Malgré une sensibilisation et des investissements numériques accrus dans la formation, le rapport révèle que de nombreuses organisations africaines restent dangereusement trop confiantes – et structurellement sous-préparées – dans leur capacité à gérer les cyber-risques centrés sur l'homme.
Malgré une sensibilisation et des investissements numériques accrus dans la formation, le rapport révèle que de nombreuses organisations africaines restent dangereusement trop confiantes – et structurellement sous-préparées – dans leur capacité à gérer les cyber-risques centrés sur l'homme.
Knowbe4 a libéré son Rapport de gestion des risques humains en Afrique 2025 éditer une lumière urgente sur l'une des menaces de cybersécurité les plus sous-estimées du continent: ses habitants. Malgré une sensibilisation et des investissements numériques accrus dans la formation, le rapport révèle que de nombreuses organisations africaines restent dangereusement trop confiantes – et structurellement sous-préparées – dans leur capacité à gérer les cyber-risques centrés sur l'homme.
Le rapport, mené en partenariat avec Red Ribbon Insights, capture les informations de 124 décideurs de cybersécurité seniors à travers 30 pays africains. Il identifie un écart élargi entre la perception et la pratique – un gouffre qui pourrait saper les progrès numériques de l'Afrique s'ils étaient non traités.
Confiance sans capacité
Une majorité des organisations évaluent leurs niveaux de sensibilisation à la cybersécurité à 4 sur 5. Cependant, seulement 10% des dirigeants pensent que leurs employés rapporteraient de manière fiable un e-mail suspect. Ce paradoxe souligne ce que Knowbe4 appelle «l'écart de confiance».
« Si la sensibilisation est le fondement de la cybersécurité, alors l'action est son expression réelle », indique le rapport. «Mais cette enquête montre que la confiance dans la capacité de la main-d'œuvre à répondre de manière appropriée – à reconnaître, signaler et atténuer les menaces – est souvent surestimée.»
Paysage des risques d'Afrique: inégal et évolutif
Le rapport révèle des contrastes régionaux frappants à travers le terrain de cybersécurité africain:
-
Afrique du Nord mène en exposition au byod, avec jusqu'à 80% des employés utilisant des appareils personnels pour le travailpourtant, vous êtes en retard sur la fréquence de formation et les rapports d'incident.
-
Afrique de l'Est émerge comme un leader relatif, avec 50% des organisations ayant des politiques de gouvernance de l'IA en place– le plus élevé du continent.
-
Afrique australe Les trains le plus fréquemment (44% conduisent une formation trimestrielle) mais a la surveillance la plus faible de l'IA, avec plus 56% signalant aucune politique d'IA.
-
Afrique centrale et occidentale signaler le taux le plus élevé d'incidents liés à l'homme, avec jusqu'à 75% des incidents de sécurité ont retracé le comportement des employés.
Cette diversité de l'exposition aux risques souligne la nécessité de stratégies réactives localement. Comme le note le rapport, «la résilience n'est pas une taille unique – et les stratégies ne devraient pas non plus être.»
L'illusion de formation
Malgré la mise en œuvre généralisée de la formation de sensibilisation à la sécurité (SAT), plus de 41% des organisations ont du mal à mesurer son efficacité. L'alignement basé sur les rôles reste largement ambitieux – tandis que 68% des répondants prétendent personnaliser la formation par fonction, beaucoup admettent que la réalité est souvent insuffisante.
La situation est particulièrement désastreuse dans les secteurs comme la fabrication et les soins de santé, où plus de 40% rapportent à l'aide de programmes de formation générique qui ne parviennent pas à résoudre des risques spécifiques.
KnowBe4 avertit que ce manque de suivi comportemental, combiné à des simulations de phishing peu fréquentes (seulement 7% les mènent mensuellement), empêche les employés de développer les réflexes nécessaires pour détecter les menaces réelles.
Bonnes angles structurels: ombre AI et échecs de rapport
L'essor de «Shadow Ai» – utilisation non réglementée et non réglementée des outils d'IA par le personnel – est un autre drapeau rouge. Avec 46% des organisations développant toujours leurs politiques d'IA, de nombreux employés sont laissés en utilisant une IA générative sans orientation ni surveillance.
Le rapport met également en évidence un manque flagrant de procédures de rapport d'incident formelles. «Les employés peuvent être conscients de l'importance des rapports, mais l'absence de processus clairs et forcés laisse la place à l'incohérence et à l'inaction», prévient-il.
Cette déconnexion entre la conscience et la préparation est aggravée par des perceptions différentes entre les cadres et les travailleurs de première ligne. Alors que 50% des dirigeants pensent que leur personnel est préparé, seulement 43% des employés disent qu'ils ont confiance en identifiant une menace, selon une enquête comparative menée l'année dernière.
«Les résultats confirment ce que beaucoup d'entre nous dans l'industrie soupçonnaient depuis longtemps – les organisations font les bonnes choses en principe, mais dans la pratique, ils ne vont pas assez loin. Nous avons besoin d'un changement d'esprit. La conscience ne suffit pas. Ce qui compte, c'est de savoir si les gens savent quoi faire lorsqu'il compte.»
–Anna Collard, SVP Content Strategy & Evangelist Africa, KnowBe4.
Le chemin à suivre: de la conscience à l'action
Le rapport se termine par cinq recommandations clés pour les organisations africaines:
-
Personnaliser la formation par un rôle et une exposition aux risques
-
Mesurer l'impact de la formation avec des mesures significatives
-
Formaliser et simplifier les processus de déclaration des incidents
-
Combler l'écart de gouvernance de l'IA
-
Contextualiser les stratégies par région et secteur
« La couche humaine n'est pas un défaut à réparer, mais une frontière à renforcer », affirme le rapport. À mesure que l'adoption numérique accélère à travers le continent, la capacité de l'Afrique doit également gérer sa variable de sécurité la plus imprévisible: le comportement humain.
