Une nouvelle étude Cohesity met en lumière le rejet de responsabilité des employés français en matière de cybersécurité, augmentant le risque dans les entreprises

juillet 2025 par Cohesity

Bien que la plupart d’entre eux comprennent le danger que représentent les cyberattaques et notamment les ransomwares, l’étude révèle qu’une minorité significative adopte encore un comportement qui augmente activement le risque d’intrusion et retarde le temps de réponse critique de leur entreprise.

Les données françaises soulignent un désengagement marqué des employés vis-à-vis de leurs responsabilités. Cette perception selon laquelle la cybersécurité serait l’unique responsabilité de l’IT, engendre une dangereuse disjonction entre la sensibilisation et l’action.

Les principales conclusions de l’étude soulignant le déni de responsabilité chez les répondants français sont les suivantes :

• Parmi les répondants français, plus de la moitié (51,2%) admettent ne pas être confiant quant à leur capacité à identifier une cyberattaque ciblant leur organisation. Un manque de confiance plus ou moins prégnant selon les données démographiques. Ainsi, l’étude constate que la confiance tend à diminuer avec l’âge (39,9% pour les 55-64 ans contre 64% pour les 25-34 ans) ou en fonction du sexe, les hommes étant plus en confiance (61,3%) que les femme (41,0%).

• Face à une cyberattaque suspectée, les employés français s’en remettent majoritairement aux équipes spécialisées avec en tête les équipes informatiques (60,5%), suivi du responsable hiérarchique (51,2%) puis seulement l’équipe de cybersécurité (48,3%). En revanche, ils sont encore 15% à indiquer ne pas avoir comme intention de déclarer un potentiel incident à leur entreprise, et certains tenteraient même de le réparer eux-mêmes.

• L’étude approfondi des raisons du non-signalement d’une attaque suspectée souligne le déni de responsabilité des répondants français : 18,5% estiment qu’il ne s’agit pas de leur problème tandis que 11% considèrent qu’un de leur collaborateur le fera dans tous les cas. Finalement, lorsque interrogés sur les personnes responsables de la protection de leur entreprises, les employés français désignent en majorité (72%) les équipes techniques spécialisées à savoir l’équipe de cybersécurité (38%) et l’équipe informatique (34%). Seule une petite fraction (5%) estime que les employés sont principalement responsables, et seulement 10% implique l’ensemble des collaborateurs de l’organisation.

"Ces résultats sont un rappel brutal que la technologie seule ne peut pas résoudre le défi de la cybersécurité. Encore aujourd’hui, une croyance persiste selon laquelle les mesures de sécurité mises en place par les équipes techniques sont une finalité. Pourtant, la responsabilité personnelle, de tous les collaborateurs et de la direction, est un maillon essentiel de la protection contre les cyberattaques et les ransomwares. Réfuter cette responsabilité favorise la complaisance et crée des angles morts critiques au sein des organisations” a déclaré Olivier Savornin, VP EMEA chez Cohesity. “Pour renforcer la cyber-résilience, les entreprises doivent favoriser une culture de responsabilité partagée, en équipant chaque employé des connaissances et de la confiance nécessaires pour en faire un véritable acteur de la sécurité”

Bien que les organisations investissent massivement dans les infrastructures de sécurité, l’étude de Cohesity confirme que l’élément humain reste une vulnérabilité significative s’il n’est pas correctement encadré par une communication claire, une offre de formation et un changement de mentalité. L’étude met d’ailleurs la nécessité non seulement de protéger les données critiques, mais surtout de mettre en place une stratégie de sécurité à 360, qui tient compte des systèmes informatiques, des données et du comportement humain.

Méthodologie de recherche

L’enquête a été menée par OnePoll pour le compte de Cohesity, a interrogé 4 500 employés de bureau à temps plein à travers la région EMEA dont 2000 au Royaume-Unis, 1000 en France et en Allemagne et 500 au Emirat Arabe Unis, entre mai et juin 2025. L’étude visait à comprendre les croyances, les connaissances et le comportement des employés concernant les cyberattaques, y compris les ransomwares. Les données spécifiques mises en évidence dans ce communiqué de presse concernent les 1 000 répondants français.