Synthèse

Le Human Risk Intelligence (HRI) constitue l'étape suivante au-delà du Human Risk Management (HRM) : il aide les organisations à passer de la simple activité de sensibilisation à une vision plus claire et plus exploitable du risque humain.

En regroupant les signaux issus de la sensibilisation, du phishing, de l'identité et des accès, le HRI permet aux équipes de voir où se situe réellement le risque, ce qu'il faut corriger en priorité et comment démontrer les progrès dans le temps. Contrairement aux approches HRM traditionnelles, souvent périodiques et axées sur l'activité, le HRI est continu, piloté par le risque et concentré sur la réduction mesurable de l'exposition.

Au fond, le HRI examine le risque humain à travers quatre prismes pratiques : la valeur de la cible, la sensibilisation, l'hygiène et les accès. À mesure que les menaces pilotées par l'IA gagnent en crédibilité et que les exigences de gouvernance continuent de croître, les organisations ont besoin d'une manière plus intelligente de prioriser leurs actions et de démontrer leurs progrès.

Prêt à franchir l'étape suivante, du Human Risk Management au Human Risk Intelligence ?

Qu'est-ce que le Human Risk Intelligence (HRI) ?

Le Human Risk Intelligence consiste à transformer les données sur le risque humain en renseignements prêts à éclairer la décision.

La plupart des organisations réunissent déjà certains des bons ingrédients. Elles mènent des formations de sensibilisation, testent les utilisateurs avec des simulations de phishing, encouragent le signalement des e-mails suspects et surveillent les contrôles d'identité, les accès à privilèges et l'hygiène des comptes. Le problème, c'est que ces signaux résident souvent dans des outils différents, sont analysés isolément et finissent par être restitués comme de l'activité plutôt que comme de l'exposition.

Le HRI change la donne.

Il rassemble ces signaux pour offrir une vision plus claire de l'endroit où se situe le risque humain dans l'ensemble de l'organisation. Cela inclut non seulement les personnes les plus susceptibles de commettre une erreur, mais aussi celles dont la compromission aurait le plus d'impact, les endroits où les faiblesses d'identité augmentent le risque de prise de contrôle de compte, et ceux où les droits d'accès pourraient aggraver les dommages en cas d'utilisation abusive d'un compte.

C'est là le véritable changement. Le risque humain ne se résume pas à savoir si quelqu'un clique. Il s'agit aussi de savoir si cette personne risque d'être ciblée, si son compte est facile à compromettre et ce qu'un attaquant pourrait atteindre s'il parvenait à s'introduire.

« L'avenir du risque humain ne réside pas dans davantage d'activité. Il réside dans un meilleur renseignement, une action plus rapide et des preuves plus claires. Dans un paysage de menaces façonné par l'IA, par une pression de gouvernance croissante et par des équipes sous tension, les responsables IT doivent savoir où se situe le risque, ce qu'il faut corriger en priorité et comment démontrer les progrès. C'est précisément ce qu'apporte le HRI. »
— Charles Preston, CEO & Founder chez usecure

Une manière utile d'envisager le passage du HRM au HRI consiste à le comparer à la différence entre des bilans de santé réguliers et un suivi de santé continu. Le HRM vous aide à maîtriser les fondamentaux : formation, tests de phishing, contrôles des politiques et reporting. Tout cela compte, au même titre que les bilans réguliers et de bonnes habitudes comptent.

Le HRI s'appuie sur ces fondations. Il réunit les bons signaux, vous aide à repérer où le risque commence à s'accumuler, vous montre sur quoi vous concentrer en priorité et vous permet de voir si les choses s'améliorent réellement dans le temps. Il ne s'agit pas seulement de prouver qu'une activité a eu lieu, mais d'obtenir une image plus claire du risque et d'y répondre d'une manière que vous pouvez expliquer et assumer.

