprises ayant déployé des initiatives de sensibilisation (Awareness Training) n’était que de 0,00015 % – un impact quasi nul.
Les formations, elles, évoluent progressivement vers des formats plus ciblés : elles sont désormais dispensées en temps réel, intégrées aux outils de collaboration et capables d’analyser les remontées des logiciels de cybersécurité. L’objectif ? Identifier les erreurs propres à chaque utilisateur et proposer une formation personnalisée, au cas par cas.
