Pendant des années, la cybersensibilisation a été traitée comme un exercice de formation. Le personnel assistait à une session annuelle, répondait à un petit questionnaire et passait à autre chose. Pour de nombreuses organisations, cela suffisait à démontrer leur intention.
Aujourd'hui, en 2026, cette approche ne satisfait plus les régulateurs.
La FINMA, la DFSA, la FSRA et les régulateurs comparables sont de plus en plus clairs sur ce point : les programmes de sensibilisation doivent démontrer que les personnes agissent différemment en conséquence, en particulier lorsqu'il s'agit d'accéder à des systèmes et des données sensibles.
La sensibilisation n'est plus le contrôle
La formation reste importante, mais elle n'est plus considérée comme un contrôle à part entière. Les régulateurs reconnaissent que des personnes bien informées peuvent encore prendre de mauvaises décisions sous la pression, la fatigue ou l'urgence.
En conséquence, l'attention des audits ne se porte plus sur l'existence d'une formation, mais sur l'identification, le contrôle et le traitement des comportements à risque.
Cela s'applique tout particulièrement aux postes à accès élevé, à l'autorité décisionnelle ou à l'exposition à des informations sensibles. Les programmes de sensibilisation génériques, appliqués uniformément, sont de plus en plus perçus comme n'étant pas adaptés aux risques réels.
A quoi ressemblent les preuves dans la pratique
Les données probantes sur le risque humain tendent à se répartir en trois grands domaines.
Premièrement, les tests. Les régulateurs attendent des organisations qu'elles testent la manière dont le personnel réagit à des scénarios réalistes. Les simulations d'hameçonnage, les exercices de détournement d'accès et les exercices d'escalade d'incidents permettent de comprendre le comportement en situation de stress, et pas seulement d'acquérir des connaissances théoriques.
Deuxièmement, la segmentation. Tous les utilisateurs ne présentent pas le même risque. Il faut montrer que la formation, les tests et les contrôles sont adaptés aux administrateurs, aux cadres, au personnel financier et aux tiers ayant accès à l'entreprise.
Troisièmement, le suivi. Lorsqu'un comportement à risque est identifié, les régulateurs cherchent à prouver qu'il a été pris en compte. Il peut s'agir d'un recyclage ciblé, d'une restriction d'accès ou d'une modification de la conception des processus. Il est de plus en plus difficile de justifier le fait d'ignorer des schémas répétitifs.
L'importance de cette question pour les cadres supérieurs
Le risque humain n'est plus considéré comme une question relevant uniquement de l'informatique ou de la sécurité. Il se situe à l'intersection de la gouvernance, de la culture et de la résilience opérationnelle.
Les conseils d'administration et les dirigeants sont censés comprendre
- où le comportement humain présente le plus grand risque,
- comment cette exposition est contrôlée,
- et si la direction peut démontrer une amélioration au fil du temps.
Cela ne nécessite pas de connaissances techniques approfondies. Il s'agit de clarifier la responsabilité et de s'assurer que les contrôles vont au-delà des déclarations de politique générale.
Passer de l'intention à l'assurance
Le passage de la prise de conscience aux preuves reflète une tendance réglementaire plus large. L'intention ne suffit plus. Les régulateurs veulent avoir l'assurance que les contrôles fonctionnent dans des conditions réelles.
Les organisations qui s'adaptent rapidement ont tendance à trouver que la conversation avec les régulateurs devient plus constructive. Celles qui s'appuient uniquement sur les dossiers de formation ont souvent du mal à expliquer les lacunes mises en évidence lors d'incidents ou d'audits.
D'ici 2026, le risque humain sera jugé en fonction des résultats et non des efforts. Les entreprises qui peuvent prouver comment les gens se comportent, et pas seulement ce qu'on leur dit, seront mieux placées pour répondre à cette attente.