Voilà pourquoi le HRI est important. Il apporte aux organisations une réponse plus concrète à une question métier : où se situe aujourd'hui notre cyber-risque d'origine humaine, qu'est-ce que nous faisons à ce sujet, et est-ce que cela fonctionne ?

Idées reçues fréquentes sur le HRI

Le HRI suscite de plus en plus d'attention, mais il est aussi facile de mal le comprendre. Voici quelques-uns des mythes les plus répandus :

• Ce n'est pas une nouvelle appellation pour la formation de sensibilisation : les programmes de sensibilisation comptent toujours, mais le HRI est plus large. Il intègre les signaux comportementaux, la posture d'identité, l'exposition liée aux accès et la valeur de la cible. Un tableau de bord de formation à lui seul n'est pas du HRI.
• Ce n'est pas simplement du phishing sous un nouveau nom : les simulations de phishing peuvent constituer une donnée d'entrée utile, mais elles ne sont qu'un signal parmi d'autres. Le HRI prend tout son sens lorsqu'il combine les données comportementales avec le contexte d'hygiène et d'accès, puis s'en sert pour orienter l'action.
• Ce n'est pas un score « boîte noire » : si un dirigeant demande pourquoi un utilisateur, une équipe ou un client présente un risque élevé, la réponse doit être claire. Un bon HRI est explicable. Il doit faire apparaître les facteurs qui sous-tendent la conclusion, et non produire un simple chiffre opaque.
• Ce n'est pas de la surveillance des employés : l'objectif du HRI n'est pas de surveiller les personnes pour le principe. Il s'agit d'identifier et de réduire l'exposition en matière de sécurité. Cela suppose d'utiliser les signaux pertinents de manière responsable, de minimiser les données superflues et d'intégrer dès la conception les considérations de confidentialité, de RH et de conformité juridique.
• Ce n'est pas une refonte intégrale : la plupart des organisations peuvent commencer avec les outils et les données dont elles disposent déjà. Le HRI consiste généralement moins à acheter une toute nouvelle stack qu'à connecter les signaux existants, à améliorer la priorisation et à mettre en place une meilleure façon de suivre l'action et les progrès.

Human Risk Management vs Human Risk Intelligence

Le Human Risk Management et le Human Risk Intelligence sont étroitement liés, mais ce ne sont pas la même chose.

Le Human Risk Management aide les organisations à mener leur activité de sensibilisation et de conformité. Le Human Risk Intelligence s'appuie sur ces fondations, mais transforme les données de programme en une vision plus claire et plus exploitable de l'exposition, afin que les équipes puissent prioriser l'action et démontrer une amélioration mesurable.

‍

‍

‍En résumé : le HRM aide les organisations à mener leurs programmes de risque humain. Le HRI les aide à comprendre où se situe l'exposition, ce qui la réduira et comment démontrer l'amélioration dans le temps.

Pourquoi le HRI est important dès maintenant

Le HRI est important dès maintenant parce que l'ancien modèle, centré uniquement sur la sensibilisation, subit des pressions de toutes parts. Les attaquants ciblent de plus en plus conjointement les personnes et les identités, l'IA accroît la sophistication de l'ingénierie sociale, les exigences de gouvernance deviennent plus contraignantes et l'on demande aux équipes de faire plus avec moins.

1. Les attaquants ciblent de plus en plus conjointement les personnes et les identités

Les rapports récents sur les violations continuent de montrer que l'élément humain reste impliqué dans une part importante des incidents, tandis que l'utilisation abusive des identifiants et la compromission de comptes demeurent parmi les voies d'accès les plus courantes aux organisations.

Cela compte, car la frontière entre le risque humain et le risque lié à l'identité a pratiquement disparu.

Un attaquant se moque de savoir si la faiblesse initiale était un clic, un mot de passe réutilisé, une MFA absente, un accès trop largement partagé ou un fournisseur compromis. Ce qui l'intéresse, c'est de savoir si une personne ou une identité lui offre une voie vers ce qui a de la valeur.

