Une enquête menée
auprès de 500 entreprises françaises révèle des méthodes de formation
obsolètes, des comportements à risque et un besoin urgent de protection en
temps réel des collaborateurs.
Riot, la plateforme de
cyberprotection des employés, les résultats d’une enquête approfondie réalisée
avec IPSOS début 2025 auprès de 500 entreprises françaises, sur l’état de la
sensibilisation à la cybersécurité. L’étude met en évidence des failles
majeures, tout en proposant des pistes pour une approche plus adaptée aux défis
croissants de la cybersécurité.
Les cybermenaces
évoluent chaque jour – mais 1 salarié sur 3 peine à se sentir concerné par ces
enjeux.
Avec les avancées
récentes de l’IA générative, les hackers sont désormais capables de cibler
n’importe quel salarié à l’aide d’attaques à la fois personnalisées et
sophistiquées.
Résultat : une hausse de 1 265% des incidents de phishing
depuis le lancement de ChatGPT fin 2022, et une multiplication des fuites de
données qui déstabilisent les entreprises.
Malheureusement,
l’étude Riot/IPSOS révèle que les formations actuelles en cybersécurité ne sont
pas à la hauteur de la professionnalisation des menaces.
Alors que 68% des entreprises interrogées disposent d’une solution de sensibilisation, 61% de ces solutions se résument à des communications ponctuelles, telles que des newsletters, guides ou PDF.
Les modules vidéo pédagogiques sont également
courants, utilisés dans 45% des cas.
Cette approche passive
favorise le désengagement : plus d’un tiers des salariés disent se sentir peu ou pas
concernés par la cybersécurité. 72% des collaborateurs y consacrent seulement 1
à 5 heures par an, et 23% reconnaissent ne s’y impliquer que très rarement.
Parmi les moins engagés, 64% invoquent un manque de temps, révélateur d’un
intérêt limité ou d’un manque de pertinence perçue.
Il suffit d’un seul
salarié négligent pour mettre en danger toute l’entreprise. La cybersécurité
devrait donc être l’affaire de tous — mais ces résultats prouvent que c’est
rarement le cas.
La bonne nouvelle ? Une minorité
d’entreprises misent sur des formats interactifs et immersifs, comme les
chatbots éducatifs (18%) ou les serious games (32%). Ces formats, plus
engageants, restent cependant très minoritaires — et pourtant les données
montrent qu’ils génèrent en moyenne 7 points d’engagement supplémentaires par
rapport aux formats traditionnels.
Des habitudes à risque,
quel que soit le poste ou la formation
Au-delà du faible
engagement, l’étude met en lumière des lacunes inquiétantes dans les pratiques
de base en cybersécurité. Près de la moitié des employés interrogés (48%) ne
sauraient pas vers qui se tourner en cas d’incident.
Les mots de passe
posent aussi problème : malgré les outils modernes (pass keys, gestionnaires de
mots de passe), 57% des sondés déclarent encore conserver leurs mots de passe
de manière risquée — directement sur leur téléphone, ordinateur ou sur un
papier. Plus surprenant encore : ce réflexe risqué touche aussi bien les
stagiaires que les cadres dirigeants.
Autre faille majeure : 44% des utilisateurs
déclarent utiliser le même mot de passe sur différents services, ce qui les
expose directement à des attaques de type credential stuffing (ou bourrage
d'identifiant en français). Cette technique consiste à tester massivement, via
des logiciels ou manuellement, des couples identifiant/mot de passe issus de
fuites de données pour accéder à des comptes en ligne.
Le taux de mauvaises
pratiques est similaire entre les salariés formés et non formés, ce qui
interroge l’efficacité réelle des approches actuelles de sensibilisation.
Le phishing reste la
menace n°1 – mais un salarié sur 4 ne sait pas le définir
Le phishing est
toujours la principale menace en 2025 : au moins 90% des cyberattaques
commencent par un e-mail de phishing, et les outils d’IA rendent ces attaques
plus ciblées et plus fréquentes. Pourtant, l’étude Riot/IPSOS montre que la
formation actuelle ne prépare pas suffisamment les employés.
Seuls 76% des employés
interrogés savent définir correctement le phishing – soit un salarié sur quatre
qui ne saurait pas reconnaître la principale menace d’aujourd’hui, même après
avoir suivi des formations variées. Fait notable : 20% des employés se
déclarant compétents en cybersécurité ne parviennent pas à identifier
correctement une attaque de phishing.
Activer
l’authentification à deux facteurs (2FA) est l’un des meilleurs moyens de s’en
protéger. Pourtant, seuls 30% des répondants déclarent l’utiliser
systématiquement – laissant 70% avec au moins un compte exposé.
Cette étude est un
signal d’alarme – et un appel à passer à l’action.
Même si, dans
l’ensemble, les employés suivent leurs formations, celles-ci ne produisent pas
les effets escomptés et laissent des failles et vulnérabilités critiques dans
nos défenses. Bien que l’authentification forte fasse partie des pratiques
recommandées, cette étude montre qu’elle est encore trop rarement appliquée,
laissant notre ligne de défense vulnérable. De même pour la réutilisation des
mots de passe.
Comme les hackers
utilisent l’IA pour identifier et exploiter ces failles, chaque jour où elles
ne sont pas corrigées est un jour où nous pourrions être ciblés. Les
entreprises et leurs employés doivent donc adopter une posture de sécurité
proactive qui permet de contenir ces failles.
Pour Benjamin Netter,
fondateur et CEO de Riot, les résultats de cette enquête révèlent des vérités
difficiles à ignorer.
« Les cybermenaces évoluent plus vite que notre capacité à former les
équipes. Trop d’entreprises s’appuient encore sur des formations qui ont du mal
à convaincre les employés.
Le rapport IPSOS est un vrai signal d’alarme. Il confirme toute la pertinence de la mission que nous nous sommes fixée chez Riot : protéger plus de dix millions d’employés d’ici 2027. Les hackers innovent en permanence, et il est urgent de bâtir une culture cyber qui pousse à l’action, et pas uniquement à une meilleure culture cyber. »