Qu’est-ce que le risque humain
Le risque humain n’est pas un concept abstrait. C’est une réalité mesurable : 68 % des compromissions de données impliquent un élément humain selon le Verizon Data Breach Investigations Report 2024. Ce chiffre inclut le phishing, l’utilisation d’identifiants volés, les erreurs de configuration et toutes les formes d’ingénierie sociale.
Concrètement, le risque humain est la probabilité qu’un collaborateur, par une action ou une inaction, ouvre la porte à un attaquant. Ce n’est pas une question de compétence ou d’intelligence. Les biais cognitifs — urgence, autorité, habitude — sont universels. Un directeur financier qui valide un virement frauduleux sous pression, un développeur qui réutilise un mot de passe, un assistant qui ouvre une pièce jointe piégée : les scénarios changent, le mécanisme est le même.
Pourquoi les attaquants ciblent les humains
L’explication est économique. Exploiter une vulnérabilité technique (zero-day, faille logicielle) coûte cher en temps et en compétences. Envoyer un email de phishing convaincant coûte presque rien et fonctionne à grande échelle.
Le rapport IBM Cost of a Data Breach 2024 chiffre le coût moyen d’une compromission initiée par phishing à 4,88 millions de dollars. Pour une PME française, une attaque réussie représente en moyenne entre 25 000 et 500 000 euros de pertes directes (remédiation, arrêt d’activité, notification CNIL), sans compter l’atteinte à la réputation.
Le CERT-FR de l’ANSSI confirme que le phishing reste le premier vecteur d’intrusion dans les incidents traités en France, toutes tailles d’entreprise confondues.
Les comportements à risque
Tous les collaborateurs ne présentent pas le même profil de risque. Les comportements suivants sont les plus fréquemment exploités par les attaquants :
Cliquer sur des liens de phishing
Le comportement le plus mesuré et le plus direct. Un email qui imite un fournisseur, une banque ou un service interne suffit à déclencher un clic. Le spear phishing personnalisé atteint des taux de réussite de 30 à 50 % en entreprise lors des premières campagnes de test.
Réutiliser des mots de passe
Un mot de passe utilisé à la fois sur un compte personnel et professionnel est une porte ouverte. Quand le service personnel subit une fuite (et il en subit régulièrement), les identifiants se retrouvent dans des bases vendues sur le dark web. Les attaquants les testent ensuite par credential stuffing sur les systèmes professionnels.
Partager des identifiants
Transmettre un mot de passe par email, Teams ou post-it. Partager un compte “pour aller plus vite.” Communiquer un code MFA par téléphone à un faux support technique. Ces pratiques contournent les protections existantes.
Contourner les contrôles de sécurité
Désactiver l’antivirus “parce qu’il ralentit le poste.” Utiliser un VPN personnel pour accéder à un site bloqué. Installer un logiciel non autorisé. Transférer des fichiers professionnels vers un email personnel. Chaque contournement crée une brèche.
Erreurs de configuration
Rendre un dossier partagé accessible à tous au lieu d’un groupe restreint. Laisser un serveur de test exposé à Internet. Oublier de révoquer les accès d’un prestataire. Ces erreurs ne sont pas de la négligence — elles résultent de processus mal définis et d’une charge de travail élevée.
Shadow IT et appareils personnels
Utiliser WhatsApp pour échanger des documents professionnels. Stocker des fichiers clients sur un Google Drive personnel. Accéder aux emails professionnels depuis un téléphone sans protection. Le rapport de l’ANSSI sur l’état de la menace identifie le shadow IT comme un facteur aggravant dans de nombreux incidents.
Mesurer le risque humain
Ce qui ne se mesure pas ne se gère pas. Le risque humain se quantifie à travers quatre catégories d’indicateurs.
Métriques de simulation de phishing
Les campagnes de simulation de phishing produisent les métriques les plus directes :
- Taux de clic : pourcentage de collaborateurs qui cliquent sur le lien piégé. La moyenne française se situe entre 20 et 35 % lors de la première campagne, selon les données de KnowBe4 Phishing by Industry Benchmarking Report 2024.
- Taux de signalement : pourcentage qui signalent l’email comme suspect. C’est souvent l’indicateur le plus révélateur de la maturité d’une organisation. Un taux de signalement élevé (>30 %) compense largement un taux de clic résiduel.
