Dans la plupart des entreprises, PME comprises, la cybersécurité se résume à un arsenal de technologies, de procédures et de formations cyber. Côté communication cyber, l’équipe de crise est en place et entraînée, les messages et les documents prêts, parfois même personnalisés. Tout le monde est sur le pied de guerre, à l’affût d’un signe d’attaque… tout en continuant de faire tourner les affaires.
En parallèle, les cyber menaces s’emballent, plus sophistiquées, plus furtives, automatisées, boostées par l’IA. Résultat : c’est le cercle infernal. Le chef d’entreprise devient le hamster dans la roue cyber. Et quand une attaque réussit, on désigne toujours le même coupable, « l’erreur humaine » pour un mot de passe trop faible, un clic malheureux, un oubli de procédure.
On analyse l’erreur. On renforce les process. Le collaborateur incriminé se voit, au mieux, offrir une nouvelle formation cyber. Au pire, il reçoit un blâme avec le couperet du licenciement pour faute grave.
👉 La bonne nouvelle ? Il existe des solutions concrètes, à condition de regarder au-delà des outils techniques, et de replacer l’humain et la communication au cœur de la résilience.
👉 Et si on prenait du recul ?
Avec ce sommaire :
- La machine a mangé l’espace humain et social
- Ce que disent les études
- Les angles morts de la gouvernance cyber techno-centrée
- Les bénéfices d’une autre approche
- Nos pistes de travail
Les questions qui dérangent et qui grattent
La machine a mangé l’espace humain et sociale
Regardons l’environnement de travail tel qu’on l’a construit depuis des décennies, au nom du profit et de l’efficacité.
- Des tableaux de bord saturés de KPI.
- Des services d’assistance noyés sous les chatbots.
- Des réclamations et commandes réduites à des formulaires en ligne.
- Des émotions et opinions scrutées sur les réseaux sociaux.
- etc.
Bref, la machine a absorbé l’espace humain et social. ☝️Or, l’être humain reste ce qu’il est, fait d’émotions, de relations, de besoin de reconnaissance. Et l’entreprise reste ce qu’elle est, une structure sociale tournée vers la création de valeur, de préférence durable et utile à la société.
🤔Pourtant, quand une cyberattaque réussit, on pointe du doigt l’être humain…
- à qui on demande d’être toujours plus performant,
- dont on dissèque les besoins à coups de sondage, d’analyse, de chiffres,
- à qui on enlève le contact humain
- et à qui, enfin, on exige une vigilance cyber sans faille
🧷 Des questions qui dérangent … et qui grattent
Comment demander à vos équipes d’être confiantes et cyber-vigilantes, d’absorber sans faille les bonnes cyber-pratiques… quand elles travaillent déjà sous pression permanente des délais, de la rentabilité et avec la peur du licenciement ?
Comment embarquer vos clients et partenaires dans une collaboration de cyber-résilience, si vos échanges se réduisent à des KPI et des plateformes en ligne ?
Comment convaincre vos investisseurs de la solidité de votre cyber-leadership, si votre relation avec eux se limite à des rapports financiers et techno-stratégiques ?
Comment espérer une bonne couverture médiatique lors d’une attaque si on ne connait pas le paysage journalistique (branche, région, technologie cyber) et que ses échanges avec les journalistes sont initiés que lorsqu’on a besoin d’eux ?
Ce que disent les études
EY – Wellbeing (2023) : 35 % des salariés britanniques se disent plus stressés qu’il y a deux ans. Le stress, l’anxiété et la dépression causent 12,8 millions de journées de travail perdues au Royaume-Uni. 🔗 Rapport EY Wellbeing PDF
👉 Comment espérer vigilance et discernement dans ces conditions ?
Fortinet – Security Awareness Report (2024) : près de 70 % des organisations reconnaissent que leurs employés manquent d’une conscience de sécurité fondamentale. Beaucoup mettent en place des programmes de sensibilisation (security awareness & training) avec des campagnes planifiées à une fréquence mensuelle ou trimestrielle. Les dirigeants reconnaissent généralement que ces formations améliorent la posture de sécurité. 🔗 Fortinet Report 2024
👉 Au-delà des connaissances techniques, quid de la gestion du stress, de la peur de l’erreur, de la confiance à exprimer ses doutes ?
👉 Effet de fatigue ou d’inertie des programmes – l’étude signale une insatisfaction de certains – manque de contenu engageant, aucune piste sur ce qu’il faut changer pour que la formation soit vécue non comme une contrainte mais comme un soutien.
