Formation cyber : des progrès mesurés, des angles morts persistants 

67 %. C’est la part d’entreprises qui constatent une baisse des incidents après avoir formé leurs équipes. Le chiffre frappe, mais ne suffit pas à clore le débat. Publié le 12 mars 2026 par Fortinet, le rapport 2025 sur la sensibilisation à la sécurité, basé sur une enquête menée auprès de 1 850 professionnels de l’informatique et de la sécurité dont 500 en Europe, Moyen-Orient et Afrique (EMEA), dresse un constat plus contrasté. Malgré la généralisation des formations, près de sept décideurs sur dix jugent encore leurs collaborateurs insuffisamment préparés. Seuls 40 % les estiment capables de faire face à des menaces liées à l’intelligence artificielle. “Les programmes existent, mais leur impact reste partiel”, a estimé Julien Morel, RSSI Fortinet. Le signal est clair. Former ne suffit pas.  

Des formations en retard sur les menaces  

Ce décalage s’explique en partie par un problème d’adaptation. 81 % des répondants estiment que l’usage de l’intelligence artificielle par les cybercriminels renforce la perception du risque. Pourtant, les contenus de formation peinent à suivre cette évolution rapide. Les entreprises continuent majoritairement à traiter des scénarios déjà connus, alors que les modes opératoires évoluent. Résultat, les formations corrigent des erreurs passées sans préparer efficacement aux attaques émergentes. “Les formations sécurisent à court terme, mais n’anticipent pas les mutations des risques”, a expliqué Marc Lefèvre, consultant en gestion des risques. L’enjeu devient celui de la mise à jour continue, plus que de la simple diffusion de contenus.  

Le facteur humain reste le point de rupture  

Cette inadéquation est d’autant plus problématique que le facteur humain demeure central. Plus d’un quart des entreprises déclarent que les risques internes influencent désormais leurs investissements en formation. Dans le même temps, 67 % des organisations estiment que leurs collaborateurs manquent encore de compétences en cybersécurité. Une fragilité persistante. Les usages quotidiens continuent de générer des failles, souvent invisibles jusqu’à l’incident. L’essor de l’intelligence artificielle accentue cette pression en rendant les attaques plus crédibles et plus difficiles à détecter. « La prise de conscience ne suffit pas sans mise en pratique », a analysé Nadia Benali, responsable gouvernance des systèmes d’information. Le problème se déplace. Il devient opérationnel.  

Fréquence accrue, adhésion limitée  

Face à ce constat, les entreprises intensifient les formations sans toujours en revoir les modalités. Près de 7 sur 10 proposent désormais des sessions mensuelles ou trimestrielles, signe d’un effort réel de structuration. Mais cette fréquence ne garantit pas l’efficacité. Les taux de complétion restent faibles et l’engagement des collaborateurs demeure limité. Les formats, souvent trop génériques, peinent à s’adapter aux réalités métier. En creux, une autre limite apparaît. 94 % des décideurs considèrent la sensibilisation comme essentielle pour réduire les risques, mais cette conviction ne se traduit pas toujours en transformation concrète. Les dispositifs restent souvent périphériques, faute d’un portage stratégique. « Sans implication du top management, la culture sécurité ne s’installe pas », a estimé Laurent Picard, DSI Fortinet. La formation progresse. La maturité, elle, reste à construire.