- Temps avant clic : combien de secondes s’écoulent entre la réception et le clic. Les clics dans les 60 premières secondes indiquent un réflexe automatique. Les clics après 5 minutes indiquent une hésitation.
- Taux de soumission : parmi ceux qui cliquent, combien vont jusqu’à entrer leurs identifiants sur la fausse page. C’est le vrai indicateur de compromission potentielle.
Score de risque par collaborateur
Un score de risque humain agrège plusieurs signaux :
| Signal | Poids type | Source |
|---|---|---|
| Résultats des simulations (clic, signalement) | 40 % | Campagnes de phishing |
| Complétion des formations | 20 % | Plateforme de sensibilisation |
| Historique d’incidents | 20 % | Tickets IT, alertes SOC |
| Comportement de signalement | 20 % | Bouton de signalement email |
Ce score permet de segmenter la population en niveaux de risque (faible, modéré, élevé) et d’adapter la fréquence et la difficulté des simulations.
Analyse par service
Le risque n’est pas distribué uniformément. Les services comptabilité, RH et direction sont systématiquement plus ciblés par les attaquants. L’analyse par service révèle où concentrer les efforts :
- Comptabilité/Finance : cible principale des fraudes au président (BEC). Accès aux virements.
- RH : reçoit des pièces jointes en permanence (CV, documents). Vecteur naturel de malware.
- Direction : cible du whaling. Peu de temps pour vérifier, autorité élevée.
- IT/Support : cible du pretexting. Réflexe d’aider, accès aux systèmes.
Réduire le risque humain
Formation continue, pas formation annuelle
Une session d’e-learning annuelle ne change pas les comportements. Le SANS Security Awareness Report 2024 démontre que les organisations qui forment leurs employés mensuellement réduisent leur taux de clic de 50 à 75 % en 12 mois, contre 10 à 20 % pour les programmes annuels.
La formation efficace est :
- Fréquente : au minimum une simulation par mois, un micro-module par trimestre
- Contextuelle : l’employé qui clique sur une simulation reçoit immédiatement un retour expliquant ce qu’il a manqué
- Progressive : la difficulté augmente avec le niveau de maturité du collaborateur
Simulations réalistes
Les simulations de phishing ne servent pas à piéger les gens. Elles servent à créer des réflexes. Une simulation efficace reproduit les scénarios que les attaquants utilisent réellement : fausse notification Microsoft 365, faux partage SharePoint, fausse facture fournisseur, faux message du DRH.
La variété des scénarios est aussi importante que la fréquence. Un employé qui reconnaît un faux email de banque peut très bien tomber sur un faux email de livraison Chronopost.
Renforcement positif
Punir un employé qui clique sur une simulation est contre-productif. Cela crée de la peur, pas de la vigilance. Les recherches en psychologie comportementale montrent que le renforcement positif produit des changements de comportement plus durables.
Concrètement :
- Valoriser les signalements : chaque email suspect signalé est une victoire pour la sécurité de l’entreprise. Le reconnaître publiquement ou avec un système de points.
- Pas de honte publique : les résultats individuels restent confidentiels. Les résultats agrégés sont partagés pour créer une dynamique collective.
- Transformer l’erreur en apprentissage : un clic sur une simulation déclenche un micro-module de 2 minutes, pas une convocation RH.
Contrôles techniques comme filet de sécurité
Le risque humain ne se réduit pas uniquement par la formation. Les contrôles techniques servent de filet quand l’humain fait une erreur — et il en fera toujours.
- MFA : même si un collaborateur communique son mot de passe, le deuxième facteur bloque l’accès. C’est la mesure au meilleur rapport coût/efficacité.
- SPF, DKIM, DMARC : protègent contre l’usurpation de votre propre domaine. Vérifiez votre configuration avec l’outil de vérification email.
- EDR : détecte et bloque les comportements suspects même après un clic sur un lien malveillant.
- Filtrage email : bloque la majorité des emails de phishing avant qu’ils n’atteignent la boîte de réception. Mais aucun filtre n’est parfait — d’où la nécessité de former les gens.
Culture sécurité
La réduction durable du risque humain passe par la construction d’une culture sécurité. Quand les collaborateurs comprennent pourquoi les mesures existent (et pas seulement qu’elles existent), ils les appliquent naturellement au lieu de les contourner.
La culture sécurité transforme le signalement d’un email suspect de “tâche supplémentaire” en “réflexe automatique.” C’est la différence entre une organisation qui subit les attaques et une organisation qui les détecte avant qu’elles ne causent des dégâts.
