La formation est la responsabilité de tous/toutes
La formation à la cybersécurité est l’un des outils les plus puissants dont disposent les organisations pour se défendre contre les cybermenaces modernes, mais trop souvent, elle est considérée comme un exercice ponctuel. Tout commence par un seul clic. Un·e employé·e distrait, pressé·e de vider sa boîte de réception avant la fin de la journée, ouvre ce qui semble être une facture de routine. En quelques minutes, les pirates informatiques s’infiltrent dans le réseau – un scénario qui se produit chaque jour dans des organisations partout au Canada.
Herbert A. Simon, sociologue lauréat du prix Nobel, affirmait que l’efficacité organisationnelle dépendait moins du génie des individus que de la coordination structurée d’un grand nombre d’entre eux grâce à des règles, des routines et des systèmes de communication. Cette idée souligne pourquoi la formation à la cybersécurité doit dépasser le cadre des services de TI et devenir une pratique régulière à l’échelle de l’organisation.
Selon le sondage 2025 sur la cybersécurité de CIRA, 98 % des organisations canadiennes offrent une certaine forme de formation en cybersécurité. C’est un chiffre solide, mais la fréquence de ces formations n’a pas suivi le rythme de l’évolution des menaces.
La plupart des organisations forment leurs employé·es au même rythme qu’il y a trois ans, malgré l’augmentation des menaces. Parmi les organisations qui proposent des formations, 29 % le font une fois par an ou moins, 57 % une fois par trimestre et seulement 14 % une fois par mois, ce qui est pratiquement inchangé depuis 2022.
L’erreur humaine demeure l’un des plus grands risques pour la sécurité. Un clic malavisé peut déclencher une cyberattaque dévastatrice. La montée des menaces exige davantage de formations et des réponses plus rapides.
N’oubliez pas la courbe de l’oubli
Pourquoi plus de formation est-il préférable? D’une part, de nombreuses recherches montrent que nous oublions rapidement les informations que nous avons apprises lorsque nous ne faisons pas un effort conscient pour les retenir. La « courbe de l’oubli » montre que les gens oublient 50 % des nouvelles informations en une heure, 70 % en 24 heures et jusqu’à 90 % après une semaine. C’est exactement ainsi que surviennent les lacunes critiques en matière de formation, non pas parce que les employé·es s’en moquent, mais parce que les informations s’estompent tout simplement avec le temps.
Il n’est donc pas surprenant que des formations plus fréquentes améliorent la rétention des connaissances. Une étude réalisée en 2023 a révélé que les employé·es qui avaient suivi des simulations hebdomadaires d’hameçonnage étaient 2,74 fois plus efficaces pour réduire les risques d’hameçonnage que ceux/celles qui avaient suivi une formation trimestrielle.
Conclusion : quelle que soit la richesse, l’intérêt et l’utilité d’une séance de formation, la capacité de vos employé·es à se souvenir de ce qu’ils/elles ont appris et à le mettre en pratique efficacement au quotidien dépend de la répétition et du renforcement.
Gardez une longueur d’avance sur le rythme effréné du changement
La faillibilité de la mémoire n’est qu’une partie du problème. La rapidité avec laquelle évolue le paysage de la cybersécurité, en particulier avec l’accélération de l’adoption de l’IA générative, est un autre facteur clé. Les données du sondage de cette année ont révélé que plus de quatre personnes sur dix (42 %) ont été victimes d’une violation, contre 29 % en 2022. Même les professionnel·les chevronné·es de la cybersécurité ont du mal à suivre le rythme, sans parler des non-spécialistes. Les attaques basées sur l’IA générative sont plus évolutives, personnalisées, adaptatives et convaincantes, ce qui rend la tâche des défenseur·es encore plus difficile.
Les organisations qui augmentent la fréquence et la qualité de leurs formations en cybersécurité sont mieux placées pour faire face à ces menaces en constante évolution. Si trop de formations peut surcharger les employé·es, une légère augmentation de leur fréquence (en particulier parmi les groupes à haut risque) peut constituer un moyen rentable de réduire les risques dans toute organisation.
Dans un monde où un simple clic peut compromettre toute une organisation, des formations fréquentes et de haute qualité en matière de cybersécurité constituent l’un des moyens de défense les plus efficaces dont vous disposez.
Découvrez comment la formation en cybersécurité de CIRA peut aider votre organisation à améliorer votre posture de sécurité.
Eric est gestionnaire en marketing produit pour les Services de cybersécurité de CIRA. Son expérience en marketing numérique l’a amené à apprécier le rôle vital que jouent les données pour les organisations et les particuliers canadiens, ainsi que la nécessité de les protéger. Eric est titulaire d’un MBA en Commerce International de Sup de Co La Rochelle.