Autrement dit, un modèle étroit, centré uniquement sur la sensibilisation, ne suffit plus. Les organisations ont besoin d'une vision plus complète : qui est susceptible d'être ciblé, à quel point son compte est facile à exploiter et ce qui pourrait être atteint si cette identité était compromise.

2. L'IA a rendu l'ingénierie sociale plus difficile à repérer et plus facile à industrialiser

L'IA accélère le volet humain du cyber-risque. Elle permet un phishing et une usurpation d'identité plus rapides et plus convaincants, réduit l'écart entre les attaques grossières et les attaques soignées, et facilite l'adaptation par les attaquants du langage et du ton à leurs cibles.

Cela relève le niveau d'exigence pour les défenseurs. Un programme de sensibilisation uniforme est moins efficace lorsque les attaques sont plus personnalisées, plus crédibles et plus persistantes.

Les équipes doivent comprendre quels utilisateurs sont vulnérables de façon répétée, quels rôles sont plus susceptibles d'être ciblés et où les faiblesses d'identité facilitent la compromission. Le HRI y contribue en reliant les signaux comportementaux à la posture des comptes et au contexte métier, plutôt qu'en traitant chaque résultat de formation ou chaque clic de phishing comme un événement isolé.

3. Les dirigeants et les régulateurs attendent de plus en plus des preuves, et non de l'activité

La pression de gouvernance s'intensifie également. Les cadres et les réglementations mettent de plus en plus l'accent sur l'hygiène cyber, les contrôles d'identité, la formation, la responsabilité et la gestion mesurable du risque. Les conseils d'administration et les comités de direction posent des questions plus exigeantes sur l'efficacité, et non sur le seul effort fourni.

Cela crée un problème pour les équipes qui s'appuient encore sur les seules métriques faciles. Les taux de complétion et les pourcentages de clic sont des indicateurs opérationnels utiles, mais ils ne répondent pas à la question des dirigeants : sommes-nous réellement plus en sécurité qu'auparavant ?

Le HRI est mieux aligné sur cette réalité. Il favorise un reporting axé sur les résultats en mettant en évidence les facteurs de risque, les priorités de remédiation et des preuves avant/après capables de convaincre la direction.

4. Les équipes subissent une pression croissante pour faire plus avec moins

La pression sur les ressources est une autre raison pour laquelle cela compte dès maintenant. Les équipes de sécurité sont sous tension. Les compétences cyber restent rares. On attend des organisations qu'elles réduisent le risque de façon plus constante, avec un temps et une capacité limités.

Dans ce contexte, une meilleure priorisation devient essentielle.

Le HRI aide les équipes à concentrer leurs efforts là où ils ont le plus de chances de réduire l'exposition. Plutôt que de répartir l'attention de manière uniforme entre chaque utilisateur ou chaque signal, il permet d'orienter l'action vers les personnes, les identités et les chemins d'accès qui comptent le plus.

Les quatre piliers du HRI

Au cœur du HRI se trouvent quatre prismes pratiques qui aident à transformer des données brutes en une image plus claire de l'exposition.

1. La valeur de la cible

Qui les attaquants sont les plus susceptibles de cibler

Tous les utilisateurs n'ont pas la même importance. Certains sont plus visibles, plus privilégiés ou plus étroitement liés à des processus métier de valeur. Les cadres dirigeants, les responsables financiers, les équipes juridiques, les managers en contact avec les clients et les administrateurs attirent souvent davantage l'intérêt des attaquants en raison de ce qu'ils peuvent approuver, atteindre ou influencer.

La valeur de la cible peut inclure des signaux tels que :

• le rôle et le niveau hiérarchique
• la visibilité et l'influence dans l'entreprise
• la présence externe
• l'exposition des comptes professionnels ou personnels

C'est important, car les utilisateurs à forte valeur ne devraient pas être traités comme l'utilisateur moyen. Les modèles HRI performants les identifient clairement, les protègent différemment et les priorisent plus tôt.

