Entre lassitude, surcharge de travail et la constante évolution des cyberattaques, il n’est pas toujours évident de maintenir la motivation de ses équipes à adopter les gestes barrières de la cybersécurité et s’autodiscipliner en termes de vigilance. Bref, en un mot et un seul, créer un culture cyber au sein de votre entreprise.
Voici quelques idées pratiques pour vous inspirer.
Sensibiliser vos employés est essentiel, pourquoi
Vous le savez par cœur, les cyberattaques ne sont plus une question de « si » mais de « quand » et toutes les entreprises sont touchées par des menaces de phishing, malware, ransomware, tout secteur et toute taille confondus
Et évidemment, les pertes financières sont conséquentes sur plusieurs années à cause de l’impact sur la réputation de l’entreprise générée par une rupture de confiance de ses différents interlocuteurs, internes et externes.
De même, vous savez que ces cyberattaques proviennent d’une mauvaise habitude, d’un manque d’attention, d’une négligence qu’exploitent les pirates. Autre cas de figure, plus rare, la cyberattaque peut survenir par un acte intentionnel de nuire à l’entreprise, dû à un licenciement abusif, une sanction injuste, une rumeur nauséabonde, dont un employé a été victime.
La question de la cybersécurité est par conséquent, au-delà des solutions technologiques, une question de management. Vous pouvez bénéficier d’une infrastructure cyber des plus performantes, si votre management n’est pas éthique et efficace, elle aura moins d’impact.
L’objectif est de mettre en place une communication interne créative et puissante pour transformer vos employés en première ligne de défense. Plusieurs stratégies sont possibles.
Sommaire de l’article :
- Les freins à la sensibilisation
- Créer une culture Cyber
- Les bénéfices d’une culture Cyber
- Téléchargez le guide
Les freins à la sensibilisation cyber et comment les lever
Il est crucial de bien cerner et analyser les freins à la sensibilisation, pour pouvoir y apporter des solutions. Nous avons identifié cinq principaux obstacles.
Obstacle 1 – Surcharge de travail
Si vos employés croulent sous leur charge de travail, ne leur faisant pas lever la tête de leur guidon, il est clair que leur vigilance à la cybersécurité ne sera pas optimale. Le cerveau est ainsi fait qu’il fonctionne par autoroutes pour porter son énergie sur les tâches les plus délicates. La porte des erreurs, des manquements est là grande ouverte.
La solution serait d’engager du personnel supplémentaire, temporaire dans le cas d’une saisonnalité d’activité, permanente en cas d’une surcharge continuelle. Et là, vous êtes confrontés à la question de la rentabilité. A vous de faire le calcul entre le coût d’une ressource supplémentaire et le coût d’une cyberattaque. C’est ce qu’on appelle la gestion des risques. Cette question est d’autant plus vitale si le rôle concerné traite des données sensibles de votre entreprise.
🙄D’ailleurs, à ce sujet,
êtes-vous sûr de bien connaître les données sensibles de votre entreprise ?
Savez-vous les prioritiser ?
🤨 Un doute ? Nous avons les ressources.
Obstacle 2 – Manque d’intérêt
Généralement, un manque d’intérêt est le résultat d’une incompréhension de la valeur de ce qu’on propose. Autrement, les employés ne voient pas l’impact direct de gestes barrières cyber sur leur travail. Pire, ils le voient comme une nuisance à leur performance, se demandant même si les mesures cyber ne vont pas être un autre moyen de les pénaliser pour justifier un licenciement. Le niveau de méfiance ou de circonspection est intimement lié à la culture d’entreprise que vous aurez distillé.
Quelle qu’elle soit, la transparence ici est de rigueur. L’objectif est de prouver que c’est l’intérêt de tous d’adopter non seulement les gestes barrières cyber mais aussi de s’autodiscipliner à la vigilance. Si une cyberattaque survient, mettant en péril le devenir de l’entreprise et donc ses postes, il est évident que l’intérêt sera là. Il ne faut pas hésiter non plus à répéter le message, sous différentes formes et avec des exemples à l’appui.
🧐Vous manquez de temps et d’idées pour créer et distiller vos messages ? Oz’n’gO peut vous soulager.
Obstacle 3 – Trop d’informations tuent l’information
Si vous débarquez auprès de vos équipes avec une pile de documents à absorber ou de longues heures de formation, vous vous doutez bien que vous allez essuyer un mouvement de recul, voire de rejet, tout à fait humain. Vos employés y verront une nouvelle charge de travail. Donc, perte de performance. Ne les noyez pas.
L’idéal est de privilégier une communication claire, simple, progressive et surtout concrète. Prévoyez un plan de formation et d’instruction étagé dans le temps et adapté :
- aux rôles (des plus critiques aux moins critiques, des formations spécifiques à des métiers – finance, marketing, HR, etc.)
