Vos équipes sont votre meilleure ligne de défense

Le comportement humain est désormais la principale vulnérabilité dans les menaces de cybersécurité

La façon dont les entreprises envisagent la cybersécurité doit évoluer. La plupart d’entre elles ont investi massivement dans de meilleurs pare-feu, dans la surveillance des menaces en temps réel, dans des outils d’authentification avancés, et j’en passe. La technologie est devenue très performante. Mais les attaquants n’essaient plus de battre la technologie. Ils ciblent et trompent les gens à la place. C’est là que réside le véritable risque.

Cette évolution est confirmée par les chiffres. Le rapport 2024 Verizon Data Breach Investigations Report montre que 60 % des violations sont le fait d’une action humaine. Il ne s’agit pas d’une défaillance matérielle, ni d’un logiciel non corrigé, mais d’une prise de décision humaine. Cette statistique n’a pas changé depuis cinq ans. La menace ne se situe plus principalement au niveau de l’infrastructure. Elle est opérationnelle, motivée par le comportement.

Si vous considérez encore la cybersécurité comme un défi purement technique, vous êtes à la traîne. Le problème réside désormais dans la façon dont les gens interagissent avec les courriels, les mots de passe, les applications et entre eux. L’hameçonnage, l’ingénierie sociale, le partage accidentel de données sont les premières étapes des attaques d’aujourd’hui.

Cela représente à la fois un problème et une opportunité. Le problème est évident : aucun outil ne peut supprimer l’élément humain. Mais l’opportunité est tout aussi évidente. Si vous parvenez à modifier le comportement humain à l’échelle de votre organisation, vous réduirez considérablement votre empreinte de risque. Et cela ne nécessite pas plus de technologie. Il faut mieux réfléchir à la manière dont les gens travaillent et dont les équipes fonctionnent.

Les organisations fortes résoudront ce problème. Les autres verront les attaquants continuer à prospérer.

Une faible culture de la sécurité est à l’origine des cyberrisques liés à l’être humain

On entend souvent dire que « les gens sont le maillon faible ». C’est une pensée paresseuse. Ce n’est pas que les employés s’en fichent. Ils s’en soucient. Ils veulent protéger l’organisation. Mais la plupart du temps, ils sont voués à l’échec.

Les politiques de sécurité sont rédigées pour les auditeurs. La formation est dépassée. Les règles sont confuses, pleines d’acronymes et de jargon technique, et en constante évolution. Le résultat est que les employés n’ignorent pas la sécurité parce qu’ils sont négligents, ils l’ignorent parce que le système qui les traite comme le problème entraîne un désengagement.

Le problème, c’est le non-alignement. Lorsque les systèmes et les politiques sont élaborés sans tenir compte de la façon dont les gens travaillent, ces politiques deviennent des obstacles et non des protections. Si la sécurité semble séparée de la façon dont les gens font leur travail, ils trouvent des moyens de la contourner. C’est alors que le risque entre dans l’équation.

Les dirigeants doivent cesser de considérer les défaillances de sécurité comme des défaillances individuelles. C’est une vision à court terme. Examinez plutôt votre environnement. Faites-vous de la sécurité l’option la plus facile ? Les employés sont-ils encouragés à suivre les meilleures pratiques, ou le système est-il si rigide qu’ils optent pour la rapidité plutôt que pour le protocole ?

Culturellement, cela fait une différence. Les organisations les plus performantes considèrent les personnes comme des multiplicateurs de force, et non comme des risques à gérer. Cela commence par la reconnaissance du fait qu’une culture de la sécurité forte se construit, et n’est pas imposée. Vous la créez par la conception, la communication et le soutien.

Le blâme ne réduit pas le risque. La précision et le leadership le font.

Une forte culture organisationnelle de la sécurité est essentielle et devrait être une priorité.

La plupart des entreprises surinvestissent dans les outils. Elles investissent des millions dans l’infrastructure, les logiciels et les systèmes de contrôle, mais n’investissent pas assez dans les personnes qui les utilisent. C’est une lacune. Elle rend l’ensemble de votre stratégie vulnérable. Car en fin de compte, le système n’est aussi solide que les décisions que les personnes prennent en son sein.

