La généralisation de l’IA dans les environnements de travail n’a pas réduit le risque humain en cybersécurité. Elle en a déplacé les contours, élargi la surface d’attaque et mis en évidence les limites structurelles des approches historiques centrées sur la conformité, la sensibilisation générique et la sanction. La question n’est plus de savoir si l’humain constitue un facteur de risque, mais comment les organisations peuvent enfin le piloter de manière opérationnelle à l’ère des agents IA.
Chaque cycle technologique promet une réduction de la part d’erreur humaine dans les incidents de sécurité. L’automatisation, les contrôles d’accès, la détection comportementale ou encore les politiques de sécurité unifiées ont tous été présentés comme des réponses structurelles aux défaillances individuelles. Pourtant, les constats pour 2025 racontent une autre histoire. L’étude mondiale « The State of Human Risk 2025 » montre qu’une large majorité des organisations observe une augmentation des incidents liés au facteur humain sur les douze derniers mois, et presque toutes reconnaissent éprouver des difficultés persistantes à sécuriser ce « vecteur ».
Cette tension ne traduit pas un manque d’efforts. Elle révèle une inadéquation profonde entre les modèles de sécurité hérités et la réalité des usages contemporains, marqués par la multiplication des canaux, l’hybridation des rôles et l’introduction d’outils d’IA générative encore insuffisamment gouvernés. Le risque humain ne se situe plus uniquement dans l’ignorance ou la négligence, mais dans des arbitrages quotidiens devenus structurels.
Le risque humain désormais majoritaire et multiforme
Le rapport met fin à une vision simplificatrice du risque interne. Dans l’immense majorité des organisations, les incidents récents impliquent des attaques externes exploitant des collaborateurs, mais ils résultent tout aussi fréquemment d’erreurs non malveillantes. À cela s’ajoute une proportion significative d’incidents intentionnels, incluant l’exfiltration de données ou leur réutilisation lors d’un changement de poste.
Le courriel demeure le principal vecteur d’attaque, notamment via l’hameçonnage, dont la fréquence continue de progresser. Toutefois, la dynamique la plus révélatrice concerne les canaux collaboratifs et les outils numériques du quotidien. Les plateformes de messagerie instantanée, les réseaux sociaux professionnels et les usages mobiles rattrapent rapidement le courriel, signalant un basculement vers un hameçonnage sans périmètre, où chaque interaction devient potentiellement exploitable.
Cette dispersion des points d’entrée rend obsolète toute approche reposant uniquement sur le filtrage ou le cloisonnement technique. Le comportement devient le véritable champ de bataille, mais un champ fragmenté, distribué et dépendant de contextes métiers très hétérogènes.
L’illusion persistante de la responsabilité individuelle
L’un des enseignements les plus structurants concerne la perception de la responsabilité. Si la majorité des salariés signent des engagements reconnaissant que les données appartiennent à l’entreprise, une part importante d’entre eux estime encore que les informations manipulées relèvent de leur périmètre personnel, d’équipe ou de département.
Cette ambiguïté alimente des comportements à risque, souvent rationnels du point de vue opérationnel. Le partage rapide d’un document, l’analyse d’un fichier dans un outil externe ou l’usage d’une application non référencée répondent à une logique d’efficacité immédiate, mais court-circuitent les dispositifs de contrôle. Plus préoccupant encore, seule une minorité de collaborateurs considère que la protection des données relève d’une responsabilité collective, la majorité la déléguant aux équipes informatiques, à la direction ou au management intermédiaire.
Le risque humain apparaît ainsi moins comme une défaillance individuelle que comme un défaut d’alignement organisationnel entre discours, règles et pratiques.
L’intelligence artificielle comme accélérateur de dérive
L’irruption massive des outils d’intelligence artificielle constitue le point de rupture majeur mis en évidence par l’étude. Les applications d’IA enregistrent une forte progression des incidents, notamment en raison du téléversement de documents internes, de l’exposition involontaire de données sensibles et de l’utilisation d’outils non autorisés par les équipes de sécurité.
Ce phénomène révèle un paradoxe stratégique. D’un côté, presque toutes les directions cybersécurité affirment avoir engagé des actions pour encadrer les risques liés à l’IA. De l’autre, une majorité de salariés juge l’accès aux outils autorisés trop lent, trop restrictif ou insuffisant, ce qui favorise le recours à des solutions non encadrées. Cette friction alimente mécaniquement une IA de l’ombre, échappant à toute supervision.
L’IA ne constitue donc pas seulement un nouveau vecteur d’attaque externe. Elle devient un facteur interne de désalignement, révélant l’incapacité des modèles de gouvernance actuels à concilier sécurité, rapidité et utilité métier.
La culture punitive, un frein à la détection et à la confiance
Le rapport met en lumière un décalage profond entre les réponses organisationnelles et les attentes des collaborateurs. En cas d’incident non intentionnel, la majorité des salariés privilégie un accompagnement ciblé et une formation contextualisée. À l’inverse, les organisations continuent de recourir largement à des mesures disciplinaires, y compris pour des erreurs involontaires.
Cette approche punitive génère un effet pervers bien connu. Lorsque le signalement d’un incident expose à une sanction, l’auto-déclaration recule, au profit d’une détection tardive par les systèmes ou par des tiers. Or, dans de nombreux cas, les équipes de sécurité continuent de dépendre des déclarations des personnes concernées pour identifier un incident, en particulier lorsqu’il s’agit d’erreurs ou de fuites accidentelles.
La défiance qui en résulte affaiblit la posture de sécurité globale et empêche toute amélioration durable des comportements.
La gestion du risque humain, un consensus sans exécution
La gestion du risque humain s’impose désormais comme un référentiel partagé. Les principes font l’objet d’un consensus large, qu’il s’agisse de la visibilité transverse sur les comportements à risque, des alertes en temps réel ou de la formation personnalisée. Pourtant, seule une minorité d’organisations dispose d’un programme réellement structuré et d’une vision individualisée du risque humain.
Ce décalage traduit un problème d’exécution plus que de conviction. Faute d’outils intégrés et de données exploitables, la majorité des entreprises opère avec une vision fragmentée, dispersée entre indicateurs isolés et dispositifs non corrélés. Le risque humain reste traité après l’incident, au lieu d’être anticipé.
Personnes et agents, un même impératif
La conclusion du rapport ouvre une perspective structurante. Le périmètre de la sécurité ne se limite plus aux salariés. Les agents d’IA, de plus en plus autonomes et intégrés aux processus métier, deviennent des acteurs à part entière du risque. Leur supervision et leur encadrement relèvent désormais des mêmes logiques que celles appliquées aux collaborateurs humains.
Les organisations capables d’intégrer cette double dimension disposeront d’un avantage opérationnel tangible. À l’inverse, celles qui persistent dans une approche réactive, fondée sur la sanction et le contrôle a posteriori, continueront de subir une érosion de leur posture de sécurité malgré des investissements croissants.
À l’ère de l’IA généralisée, la cybersécurité ne se joue plus uniquement dans les infrastructures ou les outils. Elle se joue dans la capacité des entreprises à comprendre, accompagner et piloter les comportements réels de leurs utilisateurs, humains comme artificiels, au plus près des usages.
