Et si en 2026, la sensibilisation en cyber devenait un enjeu sociétal pour nous protéger au delà de la cyber ?...

... ou comment passer de la simple sensibilisation au développement de l'esprit critique.

Beaucoup des différentes conférences cyber que j'ai vues ces 2 derniers mois ont abordé une problématique assez importante : le risque humain.

Le tout avec un conseil que j'ai trouvé beaucoup, mais beaucoup plus évoqué que les années précédentes : Sensibilisez, sensibilisez et sensibilisez !

"Enfin !" Oserais-je dire...

Alors n'en déplaise à certains, je suis désolé, mais je pense qu'en 2026, le firewall, les vpn ou la classification des données ne seront pas votre priorité.

Nous sommes dans une situation encore jamais vue : nos données fuient de partout. Tous les jours, une société se fait pirater et extraire les données de ses clients, alimentant ainsi la personnalisation des attaques par phishing, vishing, smishing.

Qui aujourd'hui peut encore dire : "Moi je ne reçois pas ce type de message" ?

Péage, amende, abonnement qui va expirer, erreur de facture, remboursement, places gagnées, colis non délivré,..." cela n'arrête pas. Je n'ai jamais eu autant de conversations sur le sujet avec mon entourage.

La question n'est plus "Est-ce qu'on va essayer de m'arnaquer ?" mais plutôt "Combien de temps je suis capable de résister ?"

Nous ne sommes pas prêts pour ce que nous allons subir

Alors que nous luttons déjà pour mettre en place les mesures techniques nécessaires pour nous protéger des multiples sources de hacking, démultipliées par l'IA, il y a un volet que nous ne devons surtout pas oublier : l'humain.

Les récentes attaques menées par le groupe Scattered Spider sont là pour nous le rappeler. Rien ne sert de tenter des attaques techniques sophistiquées si le fait d'appeler le support IT nous permet une réinitialisation de mots de passe ou de nous donner des accès.

Ces attaquants ont déjà beaucoup d'informations sur nos sociétés, publiées sur les réseaux ou issues de fuites internes ou de nos sous-traitants, mais aussi sur nos collaborateurs à titre personnel !

I

ls ont donc tous les éléments nécessaires pour se concentrer sur une cible bien précise : le cerveau de nos collaborateurs

Et ils sont doués. Très doués.

Leur arme ? Les sciences comportementales. Ils exploitent nos biais cognitifs, nos réflexes, nos émotions. La peur, l’urgence, la curiosité, la confiance. Tout y passe.

-Pourquoi, nous humains, refuserions d'aider une jeune maman en détresse avec son bébé qui pleure ? (je vous remets le lien vers cette vidéo célèbre)

-Pourquoi, nous humains, ne ferions nous pas confiance à cette personne du service des fraudes qui nous indique que nous sommes piratés ?

Pour les plus à l'aise et les plus créatifs, l'exercice était déjà assez facile, mais aujourd'hui, grâce à l’IA, c'est à la portée de n'importe qui !

Ils génèrent des arnaques si convaincantes qu’elles dépassent l’entendement : des appels vocaux imitant à la perfection la voix de votre patron, des mails qui reprennent vos dernières publications LinkedIn, des SMS qui semblent venir de votre banque.

Qui peut résister à cela... s'il n'est pas entrainé ?

La sensibilisation n’est plus une option, c’est une arme de résistance massive

Les entreprises ont longtemps sensibilisé leurs employés pour éviter les erreurs. « Ne cliquez pas sur ce lien. » « Méfiez-vous des pièces jointes. » 

Mais en 2026, ce n’est plus suffisant. Il ne s’agit plus d’éviter les erreurs, mais de former des résistants. Des gens capables de détecter une tentative de manipulation, de prendre du recul, de questionner ce qu’ils voient et entendent.

Pourquoi ? Parce que les attaquants maîtrisent déjà les sciences comportementales. Ils savent comment nous faire agir sans réfléchir. Alors, si nous voulons survivre, il est temps d’apprendre ces mêmes mécanismes. 

Comment voulez-vous résister face à un ennemi si vous n'êtes pas à minimum à armes égales ?

Et sensibiliser au phishing, ne devrait pas être juste un entrainement à repérer une adresse ou url suspect. Nous ne devons pas former les collaborateurs à apprendre à repérer les éléments techniques pour se dire "je ne clique pas", mais bien à prendre du recul, de la hauteur et être capable de se dire "pourquoi j'ai envie de cliquer ?"

Développer l'esprit critique de nos collaborateurs, capable de douter de ce qu'ils voient, de repérer les incohérences, les pressions, les leurres. C'est cette compétence qui permettra de protéger votre entreprise.

Un enjeu qui va au delà de la protection de l'entreprise

Former ses collaborateurs à cet esprit critique, aux bases des sciences comportementales est un moyen de les protéger également dans leur vie privée.

Donnez leur les billes pour lutter quotidiennement aux multiples SMS, email, coups de fil qu'ils peuvent subir !

Car en tant qu'entreprise, vous devenez le seul endroit où ils peuvent encore apprendre à se défendre... personne ne pourra le faire à votre place.

Et à bien y réfléchir, entre des places de cinéma ou ça, je pense que vous leur serez plus utile.

De plus, sans vouloir faire de politique, en 2026, si nous souhaitons conserver une démocratie qui n'est pas basée sur la désinformation, l'IA ou le sensationnisme, ces formations serviront également pour vos collaborateurs.

Car en connaissant les sciences comportementales pour nous aider à repérer les arnaques, nous sommes aussi formés à repérer ces techniques utilisées dans le cadre de manipulations comme les discours extrêmes, les théories du complot, les campagnes de désinformation...

Ce n’est pas un hasard si les techniques de manipulation utilisées par les cybercriminels ressemblent étrangement à celles des propagandistes ou des démagogues.

Alors oui, en 2026, la sensibilisation cyber doit dépasser le cadre de l’entreprise. Elle doit devenir un entraînement à la résistance. Un moyen de donner à chacun les clés pour :

• Repérer les tentatives de manipulation, qu’elles viennent d’un hacker, d’un escroc ou d’un politique.

• Prendre du recul avant d’agir, avant de partager, avant de croire.

• Développer un esprit critique qui ne tombe ni dans la naïveté ni dans le conspirationnisme.

  
  

Comment faire ?

1- Tout d'abord, je dirais simplement en vous formant vous en priorité !

Des formations sur les sciences comportementales, on en trouve de plus en plus et même en cyber ! Le Cnam en a récemment sorti une et c'est un sujet que j'aborde également dans ma formation Sensibiliser Autrement.

Vous pouvez aussi découvrir le sujet avec mon article "Et si nous laissions une petite place à nos biais ?"

2-Eveillez les consciences de vos collaborateurs avec des conférences sur le sujet. Plusieurs conférenciers proposent aujourd'hui de parler de ce sujet, que ce soit Joachim CHARLOT , Youna BENTABED ou moi même avec Etienne Bressoud - Conférences sur les sciences comportementales

3-Repensez bien votre programme pour que vos actions liées à l'ingénierie sociale intègrent bien ces notions d'esprit critique et pas juste de simples démonstrations ou des tests de phishing. Et pour moi, 2026 sera une occasion d'y travailler et d'en parler !

Oui c'est un autre rôle que le simple ingénieur en cybersécurité qu'on vous demande, mais je vous rassure, on ne vous demande pas non de sauver le monde et la démocratie, laissons les Avengers faire ça 😉