Comment mesurer l'impact réel d'une sensibilisation cybersécurité

"95 % de taux de complétion." C'est probablement l'indicateur le plus présenté en COMEX… et l'un des moins informatifs. Un collaborateur peut avoir cliqué sur "suivant" 12 fois en regardant son téléphone : il a complété, sans rien apprendre. Pour piloter une démarche de sensibilisation, il faut d'autres indicateurs.

Trois niveaux de mesure

On peut hiérarchiser les indicateurs de sensibilisation en trois niveaux :

1. Activité — Combien de personnes ont été touchées, combien de modules, combien de campagnes.
2. Connaissances — Quelle est la maîtrise des sujets abordés (tests, quiz, mises en situation).
3. Comportements — Comment les pratiques évoluent dans la réalité opérationnelle.

Le niveau 1 est facile. Le niveau 3 est ce qui compte vraiment.

Les indicateurs d'activité (utiles mais limités)

• nombre d'utilisateurs touchés / population cible,
• taux de complétion par module,
• temps moyen passé sur les contenus,
• nombre de campagnes diffusées.

Ces indicateurs prouvent l'existence d'une démarche, mais pas son efficacité.

Les indicateurs de connaissance

• taux de réussite aux évaluations,
• progression entre pré-test et post-test,
• rétention à 3 et 6 mois,
• évolution de la perception des risques (enquêtes).

Ce sont des indicateurs utiles, mais ils mesurent ce que les gens savent, pas ce qu'ils font.

Les indicateurs de comportement (les plus stratégiques)

• Taux de signalement des emails suspects (sur volume reçu).
• Délai moyen entre la réception et le signalement.
• Évolution du nombre d'incidents évités par signalement humain.
• Adoption des outils sécurisants (gestionnaire de mots de passe, MFA personnel).
• Diminution des comportements à risque mesurables (exports massifs, partages externes).

Ce sont les indicateurs qui révèlent un vrai changement de culture.

Les indicateurs de culture

Une mesure plus qualitative, mais essentielle :

• Climat cyber : perception de la cybersécurité comme un facilitateur ou une contrainte ?
• Confiance : les utilisateurs osent-ils signaler un incident ?
• Engagement managérial : les managers relaient-ils les messages ?
• Présence dans le langage : la cybersécurité fait-elle partie des routines orales (réunions d'équipe, briefs) ?

L'étude d'impact comme méthode

Au-delà des KPI continus, mener une étude d'impact ponctuelle (annuelle ou semestrielle) permet de quantifier les effets globaux du programme. Conscio Technologies a publié un article de référence sur le sujet : Une étude d'impact pour mesurer les résultats concrets des sensibilisations.

Une bonne étude d'impact combine :

• données quantitatives (KPI internes),
• données comportementales (mises en situation contrôlées),
• données déclaratives (enquêtes auprès des collaborateurs),
• comparaison avec des données de référence sectorielles.

Le piège des indicateurs vanité

Quelques signaux qui devraient alerter :

• on présente uniquement le taux de complétion en COMEX,
• on ne mesure pas le taux de signalement,
• les indicateurs ne sont jamais comparés à un référentiel externe,
• aucun indicateur de comportement n'est suivi,
• la mesure n'a pas évolué depuis 3 ans.

Le test phishing : un indicateur à manier avec prudence

Le taux de clic à un test phishing reste utilisé. Il a sa valeur, mais comporte des biais :

• les utilisateurs apprennent à reconnaître les "tests" plutôt que les vraies attaques,
• la mesure pénalise individuellement et dégrade la confiance,
• elle ne dit rien du taux de signalement, pourtant plus pertinent.

Conscio Technologies développe ce point dans Tout miser sur le test phishing revient à sensibiliser de moins en moins de personnes.

Conclusion

Mesurer l'efficacité d'une sensibilisation, c'est faire le choix d'aller au-delà du confort statistique. C'est accepter de regarder les comportements réels et, parfois, d'en tirer des conclusions inconfortables. C'est aussi se donner les moyens d'ajuster la stratégie en continu. Le plan d'actions 2026 intègre cette dimension dès la conception.

---