![[INTERVIEW] Siham SENTISSI, Directrice Générale de BlueBirds Maroc : le management de transition, un levier stratégique pour les entreprises marocaines l DRH.ma](https://drh.ma/wp-content/uploads/2025/04/Siham-SENTISSI-360x180.jpg)
![[INTERVIEW] Natali Dincer, Directrice RH : JTI Afrique du Nord et de l’Ouest, Top Employer, une stratégie RH axée sur l'humain et l'inclusion l DRH.ma](https://drh.ma/wp-content/uploads/2025/03/Natali-Dincer-360x180.jpg)
![[INTERVIEW] Yasmine NESRINE, HR Lead : Mondelez Maroc, Top Employer 2025, une vision RH centrée sur l’engagement et l’inclusion l DRH.ma](https://drh.ma/wp-content/uploads/2025/01/Yasmine-Nesrine-Bouguera-Mondelez-Maroc-Top-Emploer-2025-360x180.jpg)
![[DOSSIER] Les titres de service l DRH.ma](https://drh.ma/wp-content/uploads/2024/06/DOSSIER-I-Titres-de-service-au-Maroc-évolutions-et-innovations-dans-les-avantages-sociaux-360x180.jpg)
![[DOSSIER] Santé mentale au travail : comment le Maroc façonne l'avenir du bien-être en entreprise l DRH.ma](https://drh.ma/wp-content/uploads/2024/04/DOSSIER-Sante-mentale-au-travail-comment-le-Maroc-faconne-lavenir-du-bien-etre-en-entreprise-360x180.jpg)
La protection des données et la sensibilisation à la cybersécurité sont devenues des priorités pour les entreprises de toutes tailles, et le rôle des Ressources Humaines (RH) est de plus en plus crucial dans ce domaine. En effet, les DRH, chargés de recruter, de former et de gérer les talents, jouent un rôle stratégique pour instaurer une culture de sécurité dans l’organisation. Mais comment savoir si les efforts de sensibilisation sont réellement efficaces ?
Définir les objectifs et les indicateurs de mesure
Avant de mettre en place un plan de test et de mesure, il est essentiel de définir clairement vos objectifs. Que souhaitez-vous accomplir grâce à votre programme de sensibilisation ? Souhaitez-vous réduire le nombre de clics sur les courriels de phishing ? Améliorer la vitesse de signalement des incidents ? Augmenter la proportion de collaborateurs connaissant les bonnes pratiques de sécurité physique ?
La définition d’objectifs précis vous permettra de déterminer des indicateurs de performance (KPIs) pertinents. Par exemple, si votre priorité est de prévenir les intrusions via phishing, vous pouvez mesurer :
- Le taux de clic sur des emails de phishing simulés
- La fréquence de signalement des messages suspects
- La rapidité de réaction (temps écoulé entre la réception d’un email malveillant et sa notification au service informatique)
En parallèle, assurez-vous de disposer d’un point de départ : quel est votre niveau actuel de vulnérabilité ? Avant toute campagne d’information, un test initial permettra de fixer une base de référence pour comparer les résultats obtenus après la formation.
![[Feuille de route pour l'emploi 2025] Digitalisation et nouveaux modes de travail : Défis et opportunités pour les DRH l DRH.ma](https://drh.ma/wp-content/uploads/2025/04/Digitalisation-et-nouveaux-modes-de-travail-120x86.jpg)
Comprendre les menaces : définitions clés
Pour mieux mesurer l’efficacité de votre programme de sensibilisation, il est impératif que vos collaborateurs – et en particulier les responsables RH – comprennent clairement les menaces auxquelles votre organisation fait face. Voici un tour d’horizon des menaces les plus courantes qui, si elles ne sont pas contrées, peuvent avoir un impact sur la confidentialité, l’intégrité et la disponibilité de vos données.
Le phishing
Le phishing (ou hameçonnage) est une technique de fraude où un cyberattaquant se fait passer pour un tiers de confiance (banque, service connu, collègue, etc.) afin de soutirer des informations sensibles (identifiants, mots de passe, numéros de carte bancaire) ou d’inciter la victime à cliquer sur un lien malveillant. Selon le rapport de 2024 de Verizon, un pourcentage notable d’employés demeure vulnérable à ce type d’attaque. Même si “78 % des personnes ne cliquent sur aucun lien de phishing durant l’année”, il reste un noyau qui, par inadvertance, tombe dans le piège. De plus, les attaquants n’ont besoin que d’une seule porte d’entrée pour compromettre un système.
La détection et le reporting
Un aspect souvent négligé est la détection et la notification rapides d’un incident. Qu’il s’agisse d’un email suspect ou d’un appareil compromis, la capacité à signaler efficacement l’événement est cruciale pour limiter les dommages. Toujours d’après le même rapport, le taux de signalement reste faible : “seulement 17 % des incidents sont rapportés par les utilisateurs.”
La compromission de mot de passe
Les mots de passe constituent la première ligne de défense pour la plupart des systèmes informatiques. Des mots de passe faibles, réutilisés ou partagés sont une aubaine pour les cybercriminels. Les attaques par force brute, l’ingénierie sociale ou la récupération de mots de passe mal protégés figurent parmi les méthodes privilégiées pour accéder aux comptes d’une organisation.
