Secu
Vincent Desbenoit (KnowBe4) : « Le maillon faible ce n’est pas l’humain, c’est le manque d’investissement dans l’humain »
Par Laurent Delattre, publié le 10 avril 2026
À l’occasion du Forum InCyber 2026, IT for Business a reçu, sur son plateau TV, Vincent Desbenoit, Regional Account Executive de KnowBe4 pour évoquer l’évolution de la gestion du risque humain et la sensibilisation des collaborateurs à l’ère des menaces dopées à l’IA. Il nous rappelle qu’en cybersécurité, le risque humain n’est pas une fatalité mais un déficit d’investissement.
Fondée aux États-Unis, KnowBe4 s’est imposée comme l’un des leaders mondiaux de la gestion du risque humain en cybersécurité. L’entreprise, qui revendique 70 000 clients dans le monde, ne vend ni pare-feu ni EDR : son cœur de métier consiste à sensibiliser, former et entraîner les collaborateurs des organisations pour qu’ils adoptent les bons comportements, au bon moment, face aux menaces.
Le modèle de KnowBe4 repose sur une conviction simple mais encore trop peu partagée dans les comités de direction : la sensibilisation ponctuelle ne fonctionne pas. Une session annuelle en salle ne produit aucun changement durable de comportement. « L’idée, c’est d’entraîner les collaborateurs de façon continue tout au long de l’année. Pas avoir une formation une fois par an, mais vraiment de mettre des petits points, des petites touches d’entraînement et de sensibilisation tout au long de l’année », résume Vincent Desbenoit. L’approche s’apparente davantage à un programme d’hygiène comportementale qu’à un dispositif de conformité réglementaire.
Quel maillon faible ?
« Je n’aime pas trop parler de l’humain comme maillon faible, mais plutôt du manque d’investissement dans l’humain comme maillon faible. Les entreprises ont plutôt tendance à investir massivement dans la technologie pour sécuriser la partie tech de leurs infrastructures et pas assez d’investir sur l’humain » explique d’entrée de jeu notre invité dans un changement de perspective salutaire. Il ne s’agit pas de stigmatiser l’utilisateur qui clique sur un lien piégé sous la pression d’un faux email du PDG, mais de constater que cet utilisateur n’a tout simplement pas été préparé à ce scénario. Des chiffres récents confirment ce diagnostic : plus de 70 % des attaques réussies impliquent un facteur humain. Et la situation ne fera que s’aggraver avec l’industrialisation des attaques par l’IA : « Les cyberattaquants n’essaient plus de vraiment trouver un bug dans la matrice mais plutôt d’influencer une personne à faire une mauvaise action, à donner ses identifiants, à divulguer des choses, pour obtenir la clé du coffre et s’infiltrer ensuite dans l’entreprise ». Mettre l’humain sous pression est devenu le levier principal des cybercriminels. Pour retirer cette pression, il faut que la cybersécurité devienne un réflexe.
Dans un Forum InCyber 2026 où le mot « résilience » résonnait à chaque conférence, la résilience organisationnelle ne peut pas se limiter à la redondance des infrastructures ou à la qualité des plans de reprise d’activité. Elle doit aussi, surtout, se manifester dans les réflexes humains. « Aujourd’hui, la question n’est plus de savoir si l’on va être attaqué, mais quand. Et quand ça arrive, suis-je prêt ? Est-ce que je réagis correctement ? Est-ce que mes utilisateurs signalent rapidement la menace qu’ils ont détectée ? »
Un chiffre frappe : il peut s’écouler jusqu’à 200 jours avant qu’une entreprise ne détecte une intrusion. L’ambition de la démarche de KnowBe4 est de ramener ce délai à quelques heures, en faisant de chaque collaborateur une sonde humaine capable de signaler une anomalie, y compris lorsqu’il pense lui-même s’être fait piéger. Car c’est là tout l’enjeu : dans une culture d’entreprise punitive, le salarié qui a cliqué sur un lien de phishing dissimule l’incident. Dans une culture de confiance, il le signale immédiatement. « L’objectif, c’est d’instaurer un climat de confiance où chacun est responsable et acteur de la cyber-résilience au sein de l’entreprise », insiste Vincent Débenoit.