2. La sensibilisation

Comment les personnes reconnaissent, évitent et signalent les menaces

La sensibilisation va au-delà de la complétion des cours pour se concentrer sur le comportement dans la durée.

Les personnes reconnaissent-elles les activités suspectes ? Les signalent-elles ? Progressent-elles ? Les mêmes utilisateurs ou équipes sont-ils vulnérables de façon répétée ? Existe-t-il des tendances liées au rôle, à la fonction ou au type d'attaque ?

La sensibilisation peut inclure des signaux tels que :

• les résultats de phishing
• les taux de signalement
• le délai de signalement
• les échecs répétés et les tendances de formation à long terme

L'essentiel est de traiter la sensibilisation comme un signal comportemental, et non comme une case de conformité à cocher. Un échec répété devrait conduire à une intervention plus intelligente, et non à la simple répétition de la même formation.

3. L'hygiène

À quel point les comptes et les comportements sont sécurisés

L'hygiène mesure la facilité avec laquelle un compte peut être compromis.

Cela inclut des facteurs tels que l'activation de la MFA et sa robustesse, l'exposition ou la faiblesse des mots de passe, le caractère obsolète ou dormant des comptes, le caractère risqué des règles de transfert de courrier et l'application cohérente des contrôles d'identité.

L'hygiène peut inclure des signaux tels que :

• le statut et la robustesse de la MFA
• l'exposition ou la réutilisation des mots de passe
• les comptes obsolètes ou orphelins
• les règles de transfert risquées ou les erreurs de configuration

L'hygiène est l'un des piliers les plus utiles du HRI, car elle révèle souvent des moyens rapides et concrets de réduire le risque.

4. Les accès

Quelle ampleur de dommages une compromission pourrait causer

Les accès mesurent l'impact. Si un compte était compromis, qu'est-ce que l'attaquant pourrait atteindre ou faire ?

Deux utilisateurs peuvent se ressembler du point de vue de la sensibilisation, mais si l'un dispose d'un accès à privilèges aux systèmes financiers, aux données clients, à l'administration cloud ou à des plateformes SaaS sensibles, le risque pour l'entreprise est très différent.

Les accès peuvent inclure des signaux tels que :

• les droits d'administration et les rôles à privilèges
• les habilitations sur les systèmes clés
• l'exposition des comptes de service
• les signes de dérive des privilèges

Ce pilier est important car il aide les équipes à prioriser en fonction du rayon d'impact, et non de la seule probabilité.

Un point de départ concret pour le HRI

L'une des plus grandes idées reçues sur le Human Risk Intelligence est qu'il exigerait une transformation majeure dès le premier jour. En pratique, la progression vers le HRI commence généralement par un changement bien plus simple : utiliser les signaux dont vous disposez déjà de manière plus connectée et plus orientée vers la décision.

Le HRI commence souvent par le regroupement des données de sensibilisation et de phishing, de l'hygiène des comptes, du contexte d'accès et d'une vision plus claire des utilisateurs les plus susceptibles d'être ciblés. L'objectif n'est pas de bâtir un modèle parfait du jour au lendemain. Il s'agit d'obtenir une vision plus claire de l'endroit où se situe le risque humain, de ce qui compte le plus et de l'endroit où l'action aura le plus d'impact.

Pour de nombreuses organisations, cela commence par trois changements concrets.

Utilisez les signaux auxquels vous faites déjà confiance

La plupart des organisations détiennent déjà des données précieuses sur l'activité de sensibilisation, la posture d'identité et les accès. Le HRI commence lorsque ces signaux sont traités comme des éléments d'une même image du risque, plutôt que comme des flux de reporting distincts.

Concentrez-vous sur ce qui compte le plus

Il peut s'agir des personnes à forte valeur, d'une hygiène de compte insuffisante, d'accès excessifs ou de schémas de comportements risqués répétés. L'objectif n'est pas de tout analyser en même temps, mais de concentrer les efforts là où ils réduiront le risque le plus vite.

