Les formations anti-phishing montrent leurs limites selon une étude américaine. Malgré des années d’efforts et des millions investis, les employés cliquent toujours. L’efficacité réside désormais dans les outils, pas dans la sensibilisation.
En bref
- Une étude de grande ampleur sur 19 500 employés montre que les formations anti-phishing actuelles ne réduisent pas les clics sur les liens frauduleux.
- Les sessions dites « intégrées » n’ont fait baisser les erreurs que de 2%, malgré les coûts élevés pour les entreprises.
- Trois quarts des utilisateurs consultent les modules de formation moins d’une minute, voire les ferment immédiatement.
- Les chercheurs recommandent de miser sur la technologie : authentification à deux facteurs et gestionnaires de mots de passe.
Les formations anti-phishing sont un pilier de la cybersécurité en entreprise depuis près de vingt ans. Pourtant, une étude présentée à la conférence Black Hat 2025 remet sérieusement en question leur utilité. Selon Generation NT, les chercheurs de l’Université de Californie à San Diego ont suivi près de 19 500 employés du secteur de la santé pendant huit mois. Leur conclusion est claire : ni les formations annuelles obligatoires ni les campagnes de simulation de phishing ne permettent de réduire significativement les erreurs humaines.
Des formations massives mais peu engageantes
L’expérience, détaillée par UC San Diego Today, est la plus vaste jamais réalisée sur le sujet. Les chercheurs ont envoyé dix types d’e-mails piégés différents, inspirés de vraies attaques. Les résultats montrent une tendance inquiétante : le taux d’échec augmente avec le temps. Au début de l’expérience, seuls 10% des employés cliquaient sur un lien piégé. Huit mois plus tard, plus de la moitié l’avaient fait au moins une fois.
Les tests ont également révélé de fortes variations selon le type d’appât. Par exemple, moins de 2% des destinataires ont répondu à un e-mail leur demandant de mettre à jour leur mot de passe Outlook. En revanche, plus de 30% ont cliqué sur un message prétendant annoncer un changement de politique de congés. Ce décalage illustre la puissance des leviers psychologiques liés à la vie professionnelle quotidienne, que les formations traditionnelles abordent rarement de manière concrète.
L'essentiel Cybersécurité, IA & Tech
Rejoignez la communauté. 3 fois par semaine, recevez l'analyse des tendances par Marc Barbezat. Pas de spam, juste de l'info.
Autre constat majeur : l’engagement des salariés dans les formations reste très faible. Trois quarts des participants n’ont consacré qu’une minute ou moins aux modules intégrés proposés après une simulation. Un tiers d’entre eux ont même fermé la page sans la lire. Dans ces conditions, les apports pédagogiques sont quasi inexistants, d’autant que ces programmes reposent souvent sur des contenus statiques et génériques.
Un coût élevé pour une efficacité réduite
Les formations représentent un investissement important pour les entreprises, tant en temps qu’en budget. Pourtant, les chercheurs estiment que leur rendement est marginal : la probabilité de cliquer sur un lien malveillant n’a diminué que de 2% après huit mois. Dans un contexte où le phishing reste le principal vecteur d’intrusion selon IBM (16% des incidents), cette efficacité réduite interroge.
Le secteur de la santé, particulièrement visé, illustre l’ampleur du problème. En 2023, le département américain de la santé a recensé plus de 725 fuites majeures de données, touchant 133 millions de dossiers. Près de 460 d’entre elles étaient liées à des attaques par ransomware, souvent initiées par des e-mails frauduleux. Les conséquences vont bien au-delà des pertes financières, puisqu’elles affectent la disponibilité des soins et la confiance des patients.
Les auteurs de l’étude soulignent que l’approche purement éducative montre ses limites face à des stratégies d’attaque toujours plus sophistiquées. Ils notent aussi que la fatigue cognitive des employés, confrontés à des consignes multiples et changeantes, favorise les erreurs. Autrement dit, l’humain reste le maillon faible, non par manque de sensibilisation, mais parce que les mécanismes d’attention et de confiance sont exploités à dessein par les attaquants.
La technologie comme relais essentiel
Les chercheurs recommandent de déplacer les ressources vers des mesures techniques à fort impact. L’authentification à deux facteurs (2FA) et les gestionnaires de mots de passe apparaissent comme des solutions plus rentables et plus fiables. Le principe est simple : même si un employé clique sur un lien frauduleux, ces outils bloquent l’accès aux systèmes sensibles. En pratique, ils réduisent fortement la surface d’attaque et limitent les conséquences d’une erreur humaine.
Cette approche technocentrée ne supprime pas le besoin de formation, mais elle l’oriente différemment. L’objectif n’est plus de transformer chaque employé en expert, mais de lui fournir des systèmes sûrs par défaut. Les modules pédagogiques devraient ainsi être repensés pour favoriser la compréhension des signaux d’alerte concrets, comme les URL anormales ou les demandes urgentes inhabituelles, plutôt que de simples rappels de bonnes pratiques.
En combinant automatisation, détection comportementale et authentification renforcée, les entreprises peuvent passer d’une posture réactive à une sécurité plus prédictive. Les résultats de l’étude de l’UC San Diego rappellent enfin que la confiance ne suffit pas : la protection doit être structurelle.
Zéro paywall. Zéro pub.
DCOD reste en accès libre grâce à vos contributions. Chaque café compte.