Un outil de sécurité peut détecter une menace connue. Mais il ne peut pas empêcher quelqu’un de cliquer sur un lien suspect, de sauter une mise à jour critique ou de mal manipuler des données sensibles. C’est ce qui constitue la majorité des violations. Vous devez changer d’état d’esprit en matière d’investissement. La culture de la sécurité doit bénéficier de la même priorité et du même budget que votre pile technologique.

Lorsque les employés comprennent la raison d’être d’une politique, la manière de l’appliquer et les risques encourus si elle n’est pas respectée, ils agissent différemment. C’est à cela que ressemble une solide culture de la sécurité. C’est lorsque le comportement sécuritaire est attendu, cohérent et naturel.

Vous pouvez disposer de la meilleure technologie qui soit. Mais si les personnes qui l’utilisent ne sont pas alignées, cela crée des angles morts. C’est là que les attaquants gagnent. Non pas à cause d’une faille dans le code, mais parce que les processus humains qui l’entourent sont faibles ou incohérents.

La direction doit envoyer un message clair. La sécurité n’est pas seulement une préoccupation technique, c’est une nécessité pour l’entreprise. Ce message ne se limite pas à des diapositives et à des mémos. Il a besoin d’un budget, d’une influence et d’une visibilité dans l’ensemble de l’organisation. La culture détermine les résultats. Ignorez-la, et tout le reste est fragile.

La culture de la sécurité est définie par les croyances et les attitudes communes des employés en matière de cybersécurité.

Chaque entreprise possède déjà une culture de la sécurité. La vraie question est de savoir si elle travaille pour vous ou contre vous. Les gens se forgent des convictions basées sur ce qu’ils voient, entendent et expérimentent régulièrement. S’ils pensent que la sécurité est le travail de quelqu’un d’autre ou un obstacle à la productivité, ces croyances façonnent le comportement et augmentent généralement les risques.

La culture est ce que les gens croient réellement lorsque personne ne les regarde. S’ils se sentent soutenus, informés et en confiance, ils prennent de meilleures décisions. S’ils se sentent désorientés, ignorés ou punis, ils ne posent pas de questions. Au lieu de cela, ils font des suppositions.

Les dirigeants doivent s’intéresser à la manière dont la sécurité est perçue à tous les niveaux de l’entreprise. Les gens se sentent-ils concernés ? Comprennent-ils pourquoi certaines actions sont importantes ? Si ce n’est pas le cas, il est temps d’y remédier. En effet, si elle n’est pas contrôlée, une culture faible devient une porte d’entrée pour des violations qui pourraient être évitées.

La sécurité doit faire partie du flux de travail et ne pas être un fardeau à part. Si elle est perçue comme un élément supplémentaire qui bloque le progrès ou introduit des frictions, les gens la contournent. C’est alors que les erreurs se produisent.

Faites en sorte que les croyances soient justes, et le comportement suivra. Les employés ne devraient pas avoir à deviner où se situe la sécurité. Ils doivent comprendre qu’elle fait partie de leur travail et bénéficier d’un environnement leur permettant d’agir en conséquence. C’est une réalité opérationnelle pour les organisations à haut niveau de confiance et à faible risque.

Pour changer les comportements, il faut repenser l’environnement de travail afin de favoriser des habitudes sûres.

Si vous voulez que les gens adoptent un comportement sûr, commencez par créer un environnement dans lequel ce comportement a un sens. La plupart des erreurs de sécurité ne se produisent pas parce que les gens s’en fichent, mais parce que le système qui les entoure récompense la commodité, ignore les frictions ou punit la transparence. Il s’agit là d’un échec de conception, et non d’un échec d’utilisation.

La sécurité doit être intégrée dans les outils qu’ils utilisent, les processus qu’ils suivent et les attentes qu’ils nourrissent. Si suivre la voie de la sécurité demande plus d’efforts, des étapes supplémentaires ou ralentit les choses, ils la contourneront, même s’ils sont bien formés ou bien intentionnés.

