A l’heure où les cyberattaques ressemblent dorénavant à des faits divers quotidiens dans la presse (+30% d’attaques par ransomwares constatées en 2023 selon l’ANSSI), la cyber sécurité devient d’année en année un domaine dans lequel chaque entreprise ou administration se doit d’identifier le sujet comme majeur parmi ses priorités.

 

Pour protéger leurs informations et le fonctionnement même de leurs services, les entreprises ou administrations doivent bien évidemment investir dans des solutions de protection, de détection ou de réaction qui seront les plus adéquates à leurs besoins.

 

Mais la technologie ne fait pas tout. Il est impossible de se protéger uniquement avec des outils. Toute la sécurité doit être pilotée par une gouvernance globale et prendre en compte un volet important qui est le facteur humain.

 

Quel que soit le métier de l’entreprise, les outils et les données sont manipulés in fine... par des êtres humains. Des êtres humains, qui n’agissent pas toujours de manière rationnelle, et pour qui, l’objectif quotidien, est d’assurer leurs tâches pour lesquelles ils sont payés, pas de faire de la cybersécurité.

 

La technologie évolue quotidiennement, les menaces aussi.

 

Un grand nombre d’utilisateurs des systèmes digitaux ne sont pas à l’aise avec leurs outils et leur fonctionnement global.

C’est exactement ce que les attaquants vont exploiter. Utiliser la non-maîtrise des utilisateurs tout en jouant sur les émotions (séduction, peur, urgence...), c’est ce qui s’appelle l’ingénierie sociale.

Le rapport DBIR 2023 de Verizon indique que 74% des compromissions de système d’information impliquent le facteur humain.

 

L’enjeu devient donc de compléter la sécurité par la technologie par de la formation des utilisateurs pour qu’ils apprennent, adaptent ou changent leurs comportements face à des situations qui peuvent être risquées.

 

On peut parler de formation ou de prévention mais le terme le plus couramment utilisé en cyber est sensibilisation. Quel que soit le terme utilisé, la finalité reste la même : faire que les utilisateurs changent leurs habitudes et développent les bons réflexes.

 

Pour cela, les entreprises et administrations ont la charge de définir un programme de sensibilisation qui rassemblera différents types d’actions pour passer les messages dont elles ont besoin en fonction de leurs populations.

 

Le facteur de succès d’un bon programme de sensibilisation est de diversifier les actions et de les étaler dans le temps pour favoriser l’apprentissage.

 

C’est ainsi qu’entrent en jeu les sociétés spécialisées en sensibilisation recensées pour la première fois dans ce panorama qui intègre les acteurs sur le marché Français, Belge et Suisse francophone.

 

Une diversification des acteurs de la sensibilisation observées depuis quelques années

 

Le marché des acteurs de la sensibilisation était historiquement composé de 2 typologies d’acteurs :

·       Les cabinets de conseil ou ESN qui proposent, au-delà des services classiques de sécurité des prestations de sensibilisation. Cela peut aller de la définition de programme de sensibilisation, de la réalisation de supports visuels jusqu’à l’animation de démonstrations d’attaques, de conférences ou d’ateliers.

·       Les plateformes d’e-learning qui proposent dans leur catalogue global des sessions sur le thème de la cybersécurité ou des plateformes qui se sont spécialisées sur le thème de la cybersécurité avec le format classique du e-learning (vidéo, texte, quizz)

 

L’arrivée du digital learning et des sciences comportementales pour optimiser l’efficacité des messages

 

Depuis quelques années, le marché s’est fortement diversifié avec l’arrivée de plusieurs start-ups ayant un regard différent sur l’apprentissage en prenant en compte beaucoup plus les sciences comportementales :

·       Le micro-learning ou comment découper une formation classique de plusieurs heures en capsules de quelques minutes beaucoup plus espacées dans le temps

·       Les activités de rétention d’apprentissage ou comment passer d’un quizz d’évaluation à des activités diversifiées (quizz, flashcards, phrases à compléter, mini-jeux…) dont l’objectif unique est de favoriser la mémorisation dans le temps

·       La gamification ou comment susciter et retenir la motivation et l’engagement des utilisateurs dans le temps en reprenant les codes des jeux (intrigue, objectif, gain, challenge…)

·       Le test ou comment mesurer le changement de comportement. Le plus connu consiste à envoyer des faux emails de phishing pour tester la capacité des utilisateurs à les identifier. Qu’ils soient intégrés aux plateformes de formations ou via des plateformes dédiées qui ont vu le jour depuis quelques années, ces tests sont devenus la norme en termes de sensibilisation dans les entreprises et peuvent avoir un impact important si accompagnés de feedbacks, de formation et de discussions avec les plus vulnérables.