De 30 % à 3 % : la preuve par les métriques
Au-delà du discours, les DSI et RSSI ont besoin de preuves tangibles à présenter à leur Comex. Sur ce terrain, notre invité avance des chiffres qui méritent attention : « Quand nous prenons un nouveau client, nous lançons une première campagne de simulation de phishing. En moyenne, 30 % des collaborateurs tombent dans le piège. Au bout d’un an d’entraînement continu, ce taux descend autour de 3 à 4 %. ». Plus frappant encore : alors que 67 % des entreprises déclarent avoir subi une violation réelle au cours de l’année écoulée, ce taux tombe à environ 3 % chez les clients de KnowBe4.
Pour objectiver cette progression, la plateforme calcule un score de risque individuel alimenté par 37 critères : suivi des formations, signalement des simulations de phishing, comportements à risque comme la saisie d’identifiants sur un faux formulaire. Ce score remonte ensuite par équipe, par métier et au niveau global de l’organisation. « Le Comex peut consulter son score de risque à tout moment : comment a-t-il évolué, est-il monté ou descendu, et quelles actions permettront de le faire baisser ? », explique Vincent Desbenoit. On entre ici dans une logique de pilotage continu du risque humain, analogue à ce que les entreprises pratiquent déjà pour le risque financier ou opérationnel.
La question de la surveillance individuelle, inévitable avec un score nominatif, est traitée par la gamification positive. KnowBe4 met en avant les meilleurs signaleurs et les progressions, jamais les mauvais élèves. Des badges récompensent les bons comportements. Le score reste un indicateur interne accessible à la DSI, pas un classement public. L’objectif n’est surtout pas de montrer du doigt, mais de permettre à l’équipe sécurité d’identifier les populations les plus à risque pour leur proposer des parcours d’entraînement renforcés.
L’IA change la donne : les vieux réflexes de détection sont obsolètes
Autre sujet fort : l’intelligence artificielle a profondément modifié le paysage de la menace. Les repères classiques de détection du phishing (fautes d’orthographe, mise en page approximative, adresses d’expéditeur suspectes, etc.) sont devenus caducs. « L’IA a industrialisé les attaques et les rend de plus en plus proches d’un mail légitime. Il n’y a plus de fautes d’orthographe, la charte graphique est respectée à la perfection. Détecter un mail de phishing devient de plus en plus difficile. », constate notre interlocuteur. La sensibilisation doit donc évoluer vers une lecture des intentions plutôt qu’une détection visuelle des anomalies : est-ce un email d’urgence qui me pousse à agir vite ? Me demande-t-on de saisir mes identifiants ? Le lien affiché est-il cohérent ?
Au-delà de cette sensibilisation centrée sur l’intention, KnowBe4 a aussi intégré la menace deepfake dans ses parcours de formation depuis début 2026. Le principe est redoutablement concret : un membre du Comex enregistre une courte vidéo de dix secondes. À partir de cette captation, la plateforme génère un deepfake dans lequel le dirigeant demande par exemple d’effectuer une action urgente et confidentielle. La vidéo se termine par un message pédagogique révélant la supercherie et expliquant les indices qui auraient pu mettre la puce à l’oreille. « Honnêtement, c’est bluffant. Au premier visionnage, on a l’impression de voir notre PDG à l’écran, exactement comme lors de ses prises de parole mensuelles », admet Vincent Desbenoit à propos du test réalisé en interne avec le PDG de KnowBe4.
L’occasion de rebondir sur un dernier axe de réflexion peut-être le plus prospectif. Avec la multiplication des agents IA dans les entreprises, la surface d’attaque s’élargit à des entités non humaines mais qui interagissent avec des humains et manipulent des données sensibles. Le prompt injection, qui consiste à tromper une IA en lui injectant des instructions malveillantes, est le nouveau « phishing des machines ». « On ne doit plus seulement sensibiliser l’humain, mais aussi l’IA. Un chatbot sur un site internet peut devenir une faille de sécurité par laquelle un attaquant tente de pénétrer le système. Cela élargit considérablement la surface d’attaque des entreprises », prévient notre invité.
Pour les DSI qui déploient massivement des agents IA dans leurs organisations, le message est clair : la gestion du risque humain élargie à la gestion du risque « humain et IA » sera l’un des grands chantiers des prochaines années. Vous voilà avertis…
À LIRE AUSSI :
À LIRE AUSSI :
À LIRE AUSSI :
À LIRE AUSSI :