Vous pouvez induire un véritable changement de comportement si vous vous concentrez sur les systèmes et les incitations qui influencent les décisions. Lorsque les gens savent que la sécurité est prise au sérieux, lorsqu’ils disposent d’outils qui leur facilitent la tâche et lorsqu’ils sont récompensés pour avoir bien fait les choses, ils réagissent. Les comportements sécurisés s’améliorent lorsqu’ils sont soutenus, et non simplement exigés.

Créez des flux de travail qui renforcent la sécurité en tant que responsabilité partagée. Cela signifie qu’il faut réduire la complexité, éliminer le langage technique là où il n’est pas nécessaire et intégrer les politiques dans les points d’accès que les gens utilisent déjà. Il ne s’agit pas de dire aux gens d’être prudents, mais de leur donner les moyens de prendre de bonnes décisions sans avoir à trop réfléchir.

La culture ne change que lorsque l’environnement exige un comportement différent et le récompense de manière cohérente. Ne vous concentrez pas sur la sensibilisation en tant que case à cocher. Concentrez-vous sur la structuration du travail afin que les habitudes sûres ne soient pas des efforts particuliers, mais des valeurs par défaut.

Quatre leviers principaux permettent d’orienter et de mesurer la culture de la sécurité

Une solide culture de la sécurité n’est pas le fruit du hasard. Elle est le fruit de pressions délibérées qui influencent la façon dont les gens pensent, agissent et se sentent face à la cybersécurité. Quatre leviers sont importants : le leadership, l’engagement de l’équipe de sécurité, la conception des politiques et la formation.

Commencez par le leadership. Ce que les dirigeants approuvent, financent et mesurent indique à l’organisation ce qui est important. Si la sécurité est liée à des résultats tels que les primes, le budget ou la responsabilité publique, les gens la prennent au sérieux. Si elle est absente des priorités de la direction, le message se perd.

Vient ensuite l’équipe de sécurité. Ce groupe représente la sécurité plus que tout autre. S’ils sont réactifs, serviables et clairs, ils renforcent leur influence. S’ils sont perçus comme des bloqueurs ou des bureaucrates, les employés se désengagent. La façon dont votre équipe se présente au quotidien a un effet considérable sur la culture.

La conception des politiques est constante. Les politiques ne devraient pas se trouver dans des PDF que personne ne lit ou que personne ne surveille lors de la mise à jour des journaux. Si une politique est truffée de termes juridiques ou de complexité technique, ne vous attendez pas à un comportement cohérent. Élaborez des politiques directes, intuitives et conçues pour les gens.

Ensuite, il y a la formation. Une mauvaise formation fait perdre du temps et montre que la sécurité n’a pas d’importance. Une bonne formation est spécifique à un rôle, actuelle et dispensée de manière à ce que les gens s’en souviennent et l’appliquent. Il s’agit de renforcer l’idée qu’un comportement sûr est un comportement quotidien.

Ces quatre éléments ne sont pas isolés. Ils déterminent la perception. Et la perception détermine le comportement. Demandez à votre équipe comment elle perçoit la sécurité dans ces domaines. Leurs réponses vous indiqueront si votre culture fonctionne ou non.

Un mauvais alignement de la culture sur les quatre leviers entraîne la méfiance et le désengagement des employés.

Les dirigeants peuvent parler de sécurité autant qu’ils le souhaitent. Mais si les employés vivent une expérience différente, le message ne passe pas. Si les dirigeants affirment que la sécurité est une priorité absolue, mais que les politiques sont frustrantes, que la formation est recyclée et que l’équipe de sécurité agit comme un gardien, cette déconnexion sape tout.

La culture se construit par l’alignement. Cela signifie que les dirigeants définissent les orientations, que l’équipe de sécurité les renforce, que les politiques sont utilisables et que la formation apporte une valeur ajoutée. Lorsque ces leviers sont synchronisés, les gens font confiance au système et participent. Lorsqu’ils ne sont pas synchronisés, les gens se retirent et les risques augmentent.

Le désalignement n’est pas toujours évident. Il se manifeste par de petites actions quotidiennes. Les employés sautent la formation obligatoire parce qu’elle n’est pas pertinente. Les équipes choisissent des raccourcis parce que les processus formels sont trop lents. Des personnes qui hésitent à poser une question de peur d’être blâmées. Ces comportements se normalisent si l’organisation n’en corrige pas la cause.

