Depuis des années, le secteur de la cybersécurité est confronté à une contradiction gênante.
On décrit souvent les employés comme le principal risque auquel sont confrontées les organisations, mais la plupart des entreprises n’ont toujours pas mis en place les systèmes, les structures d’accompagnement ou les modèles opérationnels nécessaires pour aider leurs collaborateurs à adopter un comportement sûr dans leur environnement de travail.

Cette tension est au cœur même des difficultés auxquelles sont confrontés de nombreux responsables de la sécurité des systèmes d’information (RSSI). Selon Étude de MetaCompliance, 68 % d’entre eux estiment que les employés constituent le principal risque en matière de cybersécurité pour leur organisation. Parallèlement, 75 % pensent que leurs employés ne comprennent pas pleinement le rôle qu’ils jouent dans la prévention des incidents, tandis que 77 % admettent ne pas disposer d’un modèle clair pour réduire les risques liés à l’humain en matière de cybersécurité.
Il est clairement admis que le risque cyber lié au facteur humain est un enjeu important ; ce qui fait défaut, c’est la confiance dans les moyens de le gérer efficacement.
Pourquoi le sentiment de culpabilité persiste-t-il ?
Lorsqu’un incident cybernétique se produit, il est naturel que les organisations se concentrent sur le moment visible où quelque chose a mal tourné.
Un employé a cliqué sur un lien malveillant. Quelqu’un a communiqué des informations sensibles à la mauvaise personne. Un « deepfake » a contourné les contrôles internes.
L’individu devient alors le point central, car les actions humaines sont plus faciles à identifier que les faiblesses opérationnelles qui les sous-tendent. Cela donne lieu à un discours plus simple, dans lequel le problème est présenté comme résultant de mauvais choix plutôt que d’une culture d’entreprise, de la conception des processus, de priorités contradictoires ou d’une responsabilité fragmentée au sein de l’entreprise.
De nombreuses organisations continuent par ailleurs de fonctionner selon ce que l’on pourrait qualifier de « raisonnement du maillon faible ». Les êtres humains étant considérés comme imprévisibles par rapport aux contrôles techniques, les programmes de sécurité s’attachent naturellement à réduire les erreurs des employés par le biais de la formation, de la sensibilisation et de l’application des règles.
La difficulté réside dans le fait que les collaborateurs n’évoluent pas dans des environnements contrôlés et ne sont pas tous confrontés aux mêmes risques ou pressions que ceux évoqués par la plupart des programmes de sensibilisation à la sécurité. Un collaborateur du service financier chargé du traitement des factures est confronté à des menaces très différentes de celles d’un développeur utilisant des outils d’IA, d’un cadre supérieur effectuant de fréquents déplacements ou d’une équipe du service client gérant des données sensibles à un rythme soutenu.
Les décisions en matière de sécurité sont prises au cœur même du travail quotidien, alors que les employés doivent jongler entre des priorités contradictoires ; ces décisions sont souvent prises en quelques secondes, sous pression et sans disposer de toutes les informations nécessaires.
C’est en partie pour cette raison que la tendance à rejeter la faute sur autrui a perduré si longtemps. Les erreurs humaines semblent concrètes et immédiates, tandis que les défaillances organisationnelles sont plus difficiles à évaluer et concernent souvent plusieurs équipes.
Pourquoi le fait de rejeter la faute sur quelqu’un ne permet pas de réduire les risques
Le fait de rejeter la faute sur quelqu’un ne modifie que rarement les comportements de manière significative ou durable. La plupart des employés ne créent pas de risques intentionnellement. En réalité, beaucoup s’efforcent d’agir correctement tout en évoluant dans des environnements où il est difficile d’adopter en permanence un comportement sûr.
Lorsque les organisations se concentrent sur les actions de sensibilisation à la sécurité sans tenir compte du contexte général dans lequel évoluent leurs collaborateurs, la formation à la sécurité devient une simple formalité à accomplir plutôt qu’un véritable soutien à la prise de décision dans les situations à haut risque.