- aux compétences de vos employés (certains sont plus à l’aise que d’autres dans l’approche cyber ou technologique)
- au rythme d’absorption des instructions et des informations
- aux menaces qui pèsent sur l’entreprise
N’oubliez pas de présenter votre plan à vos équipes, pour qu’ils puissent se situer dans leur progression.
🆘 Besoin d’aide 🆘
définir une cartographie des rôles à risque, un plan de formation
Obstacle 4 – Absence d’implication de la direction
Ce peut paraître une lapalissade mais souvent, les choses les plus élémentaires sont oubliées ou négligées. Il est impératif que le management montre l’exemple, sinon les employés ne suivront pas. Partagez votre expérience cyber avec vos employés. Intéressez-vous à la leur. Echangez.
Obstacle 5 – Les biais cognitifs
Les biais cognitifs et algorithmiques peuvent freiner l’adoption des bonnes pratiques en cybersécurité. Certains employés peuvent être victimes de l’excès de confiance (« ça ne m’arrivera pas »), du biais d’optimisme (« nos protections actuelles sont suffisantes ») ou de l’effet d’ancrage (« nous avons toujours fait ainsi »). Ces biais conduisent à sous-estimer les risques et à retarder l’adoption de mesures de sécurité. De même, l’effet de surcharge cognitive peut empêcher les employés d’assimiler des consignes de cybersécurité complexes.
La parade ? Sensibiliser vos équipes à ces biais cognitifs, communiquez par des messages courts, visuels et progressifs qui permettent de faciliter la compréhension et l’engagement. Et enfin, adapter vos messages en fonction de ces biais, que vous aurez identifiés.
créer une culture cyber
Une formation ponctuelle ne suffit pas. Pour que vos employés intègrent réellement les bons réflexes, il est crucial de créer une culture interne de la cybersécurité. Cette culture cyber n’est pas l’apanage seul des grosses structures. Toutes les entreprises, même les PME et TPE, peuvent créer la leur avec des moyens à leur portée.
La cybersécurité n’est pas qu’une question de moyens mais aussi de créativité.
Voici des suggestions et des pistes pratico-pratiques, simples à mettre en place. Mais… tout d’abord, quelques principes de base :
- Evitez la stratégie du blâme mais valorisez les résultats. Vos équipes ont déjà assez de pression sur les épaules. Leur en ajouter est contre-productif. Il est bien plus agréable et stimulant d’être gratifié pour ses accomplissements. De plus, cela crée une émulsion, surtout s’il y a récompense à la clef (cartes cadeaux, jours de congés supplémentaire, bon pour un restaurant, etc.).
- Appliquez une communication régulière, comme des rendez-vous privilégiés qui créent des habitudes et nourrissent la confiance en informant de l’avancement des programmes et de ses résultats.
- Le management s’implique depuis le sommet. On porte une attention toute particulière aux messages véhicules par son PDG, qui par ses actions montre l’importance des programmes déployés.
- Privilégiez le vécu et le ludique. On retient toujours mieux par l’expérience et encore plus, en s’amusant.
Rendre la cybersécurité
concrète, vivante, simple
Voilà le seul mot d’ordre.
La simulation annuelle
Evidemment, la première idée qui vient en tête, ce sont les simulations (phishing, malware, prise de contrôle du site internet, vol de données, etc.) en conditions réelles. Elles sont basées sur des scénarios réels. La règle veut que l’entreprise en effectue au moins une par an, un peu comme les exercices d’alerte incendie. Pas sûr qu’un exercice annuel permette d’adapter de bons réflexes. Il met simplement en évidence les points à améliorer.
Mais au-delà de ces simulations, toujours intenses et drôles à vivre, il y a une multitude d’autres petites actions régulières à enclencher.
Table-top exercices, cyber war game, red-team vs blue team, etc.
Nos experts sont prêts à vous organiser une session personnalisée
Les petits rus forment la grande rivière de la cyber résilience
Voici quelques pistes à explorer à la semaine ou au mois.
Finir la semaine sur une note cyber-fun
Dans certaines entreprises, on célèbre la fin de la semaine par un moment convivial, au sein de l’entreprise ou dans un endroit neutre pour y déguster des vins, découvrir une activité sociale, sportive ou non (partie de pétanque, de fléchettes, etc.). Bref, une « happy hour », un moment de détente avec des conversations informelles, idéales pour des questions ouvertes.
Les dirigeants peuvent demander aux employés un retour sur leur expérience cyber, les encourager à poser des questions, faire des remarques ou proposer des initiatives.
