Détour puis analogie… 41 % des responsables cybersécurité peinent à démontrer la valeur économique de leur action (source : CISO Report 2025). La variable clé n’est pas technique ; elle est organisationnelle. Là où la responsabilité budgétaire est partagée, la capacité à formuler un ROI progresse nettement. Leçon pratique pour la formation, et plus généralement pour la fonction RH : la rentabilité des investissements ne se mesure pas dans l’entre-soi, elle se construit dans une gouvernance élargie aux partenaires des services formation-RH.
ROI de la formation (ou des RH), serpent de mer ? Mais, les technologies numériques aidant, la question du ROI semble plus que jamais proche d’être résolue, et de permettre au ROI de constituer enfin un critère central de pilotage des formations. Les directions (DG, métiers, fonctionnelles) apprécieront que leur partenaire formation interne ait fini par disposer d’indicateurs d’activité robustes. S’il existe encore un décalage, ce n’est pas faute de disposer des compétences et des outils requis : il tient plutôt à la manière dont l’organisation structure la responsabilité. Le CISO Report 2025 (source : Splunk), qui éclaire la problématique du ROI dans le champ des investissements cybersécurité, permet de procéder par analogie. Résumons : 41 % des RSSI (pour simplifier : responsables cybersécurité) interrogés déclarent ne pas parvenir à traduire leurs actions en valeur économique claire, avec toutefois des écarts dont l’interprétation est utile… Lorsque la responsabilité budgétaire est partagée avec des fonctions non techniques (finance, juridique, direction générale), 35 % réussissent à formuler un ROI explicite ; au contraire, ils ne sont plus que 25 % lorsqu’ils restent isolés. Même logique du côté technique : 35 % démontrent un ROI quand ils copilotent avec d’autres responsables ; 20 % seulement y parviennent quand ils agissent seuls. Conclusion : la solution réside largement dans le niveau de collaboration.
Le ROI : une construction collective
La formation connaît une dynamique comparable. Les indicateurs internes à la formation sont maîtrisés : volumes délivrés, taux de complétion, satisfaction, déploiement de dispositifs. (On pourrait de même mentionner les multiples indicateurs et données dont s’affublent les services RH). Ces données décrivent une activité. Elles ne traduisent pas nécessairement une valeur économique. Tant que les objectifs sont définis à l’intérieur de la fonction formation, puis présentés en fin de cycle aux financiers de l’entreprise ou au commanditaire de la formation, le ROI reste fragile. Non parce qu’il serait absent, mais parce qu’il n’a pas été codéterminé. Les clients internes de la formation arbitrent selon leurs propres critères : les métiers évaluent selon leurs propres enjeux opérationnels, la direction générale raisonne en performance globale, etc. Si ces référentiels ne sont pas alignés dès l’origine, la démonstration devient incertaine. Le rapport mentionné montre que le partage de la responsabilité budgétaire modifie la capacité à formuler le ROI. Partage signifie définition conjointe des objectifs, des risques et des impacts attendus. La formation peut en tirer un principe simple : le ROI se construit lorsque l’on définit la cible, pas lorsque l’on présente les résultats !
Du pilotage d’activité au pilotage d’impact
L’étude souligne également un décalage de perception. 73 % des RSSI estiment que les attentes des dirigeants concernant la vitesse de correction des vulnérabilités sont irréalistes ; 72 % jugent irréalistes les attentes relatives à l’impact d’une cyberattaque sur le chiffre d’affaires. Le désalignement provient d’un écart de langage entre expertise technique et pilotage économique. La formation est exposée au même risque. Lorsque l’on parle ingénierie pédagogique et dispositifs, la direction générale parle performance, productivité, marges, réduction des risques. Tant que ces registres restent parallèles, le ROI demeure abstrait. Passer d’un pilotage d’activité à un pilotage d’impact suppose de formuler les objectifs en termes opérationnels : réduction mesurable du temps d’intégration, amélioration du taux de transformation commerciale, diminution des erreurs qualité, accélération de la prise de poste managériale. Ces objectifs ne relèvent pas d’une seule fonction. Ils relèvent d’une responsabilité partagée.
Changer de statut organisationnel
On insistera sur ce point : là où la cybersécurité (la formation) agit seule, elle peine à démontrer sa valeur. Là où elle copilote, la probabilité de formuler un ROI digne de ce nom progresse significativement. Il ne s’agit pas iici d’ajouter des indicateurs, mais de modifier la gouvernance. Co-piloter avec les commanditaires, voire les financiers, pour définir les critères économiques, identifier les leviers de performance prioritaires, aligner les ambitions sur la stratégie globale. Le ROI ne relève pas d’une équation technique. Il relève d’un positionnement organisationnel. Tant que la formation demeure un centre d’activité autonome, sa contribution reste discutée. Lorsqu’elle devient un levier stratégique coresponsable de la performance, la démonstration économique s’impose d’elle-même.
Par la rédaction de L’essentiel RH-Learning.