Nos recherches indiquent que les RSSI sont de plus en plus conscients de ce décalage. 81 % d’entre eux estiment que les actions de sensibilisation à la sécurité échouent car elles sont perçues comme trop génériques pour être pertinentes à un niveau personnel, tandis que 83 % affirment qu’ils pourraient réduire plus rapidement les risques cyberliés d’origine humaine s’ils disposaient de meilleurs moyens pour déterminer en priorité qui a besoin de quelle intervention, et à quel moment.
Par ailleurs, seules 24 % des organisations ont mis en place une approche mûre et intégrée de la gestion des risques liés au personnel, et aucune n’a indiqué proposer des contenus de sensibilisation dynamiques adaptés aux risques spécifiques auxquels les salariés sont confrontés au quotidien.
Cet écart est important, car la sensibilisation a ses limites tant que les systèmes environnants restent inchangés.
Les employés peuvent comprendre les principes de sécurité en théorie, mais leur mise en pratique dans des situations concrètes s’avère bien plus difficile lorsque la charge de travail est importante, que les processus manquent de clarté ou que les contraintes opérationnelles privilégient la rapidité au détriment de la prudence.
Le fait de rejeter la faute sur autrui entraîne également des conséquences culturelles imprévues. Les employés hésitent davantage à signaler des erreurs ou à faire part de leurs préoccupations s’ils craignent les critiques ou les répercussions. À terme, cela affaiblit la confiance entre les équipes de sécurité et l’ensemble du personnel, ce qui rend plus difficile la mise en évidence des risques.
Les sciences comportementales à l’origine des risques liés à la cybersécurité chez l’être humain
L’une des évolutions majeures que connaît actuellement le domaine de la cybersécurité réside dans la prise de conscience croissante que le comportement est influencé par l’environnement.
Les gens prennent rarement des décisions sans tenir compte de leur charge de travail, de leur culture d’entreprise, des mesures incitatives, des styles de communication ou de la pression opérationnelle. Les sciences du comportement ont démontré que les êtres humains ont tendance à privilégier par défaut la facilité, la rapidité et l’habitude lorsqu’ils sont soumis au stress ou à une surcharge cognitive.
C’est important car de nombreuses organisations attendent de leurs collaborateurs qu’ils identifient des menaces de plus en plus sophistiquées, alors qu’ils évoluent dans des environnements qui compliquent la prise de décisions réfléchies.
L’IA accentue encore ce défi. On attend désormais des employés qu’ils soient capables de repérer les e-mails de hameçonnage hautement personnalisés et les tactiques d’ingénierie sociale en constante évolution, tout en continuant à travailler rapidement et efficacement.
Nos recherches ont révélé que 46 % des RSSI qui se sentent moins confiants dans leur capacité à gérer les risques cyberliés aux facteurs humains qu’il y a 12 mois citent l’ingénierie sociale assistée par l’IA comme l’un des principaux facteurs à l’origine de cette situation. Les attaques deviennent de plus en plus convaincantes, de plus en plus ciblées et bien plus difficiles à détecter dans le cadre du travail quotidien.
78 % des RSSI ont déclaré que les décideurs de haut niveau ne comprenaient pas pleinement les risques de sécurité posés par les employés. Ce décalage engendre une situation délicate dans laquelle la responsabilité de réduire les risques cyberliés au facteur humain est rejetée sur les individus, sans que l’on accorde suffisamment d’attention aux facteurs organisationnels plus larges qui influencent les comportements.
La réalité est que les employés sont fortement influencés par les systèmes qui les entourent. Si les flux de travail sont trop complexes, si les procédures de signalement manquent de clarté ou si la productivité prime systématiquement sur la sécurité, les employés adaptent naturellement leur comportement en conséquence.
Il est plus facile d’adopter un comportement sécurisé lorsque les organisations veillent à ce qu’il soit pertinent et encouragé dans le cadre du travail quotidien.