Autre idée, leur passer une courte vidéo drôle mais avec un fond de vérité sur la cybersécurité.
Il existe aussi des BD autour de la cybersécurité, que les employés pourraient même montrer à leurs enfants. Car, la cybersécurité ne s’arrête pas aux portes de l’entreprise.
🙏🏻 Besoin d’une liste de BD ? 🙏🏻
« The Thrilling Adventures of Lovelace and Babbage » (Sydney Padua) – Une BD humoristique sur l’histoire alternative de deux pionniers de l’informatique. Elle aborde des concepts liés à la programmation et à la sécurité informatique de façon ludique.
« Hacktivist » (Alyssa Milano, Collin Kelly, Jackson Lanzing, illustré par Marcus To) – Cette BD suit des hackers qui utilisent leurs compétences pour lutter contre des injustices mondiales. Elle offre un aperçu de la culture hacker et des questions de cybersécurité.
« Ctrl+Alt+Del » (Tim Buckley) – centrée sur les jeux vidéo, cette webcomic aborde parfois des sujets liés à la sécurité informatique, notamment les vulnérabilités en ligne.
BD éducatives de l’ANSSI (France) – L’Agence nationale de la sécurité des systèmes d’information (ANSSI) publie des BD éducatives sur la cybersécurité pour sensibiliser le grand public et les professionnels. Un bon exemple est « Les aventures de Camille et Aurelien », qui traite de la cybersécurité en entreprise.
UN Rendez-Vous MENSUEL à LA SAUCE CYBER
Lors de votre présentation mensuelle de l’entreprise (résultats, clients, etc.), pourquoi ne pas intégrer une point « cybersécurité » dans l’agenda, où vous pourrez :
- donner les résultats du mois des programmes ou formations cyber en cours vs. les objectifs fixés
- informer des améliorations faites dans l’infrastructure de cybersécurité et l’implication sur les processus internes
- encenser les champions ou les initiatives, avec cyber-récompenses à la clef
- donner des exemples d’entreprises ou témoignages d’employés.
- Etc.
De bons outils et des processus simplifiés
Souvent, les employés adoptent de mauvaises pratiques par facilité ou par manque d’outils adaptés.
Vous connaissez l’adage, « on reconnaît un bon artisan à la qualité de ses outils« . Soyez le bon artisan de vos employés en mettant à leur disposition de bons outils, simples à utiliser et en mettant en place des processus de travail simplifiés.
Certains outils vous paraîtront évidents mais il n’est pas inutile de les répéter ici.
gestionnaires de mots de passe
Les hackers, qui connaissent les biais humains et les (mauvaises) habitudes de tout à chacun, automatisent leur système de craquage des mots de passe. Leurs programmes tournent en boucle 24h/24, testant sans arrêt les différentes combinaisons. Un mot de passe de 8 caractères, composé de chiffres, lettres et caractères spéciaux, peut être craqué en quelques heures.
Un gestionnaire de mots de passe, sorte de coffre-fort en ligne, est indispensable. Il en existe une multiple. Certains sont gratuits, d’autres payants. Voici la liste des 6 meilleurs en 2025.
AMF ou Authentification Multi-Facteur
Quand on sait qu’une simple double authentification peut éviter de sérieuses tentatives de piratage, il est alors évident de s’intéresser de plus près à l’authentification multifacteur (AMF).
L’AMF est une méthode de sécurité qui nécessite l’utilisation de plusieurs facteurs pour vérifier l’identité d’un utilisateur. Ces facteurs sont généralement classés en trois catégories principales :
- Facteurs de connaissance : Ce que l’utilisateur sait, comme un mot de passe ou un code PIN.
- Facteurs de possession : Ce que l’utilisateur possède, tel qu’un smartphone, une carte à puce ou un jeton de sécurité.
- Facteurs inhérents : Ce que l’utilisateur est, incluant des caractéristiques biométriques comme les empreintes digitales, la reconnaissance faciale ou vocale.
Plus de détails sur l’AMF dans cet article.
Exemples de AMF:
- Code SMS ou e-mail après un mot de passe
- Application d’authentification (Google Authenticator, Authy)
- Clé de sécurité physique (YubiKey)
- Données biométriques (empreinte digitale, reconnaissance faciale)
Liste complète des différents types de AMF
Au-delà de l’armada « classique » de cybersécurité dans l’infrastructure informatique (SIEM, EDR, XDR, SOAR, etc.), des mesures simples peuvent être mises en place.
Processus de signalement
- Un bouton « Signaler un incident » intégré dans le logiciel de messagerie.
- Une adresse Email dédiée « incident@entreprise.com » ou « security@entreprise.com« par exemple.