·       Le digital learning ou comment diversifier les canaux de communication en adaptant les formats aux smartphones qui deviennent l’outil principal de consommation de formation ou en utilisant les réseaux sociaux d’entreprises tels que Teams ou Slack permettant à l’utilisateur de se former quand il le souhaite et sous le format qui le souhaite

·       L’adaptive learning ou comment utiliser l’IA pour proposer le parcours de formation personnalisé à l’utilisateur selon son niveau de connaissance, ses résultats et ses temps de réponse aux activités ou aux tests

·       L’intégration des nudges ou comment donner des petits coups de pouce visuels aux utilisateurs pour leur signaler une situation à risque qui sort du quotidien, pour laquelle on lui demande son attention.

 

Les nouveaux outils deviennent de réels coachs au quotidien pour les utilisateurs permettant de les faire monter en compétence dans le temps, à leur rythme et avec le support qui leur convient le mieux.

 

Podcasts et serious game, les grandes nouveautés

 

En termes de supports courts pour initier ou rappeler des messages, les affiches, bandes dessinées et vidéos étaient et restent encore trois formats très utilisés en entreprise. Différents acteurs issus de la communication développent ces supports dédiés à la cybersécurité en reprenant les codes qui fonctionnent dans d’autres secteurs.

 

Le podcast de sensibilisation arrive sur le marché, surfant sur le fort développement de ce support plébiscité de plus en plus par les utilisateurs. Ces podcasts scénarisés, tournés avec des acteurs, mettent dans l’ambiance l’auditeur grâce à ses bruitages et permettent de l’initier de manière innovante sur des situations à risques.

Un support innovant qui devrait voir son marché se développer au même titre que pour la formation en général.

 

Le serious game voit son activité également en pleine expansion. Que ce soit sous le format de jeux de plateaux, de jeux de carte ou d’escape game, ces activités initialement développées par des cabinets de conseils se voient de plus en plus professionnalisés par les acteurs respectifs du marché : éditeurs de jeux ou créateurs d’escape game. Un bon moyen de s’assurer du succès de la forme pour délivrer les messages attendus.

Les créateurs numériques ne sont pas en reste avec le développement de serious game en ligne permettant de démultiplier les participants. Certains proposeront également des activités en réalité virtuelle mais avec le risque que le format desserve ou inhibe totalement le message souhaité. Tout est une question de bon dosage.

 

Un manque cruel de formateurs dédiés avec une fibre pédagogique

 

Alors que le développement des supports numériques a permis de démultiplier les manières de sensibiliser et d’élargir le public ciblé, les activités en présentiel restent une composante importante d’une bonne formation et majoritairement sollicitées par les utilisateurs.

 

Mais à condition qu’il ne s’agisse pas uniquement d’une présentation PowerPoint descendante. Toutes les actions de sensibilisation en présentiel sont très largement animées par des experts en cybersécurité. C’est un avantage car ils connaissent le fond des choses et sont capables au besoin d’aller en profondeur dans les explications. Cependant la présentation d’un sujet complexe à destination d’un public peu averti ne nécessite pas principalement de la connaissance mais de la pédagogie qui est une autre compétence qui s’acquiert.

​

Dans ce panorama, trop peu de sociétés spécialisées dans l’animation de sensibilisation ont été identifiées. A l’heure où les TPE et PME ont besoin de monter en compétence cyber, ces profils alliant connaissance technique et pédagogique, à proximité de leurs clients pour une sensibilisation étalée dans le temps ont besoin d’être développés.

 

A propos du panorama

 

Ce premier panorama a été réalisé sur la base d’un recensement volontaire par les acteurs et par des recherches. Il n’est donc peut-être pas exhaustif pour son lancement mais plus de 90 acteurs ont déjà été identifiés et consultables en détail sur le site.

Les données peuvent être ajoutées ou modifiées grâce via ce lien 

 

​