Risque humain et direction
L’impact financier
Le risque humain n’est pas un sujet IT. C’est un risque opérationnel qui affecte directement le bilan :
- Coût moyen d’une compromission impliquant le facteur humain : 4,88 M$ selon IBM
- Coût d’une violation RGPD : jusqu’à 4 % du chiffre d’affaires annuel mondial. La CNIL a infligé 471 millions d’euros d’amendes depuis l’entrée en vigueur du RGPD
- Coût d’un ransomware : la rançon n’est que la partie visible. L’arrêt d’activité, la remédiation, la notification clients et la perte de confiance représentent souvent 5 à 10 fois le montant demandé
La responsabilité de la direction (NIS2)
La directive européenne NIS2, transposée en droit français, introduit une responsabilité personnelle des dirigeants en matière de cybersécurité. Les points à retenir :
- Les organes de direction doivent approuver les mesures de gestion des risques de cybersécurité
- Les dirigeants doivent suivre une formation en cybersécurité
- La responsabilité personnelle des dirigeants peut être engagée en cas de manquement
- Les sanctions peuvent atteindre 10 millions d’euros ou 2 % du CA mondial
Présenter le risque humain au comité de direction
Les métriques techniques ne parlent pas à un directeur financier. Ce qui parle :
- Le taux de clic traduit en exposition financière : “25 % de nos 100 collaborateurs cliqueraient sur un phishing. Cela représente 25 points d’entrée potentiels pour un attaquant.”
- L’évolution : “En 6 mois de simulations, notre taux de clic est passé de 32 % à 8 %. Notre taux de signalement est passé de 3 % à 45 %.”
- Le benchmark sectoriel : “Notre taux de clic est en dessous de la moyenne de notre secteur (12 % contre 22 %).”
- Le ROI : le coût d’un programme de simulation de phishing rapporté au coût d’un incident évité.
Assurance cyber
Les assureurs cyber exigent de plus en plus des preuves de sensibilisation des collaborateurs pour couvrir les risques. Un programme de simulation de phishing documenté avec des métriques en amélioration est devenu un prérequis pour obtenir ou renouveler une police d’assurance cyber à des conditions raisonnables.
Mesurez le risque humain de votre entreprise avec une campagne de simulation de phishing. Identifiez les comportements à risque avant que les attaquants ne le fassent.
Questions fréquentes
Qu'est-ce que le risque humain en cybersécurité ?
Le risque humain désigne la vulnérabilité créée par les actions ou les inactions des collaborateurs : cliquer sur un email de phishing, réutiliser un mot de passe, partager des identifiants, ignorer une alerte de sécurité ou mal configurer un système. Ce n'est pas un défaut individuel mais une caractéristique systémique de toute organisation où des humains interagissent avec des systèmes d'information.
Comment mesurer le risque humain dans mon entreprise ?
Quatre indicateurs complémentaires : 1) Le taux de clic sur les simulations de phishing (pourcentage d'employés qui tombent dans le piège). 2) Le taux de signalement (pourcentage qui reportent l'email suspect). 3) Les résultats de quiz de sensibilisation. 4) L'historique d'incidents liés à l'erreur humaine. Combinés, ces indicateurs donnent un score de risque humain par collaborateur et par service.
Quel pourcentage des cyberattaques est lié à l'erreur humaine ?
68 % des compromissions impliquent un élément humain selon le Verizon Data Breach Investigations Report 2024. Ce chiffre inclut le phishing, l'utilisation d'identifiants volés, les erreurs de configuration et l'ingénierie sociale. Le rapport IBM Cost of a Data Breach 2024 estime le coût moyen d'une compromission causée par du phishing à 4,88 millions de dollars.
Comment réduire le risque humain ?
La réduction passe par cinq axes : formation continue (pas une session annuelle), simulations de phishing régulières et réalistes, renforcement positif (valoriser les signalements plutôt que punir les erreurs), contrôles techniques comme filet de sécurité (MFA, filtrage email, EDR), et construction d'une culture sécurité sur le long terme.
C'est quoi un score de risque humain ?
Un score de risque humain est une métrique composite qui agrège les résultats de simulations de phishing, le taux de signalement d'emails suspects, la complétion des formations et l'historique d'incidents pour quantifier le niveau de risque de chaque collaborateur et de chaque service. Il permet de cibler les efforts de formation et de mesurer les progrès dans le temps.