Pour y remédier, les dirigeants ont besoin d’un véritable retour d’information, et non de suppositions. Demandez à vos équipes dans quelle mesure le leadership, les politiques, les équipes de sécurité et la formation les soutiennent réellement. Si les réponses montrent des doutes ou de la confusion, c’est un signal d’alarme. La confiance s’érode rapidement lorsque les systèmes disent une chose mais en font une autre.

Pour y remédier, il ne s’agit pas de rédiger de nouvelles notes de service. Il s’agit de s’assurer que ce que les employés voient et ce qu’on leur dit correspondent. L’alignement des moteurs de la culture de sécurité est ce qui rend la sécurité cohérente, crédible et efficace. Sans cela, même les bonnes intentions sont ignorées et les risques de sécurité restent élevés.

Dernières réflexions

Si vous pensez que le risque cybernétique n’est encore qu’une question technique, vous vous trompez. La plupart des violations ne se produisent pas parce que quelqu’un a oublié de patcher un système. Elles se produisent parce que les organisations ne parviennent pas à relier les personnes, les processus et les objectifs autour de la sécurité.

Les outils continueront d’évoluer. Les vecteurs de menace continueront à se déplacer. Mais ce qui ne changera pas, c’est le fait que la sécurité est déterminée par le comportement humain, façonnée par la culture, et non par la configuration. C’est là que se trouve votre principal levier d’action.

Si vous voulez vraiment réduire les risques, ne traitez pas la culture de la sécurité comme une réflexion après coup. Traitez-la comme une infrastructure. Prévoyez un budget à cet effet. Mesurez-la. Dirigez-la. Les organisations qui y parviennent ne seront pas seulement plus difficiles à violer, elles seront aussi plus résilientes, plus fiables et plus alignées du haut vers le bas.

Alexander Procter

août 25, 2025

13 Min

Technologies et innovation
Avant d’innover il faut éliminer la dette technique
Sep 1, 2025
10 min
Technologies et innovation
L’IA va plus loin quand le contrôle suit le rythme
Sep 1, 2025
14 min
Technologies et innovation
Réinventer la gouvernance pour booster l’IA en entreprise
Sep 1, 2025
11 min

Vos équipes sont votre meilleure ligne de défense

Le comportement humain est désormais la principale vulnérabilité dans les menaces de cybersécurité

Une faible culture de la sécurité est à l’origine des cyberrisques liés à l’être humain

Une forte culture organisationnelle de la sécurité est essentielle et devrait être une priorité.

La culture de la sécurité est définie par les croyances et les attitudes communes des employés en matière de cybersécurité.

Pour changer les comportements, il faut repenser l’environnement de travail afin de favoriser des habitudes sûres.

Quatre leviers principaux permettent d’orienter et de mesurer la culture de la sécurité

Un mauvais alignement de la culture sur les quatre leviers entraîne la méfiance et le désengagement des employés.

Dernières réflexions

Avant d’innover il faut éliminer la dette technique

L’IA va plus loin quand le contrôle suit le rythme

Réinventer la gouvernance pour booster l’IA en entreprise

Les meilleurs conseils de perfectionnement pour les professionnels de l’informatique d’Apple

Spark! Une étincelle d’innovation.

Logiciel de livraison du dernier kilomètre : Exploiter les données en temps réel pour plus d’efficacité

Conception réactive ou adaptative : Choisir la bonne approche

Renforcer la fidélité des clients : L’importance du suivi numérique des commandes sur les plateformes de commerce électronique

Explorer le potentiel de l’informatique périphérique multi-accès dans les applications IdO

L’équilibre entre la personnalisation et la protection de la vie privée dans le monde numérique

Mots clés de longue traîne ou de courte traîne : Lequel est le meilleur pour les conversions

Les informations « cross-devices » révolutionnent les stratégies marketing à l’ère du tout-mobile

Chef de Projet: 4 solutions pour éviter les pièges de l’estimation de temps

Accélérez votre transformation digitale

Spark, une étincelle d’innovation !