Construisez de la clarté et des preuves dans le temps

Le HRI n'a pas besoin d'arriver entièrement abouti. Sa valeur grandit à mesure que les organisations améliorent la visibilité, affinent la priorisation et constituent un historique plus clair de ce qui a changé et pourquoi.

Cela reflète le modèle HRI interne, conçu comme un cercle vertueux d'amélioration continue : signaux, priorisation, actions, preuves et amélioration dans le temps.

Le HRI ne consiste pas à repartir de zéro. Il s'agit de transformer les signaux qui vous entourent déjà en de meilleures décisions sur le risque humain.

À quoi ressemble un bon HRI en pratique

Un bon modèle HRI ne se contente pas de créer davantage de visibilité. Il aide les équipes à prendre de meilleures décisions, à agir plus vite et à démontrer ce qui a changé.

En pratique, un bon HRI se présente ainsi :

• les utilisateurs et identités à haut risque sont faciles à identifier
• les raisons de ce risque sont visibles et explicables
• l'action est priorisée selon l'impact probable
• les améliorations peuvent être mesurées dans le temps
• le reporting se concentre sur l'exposition, la remédiation et les preuves, et pas seulement sur l'activité

C'est là que le HRI devient véritablement utile. Il offre aux organisations un moyen plus clair de relier l'activité liée au risque humain à des résultats métier mesurables.

Erreurs fréquentes avec le HRI, et comment les éviter

1. Considérer le HRI comme un simple changement d'étiquette du HRM

L'erreur la plus fréquente consiste à rebaptiser les mêmes tableaux de bord « HRI » sans changer le modèle opérationnel sous-jacent. Si les résultats restent uniquement centrés sur les complétions, les clics et l'activité de campagne, il n'y a pas de réelle différence.

Comment l'éviter : changez de tableau de bord. Placez au centre les tendances d'exposition, la remédiation priorisée et la réduction mesurable du risque.

2. Courir après les métriques faciles plutôt que les métriques pertinentes

Les métriques faciles sont tentantes parce qu'elles sont simples à collecter. Le problème, c'est qu'elles prouvent rarement que l'entreprise est plus en sécurité.

Comment l'éviter : utilisez un ensemble plus restreint d'indicateurs axés sur les résultats, tels que la réduction des échecs répétés, le pourcentage d'utilisateurs à forte valeur présentant une hygiène insuffisante, la réduction des privilèges ou le délai médian de remédiation des problèmes à haut risque.

3. Construire un modèle « boîte noire » que personne ne peut défendre

Si personne ne peut expliquer pourquoi un utilisateur présente un risque élevé, le modèle n'inspirera pas confiance. C'est particulièrement vrai dans les échanges avec la direction, l'audit et les achats.

Comment l'éviter : commencez par des facteurs simples et visibles. Gagnez en sophistication au fil du temps, mais gardez l'explicabilité au premier plan.

4. Vouloir tout intégrer en même temps

Les grands projets d'intégration de signaux s'enlisent souvent parce qu'ils deviennent trop vastes trop vite. Le HRI n'a pas besoin de démarrer avec chaque outil, chaque source de données et chaque utilisateur.

Comment l'éviter : commencez par une cohorte ciblée et un petit ensemble de signaux de confiance. Démontrez la valeur, puis élargissez.

5. Identifier le risque sans le corriger assez vite

La détection sans remédiation crée peu de valeur réelle. Si les utilisateurs à haut risque restent dans une file d'attente pendant des semaines, l'attaquant garde l'avantage.

Comment l'éviter : suivez la vitesse de remédiation, automatisez les correctifs sûrs lorsque c'est possible et concentrez-vous d'abord sur les problèmes qui conjuguent forte probabilité et fort impact.