L’ingénierie sociale
L’ingénierie sociale consiste à manipuler psychologiquement les individus pour les amener à divulguer des informations confidentielles. Le phishing est un exemple courant, mais l’ingénierie sociale se retrouve aussi dans des scénarios téléphoniques ou en face-à-face (faux technicien, faux livreur, etc.).
La sécurité physique des dispositifs
La sécurité physique inclut la protection des ordinateurs portables, des serveurs et des terminaux mobiles contre le vol, la perte ou la consultation non autorisée. Un simple oubli d’un ordinateur portable dans un lieu public peut créer une brèche majeure dans l’entreprise.
Les appareils non mis à jour
Les mises à jour régulières des logiciels et des systèmes d’exploitation sont essentielles pour corriger les vulnérabilités découvertes par les éditeurs. Les cyberattaquants savent tirer parti des failles obsolètes pour s’introduire dans des systèmes qui ne sont pas patchés à temps.
La destruction ou la fuite de données
Une mauvaise gestion de la destruction des données (ou un effacement incomplet) peut exposer l’entreprise à des risques juridiques et opérationnels. Un disque dur mal effacé avant d’être jeté, par exemple, peut encore contenir des informations sensibles.
Utiliser les tests de phishing pour évaluer l’efficacité
Parmi toutes ces menaces, le phishing est sans doute l’une des plus répandues et dangereuses. C’est pourquoi il est souvent le premier terrain d’expérimentation pour mesurer l’impact d’une formation en sécurité.
Simulation d’attaques
Les tests de phishing consistent à envoyer à vos collaborateurs un email factice, imitant un message malveillant typique. On y intègre des liens ou des pièces jointes conçus pour attirer la curiosité. Lorsque l’utilisateur clique, il est redirigé vers une page qui l’informe qu’il s’agit d’un test. Ce type de campagne permet :
- D’évaluer la proportion de personnes susceptibles de cliquer
- D’identifier les individus « à risque » (cliqueurs récurrents)
- De mesurer l’évolution de ce taux de clic au fil du temps
Redoubler d’efforts auprès des « récidivistes »
Le rapport de 2018 indique que les individus qui cliquent une fois ont tendance à cliquer à nouveau. Les RH peuvent alors instaurer des formations ciblées ou un accompagnement personnalisé pour ces « récidivistes ». Cela peut inclure des sessions de sensibilisation plus poussées, des rappels réguliers, ou encore des ateliers de partage d’expériences.
Mesurer la vitesse de réaction
Un autre indicateur crucial est le temps de signalement. Combien de minutes (ou d’heures) s’écoulent avant qu’un collaborateur signale un email douteux à l’équipe IT ? Dans un scénario réel, une notification rapide peut éviter de nombreux dommages, car l’équipe de sécurité peut alors :
- Bloquer l’email sur le serveur de messagerie
- Alerter l’ensemble de l’organisation
- Déployer un correctif ou un filtre plus avancé
Étendre la mesure à d’autres volets de la sécurité
Si le phishing est souvent le premier chantier, d’autres domaines méritent également une attention particulière pour une vision globale de la posture de sécurité de l’entreprise. Plusieurs catégories d’évaluation existent :
- Phishing Awareness (Conscience de l’hameçonnage)
- Phishing Detection/Reporting (Détection/Signalement d’attaques)
- Nombre d’ordinateurs infectés
- Enquête sur le niveau de conscience (Awareness Survey)
- Nombre d’appareils mis à jour
- Nombre d’appareils perdus/volés
- Bureau propre et protégé (Secure Desktop)
- Sécurité des mots de passe
- Ingénierie sociale
- Protection des données sensibles
- Effacement ou destruction sécurisés des données
- Sécurité physique des dispositifs
- Sécurité physique des locaux
Pour chacun de ces points, on peut définir des indicateurs concrets :
- Nombre d’incidents répertoriés (ex. : postes infectés, signalements de pertes d’appareils)
- Résultats d’audits physiques (ex. : taux de bureaux laissés sans surveillance, documents confidentiels non rangés)
- Scores de mots de passe (ex. : utilisation de phrases de passe solides, taux de renouvellement)
- Résultats de tests de social engineering (appels téléphoniques factices pour obtenir des informations sensibles)
Analyser et communiquer les résultats
Identifier les tendances
Une fois que vous avez collecté des données sur plusieurs mois, voire plusieurs trimestres, il est temps de repérer les tendances. Par exemple, si le taux de clic sur des emails de phishing descend régulièrement de 15 % à 10 % puis à 5 %, c’est un bon indicateur de l’efficacité du programme. À l’inverse, si votre taux stagne ou augmente, il faudra réévaluer la qualité de la formation et la fréquence des rappels.
Mettre en avant les succès
Les DRH ont tout intérêt à valoriser les progrès réalisés. Une communication interne régulière peut souligner la réduction du nombre d’incidents, mettre en avant les équipes ou départements qui ont obtenu de bons résultats ou encore partager des astuces de sécurité. Cette reconnaissance motive les collaborateurs à poursuivre leurs efforts de vigilance.
