L’utilisation de mots de passe faciles à deviner est en hausse (pensez au classique « password123 »). Ce n’est pas ce que nous voulons. Les acteurs malveillants adorent quand nous leur facilitons la tâche. L’utilisation de l’AMF, un autre acronyme cryptique et difficile à saisir pour l’authentification multifacteur, est en chute libre, comme un rocher détaché d’une montagne. Nous observons maintenant la même spirale descendante pour la sauvegarde des données, l’installation des mises à jour logicielles et l’accès à la formation à la sécurité – toujours plus bas, toujours plus bas, et toujours plus bas. 

« Ce n’est pas joli à voir », a déclaré Lisa Plaggemier, directrice exécutive de la National Cybersecurity Alliance, lors de la conférence Convene de NCA à Clearwater, en Floride, le 3 mars 2026. « Nous devons adopter une approche différente pour motiver et inspirer les gens. Notre formation n’est ni amusante ni facile à relier à leur réalité. La tendance générale montre une augmentation significative des attitudes fatalistes face aux pertes financières et de données. » 

La NCA a travaillé aux côtés de l’équipe de sensibilisation à la cybersécurité de TIAA pour examiner cette question et les solutions possibles dans cet article.  

Dans ses remarques d’ouverture, Plaggemier a décortiqué toutes ces nouvelles préoccupantes issues de l’enquête annuelle de la NCA menée auprès de plus de 25 000 adultes. Les résultats ont été résumés et analysés dans un nouveau rapport, le rapport Oh Behave sur les attitudes et comportements en cybersécurité 2021-2025. 

La sensibilisation à la cybersécurité est globalement en hausse. Mais l’utilisation des pratiques de sécurité en ligne et la conviction que les bases de la sécurité valent la peine d’être mises en œuvre ont reculé sur plusieurs dimensions. Une question sérieuse se profile : « La cybersécurité vaut-elle mon temps ?  

Le message sous-jacent que transmettent les consommateurs est le suivant : « Le fait d’être au courant ne signifie pas que cela m’importe. » 

Aussi préoccupant que cela soit, c’est ce que nous devons affronter, accepter et faire évoluer. 

Statistiques inquiétantes : la cybersécurité embrouille et submerge 

Il n’est pas nécessaire de chercher bien loin dans ce rapport pour découvrir des statistiques inquiétantes qui vous amènent à vous demander : « Faut-il complètement réinventer la sensibilisation à la cybersécurité parce qu’elle ne fonctionne pas ? »  

Attardons-nous sur quelques-uns des chiffres les plus frappants du nouveau rapport Oh Behave :

• Une hausse « préoccupante » du « fatalisme en matière de sécurité », la conviction que les efforts sont inutiles parce que les données sont déjà en ligne et nous font donc nous sentir moins en sécurité ; ce « fatalisme » est passé à 34 % en 2025 contre 22 % en 2023 

• La confusion sur la manière d’interpréter et de suivre les informations de sécurité est passée de 39 % en 2021 à 45 % en 2025 

• La proportion de personnes minimisant les actions de protection est passée de 34 % en 2022 à 43 % en 2025 parce qu’elles se sentent submergées par toute la formation à la cybersécurité et les rappels constants 

• Les informations de sécurité sont si complexes qu’elles entraînent des niveaux de confusion élevés – atteignant 45 % en 2025 contre 39 % en 2021 ; de même, le nombre de personnes se sentant submergées s’élevait à 43 % en 2025, contre 34 % en 2022 

• L’utilisation régulière de l’AMF a chuté de 94 % en 2022 à seulement 53 % en 2025 ; un pourcentage croissant de répondants estime que ses mots de passe sont suffisamment robustes, ils ont donc choisi de ne pas utiliser l’AMF 

• L’utilisation de mots de passe contenant des informations personnelles faciles à deviner (p. ex., noms d’animaux, dates de naissance) a régulièrement augmenté au cours des quatre dernières années ; ce comportement déconseillé et à haut risque est passé de 25 % en 2022 à 37 % en 2025 

• Les personnes qui vérifient « toujours » les messages (comme les e-mails pour détecter des tentatives d’hameçonnage) sont passées de 51 % en 2021 à 36 % en 2021. Pourquoi ? Parce qu’un pourcentage croissant ne pense pas que la vérification des messages aide à stopper les cybercriminels, ce chiffre passant de 44 % (2022) à 68 % (2025) 

« Il semble que le principal défi ne soit pas les intentions des gens, mais la complexité, le coût et la fatigue psychologique imposés par l’environnement de sécurité, qui poussent de nombreuses personnes à se désengager de la sécurité malgré leur motivation initiale », indique le rapport. « Les résultats dressent un tableau inquiétant : le problème n’est pas que les gens ne comprennent pas l’importance de la cybersécurité, mais que la complexité, le coût et les charges cognitives de l’environnement de sécurité actuel les poussent à l’apathie malgré des intentions positives. » 

Au cours des cinq dernières années, on observe un « changement négatif » dans les expériences psychologiques liées à la sécurité. Près de la moitié des répondants à l’enquête sont apathiques et inactifs en matière de cybersécurité. 

Comment inverser ces tendances 

Lors d’un webinaire le 11 mars, Plaggemier a proposé des idées et encouragé les professionnels de la cybersécurité à la rejoindre pour imaginer des moyens d’inverser ces tendances. Elle estime qu’il faut rendre la sensibilisation à la cybersécurité plus divertissante, amusante, surprenante, engageante, personnalisée et humanisée. Autrement dit, la rendre moins ennuyeuse, moins prévisible et non répétitive. Éblouir. Divertir. Utiliser des feintes pour capter l’attention. 

Elle estime que les comportements et la sensibilisation à la cybersécurité doivent être « aussi simples que possible, afin de résoudre le décalage entre le fait que les gens soient conscients de la cybersécurité sans pour autant agir pour la renforcer. Une approche unique ne suffit probablement pas. Une formation personnalisée selon les différents groupes d’âge serait sans doute plus efficace. Nous devons mettre différents messages entre les mains des gens et adopter une approche très différente. Créer davantage de narration est une façon d’y parvenir. » 

Lors de l’événement Convene, plusieurs intervenants ont partagé des techniques qui les ont aidés à mettre en œuvre des programmes efficaces de sensibilisation à la cybersécurité, comme : 

• Ne pas se contenter de dire aux gens quelles sont les meilleures pratiques ; il faut plutôt les impliquer. Pensez à l’évolution suivante : « Dites-moi, d’accord ; montrez-moi, c’est bien ; impliquez-moi et vous m’avez conquis. Je suis convaincu. » 

• Ludifiez – pour une raison ou une autre, beaucoup de gens adorent jouer ; alors donnez-leur des jeux, et ils adorent les récompenses et les badges ; inondez-les-en aussi 

• Donnez aux apprenants des retours immédiats et plus fréquents sur leurs comportements de performance en matière de cybersécurité ; sur le moment, précis et direct – n’attendez pas le Mois de Sensibilisation à la Cybersécurité pour le leur dire 

• Établissez des parcours d’apprentissage indépendants et personnalisés pour chaque individu ; les gens ne se reconnaissent pas dans une formation généralisée qui n’est pas directement liée à leur travail et à leur vie quotidienne, alors traitez-les comme des personnes uniques aux besoins spécifiques 

N’oubliez jamais que la cybersécurité est un sport d’équipe. Et si vous voulez d’autres conseils et astuces pour amener les gens à s’en soucier, inscrivez-vous à la newsletter e-mail gratuite de la NCA !