La cybersécurité en Afrique entre dans une nouvelle phase. À mesure que les organisations améliorent leurs défenses et investissent dans la formation de sensibilisation à la sécurité (SAT), un écart difficile à repérer, mais critique, apparaît – non pas entre les outils et les cybermenaces, mais entre ce que les dirigeants croient de leurs employés et ce qu’ils vivent réellement.
Le Rapport 2025 de KnowBe4 Africa sur la gestion du risque humain (http://apo-opa.co/4fhcmPo) donne un aperçu de ce décalage. Les résultats montrent que de nombreux dirigeants surestiment la préparation de leurs employés et sous-estiment les lacunes en matière de confiance, de formation et d’action.
Anna Collard, vice-présidente principale de la stratégie de contenu et évangéliste chez KnowBe4 Africa, déclare : « Ce n’est pas seulement que la sensibilisation seule ne suffit pas – c’est que le niveau de sensibilisation des employés est mal compris par les dirigeants organisationnels qui en sont responsables. »
L’écart de perception se creuse, mais il est mesurable
Alors que 50 % des décideurs en 2025 évaluent la confiance des employés en matière de signalement des cybermenaces à 4 sur 5, en 2024, seulement 43 % des employés ont déclaré se sentir confiants dans la reconnaissance d’une menace, tandis qu’un tiers n’était pas d’accord sur la suffisance de leur formation.
68 % des décideurs estiment que la SAT au sein de leurs organisations est adaptée au rôle. Mais seulement 33 % des employés en 2024 ont estimé que c’était vrai – 16 % étant activement en désaccord.
Les implications sont sérieuses, car une main-d’œuvre qui semble formée et sensibilisée sur le papier peut en fait être incertaine, non soutenue et vulnérable.
« Cette divergence entre perception et expérience est précisément là où le risque humain prospère », déclare Collard. « Si les dirigeants ne corrigent pas le tir, ils construisent des stratégies de sécurité sur une fausse confiance. »
Pourquoi mesurer la sensibilisation ne suffit plus
L’un des défis les plus fréquemment cités dans le rapport est d’une simplicité trompeuse : mesurer si la SAT fonctionne. Plus de quatre répondants sur dix ont déclaré avoir du mal à suivre si leurs programmes de sensibilisation à la sécurité se traduisent par des comportements plus sûrs.
Un facteur clé, identifié dans le rapport, est que de nombreuses organisations s’appuient encore sur des SAT universelles, souvent dispensées uniquement annuellement ou biannuellement, sans personnalisation spécifique au rôle ni boucles de rétroaction comportementales.
Alors que 68 % déclarent proposer une formation basée sur les rôles, cette affirmation est minée par le fait que le « manque d’alignement des rôles » reste l’un des principaux défis signalés par les répondants. La divergence est la plus nette dans des secteurs comme la fabrication et la santé, où la SAT générique est la plus courante.
La taille, semble-t-il, compte aussi. Les grandes organisations sont constamment moins confiantes dans la préparation des employés, forment moins fréquemment et ont plus de mal à mesurer les résultats.
Collard déclare : « La sensibilisation sans action est comme une alarme à laquelle personne ne répond. Les organisations investissent dans la formation de sensibilisation à la sécurité, mais sans la structure, l’adaptation et le suivi nécessaires pour la traduire en comportement sécurisé. »
Au-delà du BYOD : le nouvel angle mort est l’IA
L’un des thèmes les plus urgents qui ressort est la montée rapide de l’utilisation de l’« IA parallèle ». Alors que près de la moitié des organisations sont encore occupées à élaborer des politiques formelles en matière d’IA, et que jusqu’à 80 % des employés utilisent des appareils personnels pour le travail, le risque d’utilisation non surveillée et non sanctionnée de l’IA augmente rapidement.
L’Afrique de l’Est est à l’avant-garde avec une gouvernance de l’IA plus proactive, tandis que l’Afrique australe, malgré une fréquence de formation élevée, est en retard sur la mise en œuvre de la politique de l’IA.
« La technologie a évolué plus vite que la politique », explique Collard. « Et à moins que les outils d’IA ne soient correctement gouvernés, ils deviennent autant un vecteur de risque qu’un atout. »
La voie à suivre : l’action, en plus de la sensibilisation
Ce rapport décrit cinq impératifs pour les organisations africaines :
- Personnaliser la SAT par rôle et exposition au risque.
- Suivre ce qui compte – non seulement la participation, mais les résultats comportementaux.
- Officialiser les structures de signalement que les employés peuvent comprendre et auxquelles ils font confiance.
- Combler le manque de politique en matière d’IA avant que l’utilisation abusive ne devienne systémique.
- Contextualiser les stratégies en fonction de la région et du secteur – car la résilience n’est pas universelle.
« L’élément humain est souvent évoqué, mais rarement mesuré de manière à déboucher sur une action qui tienne compte du contexte. Notre objectif est d’aider les organisations à cesser de deviner et à commencer à structurer leurs défenses autour d’informations réelles et contextuelles », déclare Collard.
« C’est le moment de passer d’une approche axée sur la conformité et la coche à une résilience axée sur la culture. Nous avons les données. Maintenant, nous avons la volonté.
Le rapport complet est maintenant disponible en téléchargement ici (http://apo-opa.co/4fhcmPo).
Distribué par APO Group pour KnowBe4.
Détails du contact :
KnowBe4:
Anne Dolinschek
[email protected]
Red Ribbon:
TJ Coenraad
[email protected]