E-learning, affiches, faux phishing : les entreprises multiplient les dispositifs de sensibilisation. Mais une question demeure souvent absente : quel comportement cherche-t-on réellement à faire évoluer ? Timoléon Tilmant, fondateur de Je Sensibilise, donne ses conseils d'expert à Mélissa Périé Betton

Les collaborateurs savent qu’ils ne devraient pas cliquer sur un lien suspect. Ils savent qu’un mot de passe faible est risqué. Ils savent qu’un poste de travail doit être verrouillé. Pourtant, les incidents liés aux usages humains persistent. Pour Timoléon Tilmant, fondateur de Je Sensibilise et ancien RSSI de Wavestone, le problème ne tient pas d’abord à un manque d’information. « Ce n’est pas parce qu’on sait qu’on doit faire quelque chose qu’on le fait », rappelle-t-il. Les attaquants l’ont bien compris, leurs campagnes jouent sur l’urgence, la peur de perdre un accès, l’appât du gain ou la pression du quotidien.

Ecouter l’épisode sur votre plateforme de podcasts préférée : https://smartlink.ausha.co/incyber-voices/la-sensibilisation-cyber-ne-se-decrete-pas-elle-se-cultive

Ou directement ici :

Face à cela, la sensibilisation cyber reste souvent pensée comme une accumulation de formats : une affiche, un module e-learning, une campagne de phishing, puis un indicateur de complétion à présenter en comité de direction. Une logique que Timoléon résume par une formule : « Think comportement before outil. »

L’enjeu consiste d’abord à identifier les pratiques qui posent problème dans une organisation donnée. Les collaborateurs utilisent-ils des outils non validés ? Remontent-ils les incidents suffisamment tôt ? Verrouillent-ils leurs postes ? Comprennent-ils à qui s’adresser lorsqu’ils ont un doute ? Les réponses ne seront pas les mêmes dans un siège social, une usine, un entrepôt ou auprès d’équipes commerciales nomades.

Cette approche oblige aussi les équipes cyber à interroger leurs propres processus. Dans une entreprise accompagnée par Je Sensibilise, des salariés achetaient ou utilisaient des solutions sans en informer la DSI. En creusant, l’équipe a découvert l’existence de deux formulaires internes… dont personne ne consultait les réponses. Avant de demander aux collaborateurs d’adopter le bon comportement, encore faut-il leur proposer un parcours simple, visible et réellement suivi.

Les sciences comportementales offrent ici des leviers concrets. Le nudge, ou « coup de pouce », consiste à placer le bon message au bon moment, sans retirer le choix à l’utilisateur. Timoléon Tilmant cite un exemple simple : des autocollants placés sur les touches Windows et L d’un clavier pour rappeler visuellement le raccourci de verrouillage d’un poste. Une action peu coûteuse, mais plus utile qu’une consigne oubliée quelques heures après sa lecture.

Cette vision redonne aussi une dimension collective à la sensibilisation. Le RSSI ne peut pas porter seul le sujet. Les RH doivent intégrer la sécurité dans les parcours d’arrivée et les formations métiers. La communication peut rendre les messages plus compréhensibles. Les managers doivent les relayer. Quant à la direction générale, elle doit assumer publiquement que la cybersécurité est un enjeu de fonctionnement, pas seulement une affaire technique.

Le vrai indicateur n’est donc pas seulement le taux de satisfaction d’un module ou le nombre de personnes ayant terminé une formation. C’est la capacité d’une organisation à observer des comportements qui évoluent : davantage de signalements, des postes mieux protégés, des usages plus transparents et, surtout, des collaborateurs qui n’ont plus peur de demander de l’aide.

La sensibilisation cyber ne consiste pas à répéter les règles. Elle consiste à rendre le bon geste possible, compréhensible et suffisamment simple pour devenir un réflexe.

Restez informés en temps réel
S'inscrire à
la newsletter
En fournissant votre email vous acceptez de recevoir la newsletter de Incyber et vous avez pris connaissance de notre politique de confidentialité. Vous pourrez vous désinscrire à tout moment en cliquant sur le lien de désabonnement présent dans tous nos emails.
Restez informés en temps réel
S'inscrire à
la newsletter
En fournissant votre email vous acceptez de recevoir la newsletter de Incyber et vous avez pris connaissance de notre politique de confidentialité. Vous pourrez vous désinscrire à tout moment en cliquant sur le lien de désabonnement présent dans tous nos emails.