FAQ sur le Human Risk Intelligence

Qu'est-ce que le Human Risk Intelligence, exactement ?

Le Human Risk Intelligence consiste à combiner les signaux de sensibilisation, d'identité, d'hygiène et d'accès pour créer une vision continue et explicable du cyber-risque d'origine humaine. Il aide les équipes à identifier qui est le plus exposé, pourquoi cela compte, ce qu'il faut prioriser et comment démontrer l'amélioration.

En quoi le HRI diffère-t-il du Human Risk Management ?

Le Human Risk Management se concentre sur la conduite de programmes tels que la formation, les simulations de phishing et le reporting. Le Human Risk Intelligence exploite les résultats de ces programmes, aux côtés des signaux d'identité et d'accès, pour prioriser l'action et démontrer des évolutions mesurables de l'exposition.

Avons-nous besoin de nouveaux outils pour commencer à faire du HRI ?

Pas nécessairement. De nombreuses organisations peuvent commencer avec les données dont elles disposent déjà, telles que les résultats de phishing, les tendances de sensibilisation, la posture MFA, les données de privilèges et les indicateurs d'hygiène des comptes. De nouveaux outils peuvent aider à passer le modèle à l'échelle, mais la première étape est généralement opérationnelle, et non technique.

En combien de temps le HRI peut-il produire des résultats ?

Certains résultats peuvent apparaître rapidement, en particulier autour de la remédiation de l'hygiène et des accès. Les améliorations comportementales peuvent prendre plus de temps. Un pilote ciblé peut souvent produire des preuves crédibles en un ou deux trimestres.

Quelles preuves la direction prendra-t-elle réellement en compte ?

La direction souhaite généralement voir une chaîne simple : à quoi ressemblait le risque auparavant, quelle action a été menée, ce qui a changé ensuite et pourquoi vous êtes convaincu que ce changement a compté. Cela doit s'appuyer sur un petit nombre de métriques axées sur les résultats, et non sur une longue liste de statistiques de campagne.

Le HRI n'est-il pertinent que pour les grandes entreprises ?

Non. Le modèle est pertinent pour les organisations de toutes tailles, car il améliore la priorisation. Toute équipe disposant de temps et de ressources limités a intérêt à savoir quels utilisateurs, identités et remédiations comptent le plus.

Le HRI n'est-il qu'une autre façon de parler du risque de phishing ?

Non. Le phishing reste une donnée d'entrée importante, mais le HRI est plus large. Il intègre qui est susceptible d'être ciblé, à quel point son compte est facile à compromettre, quels accès cette personne détient et quelle remédiation réduira le plus efficacement l'exposition.

Que devrions-nous faire en premier si nous voulons évoluer vers le HRI ?

Commencez par un petit ensemble de signaux de confiance, concentrez-vous sur les personnes et les expositions qui comptent le plus, et construisez une image plus claire du risque dans le temps. L'objectif n'est pas de tout analyser en même temps, mais de prendre de meilleures décisions avec les informations dont vous disposez déjà.

En conclusion

Les organisations n'ont pas besoin de plus d'activité pour le principe. Elles ont besoin d'un meilleur jugement, d'une meilleure priorisation et de meilleures preuves.

Voilà pourquoi le Human Risk Intelligence est important.

Il offre un moyen concret de dépasser les seules métriques de sensibilisation pour aller vers quelque chose de plus utile : une vision plus claire de l'endroit où se situe l'exposition, de l'action qui la réduira et de la manière de démontrer les progrès d'une façon en laquelle la direction peut avoir confiance.

Le Human Risk Management reste important. Il fournit nombre des données d'entrée. Mais à mesure que les menaces liées à l'IA se généralisent, que les exigences de gouvernance augmentent et que les équipes font face à une pression croissante sur le temps et les ressources, le HRI offre un moyen plus clair de prioriser l'action, de réduire l'exposition et de démontrer l'amélioration là où elle compte le plus.