- Un formulaire automatique à remplir avec les éléments de base à fournir + les mesures d’urgence (voir ci-dessous)
- Des plateformes collaboratives telles que Teams, Slack pour alerter les incidents et informer de son suivi
- Hotline interne de cybersécurité
- Portail de signalement sécurisé (via ServiceNow, Jira, etc.)
- Application mobile de signalement (pour les entreprises disposant d’applications internes)
- Groupe(s) WhatsApp
- Un rappel des mesures d’urgence sous forme d’une affichette appliquées à chaque poste de travail ou un message de rappel au démarrage de chaque PC, qui indique les éléments de base à notifier lors du signalement et les premières mesures d’urgence à appliquer si le PC est infecté.
Eléments de base à notifier lors du signalement :
- Date et heure de détection
- Description de l’incident (ce qui a été observé)
- Périmètre affecté (poste de travail, serveur, application)
- Actions immédiates entreprises par l’employé
Première mesure d’urgence si le PC a été infecté : LE DEBRANCHER.
Outils gratuits d’analyse de fichiers suspects :
- VirusTotal → pour vérifier les fichiers suspects
- Have I Been Pwned → pour vérifier des adresses email compromises
Une interview intéressante d’un hacker éthique pour tout public.
Des boîtes à outils comportementales
l’usage de l’IA – il est impératif que les employés comprennent ce qu’est l’IA, ses avantages et ses pièges. De bonnes informations et de bonnes directives sur son usage (ce qui est autorisé ou non) se basent sur le cadre fixé par la direction. Vous éviterez ce qu’on appelle les outils fantômes, c’est-à-dire des applications que vos employés installent ou utilisent sans que vous ne le sachiez.
les bonnes cyber-pratiques du télétravail (applicable aussi pour les personnes amenées à voyager souvent)- sécurisation des dispositifs et appareils, rappel des cyber menaces et contre-mesures, organisation de l’espace de travail, mesures d’urgence, etc.
La gestion du changement – Cela peut paraître superflu mais n’oubliez pas que l’IA et l’évolution constante de la cybercriminalité impliquent un changement régulier des processus, des habitudes, des outils. Il est recommandé de sensibiliser ses employés à la gestion du changement pour atténuer les résistances. Dans un tel programme, on abordera la question des biais, la gestion du stress, le cycle du changement.
Des initiatives pour impliquer les employés et les responsabiliser
Les employés doivent comprendre qu’ils jouent un rôle actif dans la protection de l’entreprise. Ci-dessous quelques idées d’opérations de partage, de valorisation et de jeu.
| INITIATIVE | OBJECTIFS | DETAILS |
| Programme d’ambassadeurs | – Faciliter le partage d’infos et de bonnes pratiques – Remonter les demandes et questionnements les plus récurrents, les plus pertinents – Coordonner la diffusion de messages internes | Exemple de programme d’ambassadeurs : – Sélectionner des employés volontaires dans chaque département. – Leur fournir une formation avancée sur les risques cyber et les bonnes pratiques. – Leur donner la responsabilité de relayer l’information et de servir de point de contact pour leurs collègues. – Organiser des réunions mensuelles pour partager des mises à jour et des retours d’expérience. – Récompenser les ambassadeurs les plus engagés via des avantages ou de la reconnaissance publique. |
| Championnat de la Cybersécurité ou Hackatons | – Valoriser les employés les plus cyber éveillés/résilients – Créer une saine émulsion – Impliquer les employés à la stratégie de cybersécurité | Quoi de plus ludique qu’un championnat avec différentes épreuves. Sorte de JO interne comportant des quiz, des défis, des jeux. Exemple d’hackathon : Un hackathon de cybersécurité peut s’étendre sur une journée et inclure plusieurs défis comme la détection d’emails de phishing, l’analyse de failles dans des systèmes fictifs, ou encore la création de scripts automatisés pour améliorer la sécurité. Les équipes gagnantes peuvent recevoir des récompenses et voir leurs solutions testées en entreprise. |
| Cyber-Onboarding | Embarquer la cybersécurité dans les premiers pas des nouveaux employés | Créer une rubrique « cybersécurité » dans le règlement intérieur et intégrer une formation de sensibilisation à la cybersécurité dès l’entrée en fonction. |
Les idées de programmes d’engagement sont infinies !
Les bénéfices d’une culture cyber
Téléchargez le guide pour mettre en place ou améliorer votre cyber-communication interne.
Transformez la contrainte en opportunité
Motiver vos employés aux risques cyber, ce n’est pas leur imposer des règles strictes, mais leur donner les moyens de protéger l’entreprise… et eux-mêmes. Une approche dynamique et participative renforce la sécurité tout en améliorant l’engagement global.
Comments are closed