Approche punitive ou constructive ?
Lorsqu’on aborde la question de la sensibilisation, un débat émerge souvent autour de la manière de sanctionner ceux qui font des erreurs ou qui ne respectent pas les règles. Une approche trop punitive risque de démotiver et de briser la confiance. Une approche constructive basée sur l’accompagnement et l’éducation s’avère généralement plus efficace à long terme. En tant que DRH, il est crucial de trouver l’équilibre afin de favoriser une culture ouverte, où chacun se sent libre de signaler rapidement les incidents, sans crainte de représailles.
Les clés pour un programme de sensibilisation pérenne
La répétition et la régularité
La sensibilisation à la sécurité n’est pas un événement ponctuel. Les menaces évoluent rapidement, et la mémoire humaine est sélective. Une formation continue et régulière est indispensable : newsletters mensuelles, capsules vidéo, quiz interactifs, rappels sur l’intranet, etc.
L’implication de la direction et des RH
Un programme de sensibilisation fonctionne d’autant mieux lorsque la direction montre l’exemple. Les cadres supérieurs et les DRH doivent être les premiers à s’impliquer. Une communication officielle, signée par la direction, peut légitimer davantage les efforts de sensibilisation et montrer que la sécurité est une priorité à tous les niveaux.
L’adaptabilité du contenu
Tous les collaborateurs n’ont pas le même niveau de connaissances ou les mêmes responsabilités. Les RH peuvent proposer des modules adaptés : un atelier spécifique pour les équipes en charge de données sensibles, un module plus global pour l’ensemble du personnel, etc. L’important est de garder une cohérence générale dans les messages et de s’assurer que chacun connaît les réflexes de base (ne pas cliquer sur un lien suspect, signaler un comportement anormal, etc.).
Utiliser la gamification
Pour encourager la participation, certaines entreprises optent pour la gamification : attribution de points pour chaque menace reportée, badges de réussite pour ceux qui suivent un nombre déterminé de modules, défis inter-services, etc. Cette approche ludique peut stimuler l’engagement, surtout dans des contextes où les collaborateurs perçoivent la sensibilisation comme une corvée administrative.
Mesurer l’efficacité d’un programme de sensibilisation à la sécurité n’est pas une tâche aisée, mais c’est un investissement indispensable pour protéger votre organisation. Selon le rapport de 2024 de Verizon, le phishing demeure l’une des principales portes d’entrée pour les cyberattaquants, et il suffit d’un seul clic malheureux pour compromettre un système. Les DRH, en première ligne dans la gestion du capital humain, ont tout intérêt à :
- Définir des objectifs clairs et mesurables, avec des KPIs adaptés au niveau de maturité de leur organisation.
- Sensibiliser en continu, via des campagnes de phishing simulées, des rappels réguliers et des formations sur mesure.
- Suivre l’évolution des comportements (taux de clic, vitesse de signalement, etc.) pour mesurer les progrès et ajuster les méthodes.
- Encourager les bons réflexes plutôt que de punir sévèrement les erreurs. Une atmosphère de confiance facilite la détection précoce des menaces.
- Élargir la portée de la sensibilisation à d’autres volets : mots de passe, sécurité physique, mises à jour logicielles, ingénierie sociale, etc.
- Communiquer et valoriser les réussites, qu’il s’agisse d’une diminution du taux de clics, d’un temps de réponse accéléré ou d’une meilleure cohésion d’équipe sur les sujets de sécurité.
En adoptant une démarche proactive et en s’inspirant des meilleures pratiques et validées par des rapports reconnus dans le secteur, vous pourrez bâtir une culture de sécurité solide, capable de s’adapter aux nouvelles formes de menaces. Les DRH ont là une occasion unique de contribuer à la résilience globale de l’entreprise, en plaçant l’humain au centre de la stratégie de cybersécurité.
La route est peut-être semée d’embûches, mais chaque test, chaque campagne de sensibilisation et chaque action de mesure vous rapprochent d’un objectif fondamental : protéger efficacement vos ressources, vos collaborateurs et, in fine, votre réputation sur un marché où la confidentialité et la fiabilité des données sont devenues des enjeux primordiaux.
Un programme de sensibilisation à la sécurité ne se limite pas à la diffusion d’informations théoriques. Il s’agit de créer une véritable dynamique d’apprentissage collectif, d’établir des métriques claires et de suivre leur évolution pour prouver – et améliorer – l’efficacité de vos initiatives. Avec la complicité des DRH, cette mission se mue en une opportunité de renforcer la confiance et l’engagement de tous face à la cybermenace. Un programme réussi se reconnaît à sa capacité à faire passer la sécurité d’une contrainte perçue à un réflexe partagé.
![[Feuille de route pour l'emploi 2025] Digitalisation et nouveaux modes de travail : Défis et opportunités pour les DRH l DRH.ma](https://drh.ma/wp-content/uploads/2025/04/Digitalisation-et-nouveaux-modes-de-travail-350x250.jpg)