À quoi ressemble un modèle axé sur l’accompagnement ?
Les organisations avant-gardistes commencent à aborder différemment les risques liés au facteur humain dans le domaine de la cybersécurité.
Plutôt que de considérer les employés comme une source de risque à maîtriser, elles commencent à les voir comme des acteurs d’un écosystème de sécurité plus large qui nécessite un soutien et un renforcement permanents.
Cela change complètement la façon dont les organisations envisagent les formations à la sensibilisation à la sécurité.
Au lieu de s’appuyer sur des campagnes générales et génériques déployées de manière uniforme dans l’ensemble de l’entreprise, les équipes de sécurité s’orientent vers des approches plus contextuelles et axées sur le comportement. En effet, 81 % des RSSI s’accordent à dire que la solution réside dans un meilleur ciblage, et non dans davantage de formation, tandis que 83 % d’entre eux affirment qu’ils pourraient réduire plus rapidement les risques cyberliés d’origine humaine s’ils disposaient de meilleurs moyens pour déterminer en priorité qui a besoin de quelle intervention, et à quel moment.
La formation devient de plus en plus spécifique à chaque fonction et mieux adaptée à l’exposition réelle aux risques. Cependant, de nombreuses organisations peinent encore à y voir clair : 76 % des RSSI indiquent qu’il est difficile de déterminer quelles mesures s’avèrent les plus efficaces pour les différentes fonctions ou les différents profils de risque.
Ces organisations accordent également une grande importance à la mesure et à la visibilité. Elles souhaitent comprendre où se concentrent les risques cyberliés au facteur humain, quels comportements entraînent la plus grande exposition aux risques et où un soutien supplémentaire est nécessaire.
C’est là que la gestion des risques liés au facteur humain prend toute son importance.
Chez MetaCompliance, nous constatons que les organisations vont au-delà des simples actions de sensibilisation pour s’orienter vers des stratégies plus abouties, alliant l’analyse comportementale, des interventions ciblées et une réduction mesurable des risques. L’accent n’est plus mis sur la simple validation de la participation à une formation, mais sur la vérification de l’amélioration progressive des comportements sécuritaires au fil du temps.
Cela nécessite également une meilleure coordination entre les équipes chargées de la sécurité, des ressources humaines, de la direction et des opérations. Le risque cyberlié au facteur humain ne peut pas incomber exclusivement aux services de sécurité, dans la mesure où le comportement des employés est influencé par la culture d’entreprise, les systèmes, la communication et les priorités commerciales.
Les entreprises qui progressent le plus sont celles qui posent des questions différentes. Au lieu de se concentrer uniquement sur les raisons pour lesquelles les employés ont commis des erreurs, elles s’attachent à déterminer quelles conditions ont favorisé la survenue de ces erreurs.
La gestion des risques cyberliés au facteur humain nécessite un changement de mentalité
Les risques liés aux erreurs humaines dans le domaine de la cybersécurité ne sont pas près de disparaître. Au contraire, ils deviennent de plus en plus complexes et sont de plus en plus étroitement liés aux opérations quotidiennes des entreprises.
Les organisations qui continuent de recourir à la recherche de responsables comme principale réponse aux cybermenaces risquent d’avoir du mal à réaliser des progrès significatifs, car cette approche ne fournit pas de feuille de route pour s’améliorer.
Les organisations qui évolueront le plus rapidement seront celles qui cesseront de considérer leurs collaborateurs comme un problème à résoudre et commenceront à traiter le risque cyberliée au facteur humain comme un défi organisationnel commun à gérer collectivement.
Car le blâme n’est pas un moyen de contrôle.
Vous souhaitez découvrir l’intégralité des résultats ?
Téléchargez l’intégralité du document « Repenser le risque cyber lié à l’humain » » pour découvrir comment 200 RSSI à travers l’Europe repensent la sensibilisation à la sécurité, les risques comportementaux et l’avenir de la gestion des risques humains.