👉 Aucune mesure sur les conséquences psychologiques ou sociales – L’étude ne se penche pas sur les conditions de travail, la peur de sanction, la culture d’entreprise qui permet ou non de signaler une erreur sans crainte = on voit le “lack of awareness” mais pas le pourquoi de ce manque de conscience.
👉 Réponses biaisées – Le rapport montre que 86 % des décideurs se disent satisfaits des programmes de formation. C’est l’avis des managers, pas celui des employés. Or, sur le terrain, les comportements à risque restent élevés. Preuve qu’entre formation théorique et réalité du travail sous pression, il y a un fossé que la gouvernance technocentrée n’adresse pas.
WEF – The Cyber Resilience Compass (2025) : la boussole du WEF, concernant l’aspect humain, le place au cœur de la cyber résilience via quatre voies clés – leadership, people & culture, engagement de l’écosystème et processus business. On y parle entre autres de générer de la confiance avec une communication ouverte, de sortir du langage technique, de mettre en place une culture de responsabilisation et de sécurité psychologique, de développer des stratégies de communication cyber externe, de bâtir une visibilité en amont et en aval des dépendances avec les interlocuteurs externes, etc. 🔗 WEF The Cyber Resilience Compass 2025 PDF
👉 Point positif, l’approche ne se focalise pas que sur la technologie mais aborde des points organisationnels. Exemple avec la vision de la sécurité psychologique, centrée sur des mécanismes de signalement et de retour d’incident. Bémol, le vécu émotionnel et les relations sociales des collaborateurs ne sont pas inclus.
Les angles morts de la gouvernance cyber technocentrée
Aujourd’hui, la plupart des démarches cyber se construisent autour d’outils, de processus et de contrôles techniques : firewalls, patch management, SIEM, SOC, plans de réponse. C’est indispensable.
Mais à force de voir la cybersécurité comme une mécanique de défense, on laisse de côté tout un pan de la réalité : les dynamiques humaines.

La gouvernance technocentrée ne prend pas en compte :
- Le facteur psychologique : stress, surcharge cognitive, biais cognitifs, peur du licenciement, sentiment de fatigue, burnout, qui érodent, fragilisent ou biaisent la vigilance.
👉 Ici, la vraie question n’est pas seulement la formation ou la procédure, mais la capacité de l’organisation à protéger la santé mentale et à instaurer un climat de confiance durable, reconnu au même titre que les indicateurs financiers. - Le facteur émotionnel : honte, culpabilité, manque de confiance, sentiment d’inutilité, d’absence de reconnaissance, peur d’être jugé, qui empêchent de signaler une erreur ou une anomalie.
👉 Pour y répondre, la communication ne peut pas se limiter à un kit de crise : elle doit créer un espace où l’erreur devient apprentissage, où signaler un doute est valorisé, et où la parole est libérée de la peur du blâme. - Le facteur social : sentiment de solitude, perte de sens, impression de n’être qu’un pion, effritement du lien humain dans les relations internes et externes, remplacés par des plateformes et KPI impersonnels.
👉 Retisser ces liens, redonner une place au collectif et au relationnel, c’est la base d’une communication de résilience, qui protège autant la performance que la confiance. - Le facteur communicationnel : silos, communication top-down permanente, messages standardisés, absence de culture d’échange ouvert et continu, à l’interne et à l’externe.
👉 Passer d’une communication réactive à une communication vivante, inclusive et horizontale, qui permet de tisser des liens pour renforcer la vigilance collective : chacun devient acteur et relais de la résilience, pas simple exécutant.
Autrement dit, la cybersécurité technocentrée renforce le bouclier technique mais laisse béants les angles morts humains, émotionnels et sociaux, là où se nichent pourtant nombre de vulnérabilités.
Les bénéfices d’une autre approche
Mettre l’humain et la communication au cœur de la résilience, c’est déjà gagner en compétitivité , en réactivité et en performance.
👉Dans un article de la Harvard Business Review, les auteurs soulignent que dans un environnement incertain, c’est la capacité d’un leader à créer de la clarté, de la cohérence et de la confiance qui fait la différence.
Nos pistes de travail
Nous ne remplaçons pas la technologie, nous la complétons. Notre rôle est d’élargir la vision de la PME pour y intégrer l’angle oublié, la communication et l’humain.
- Communication de crise augmentée : pas seulement des messages pré-rédigés, la préparation d’un porte-parole, mais la mise en place de liens forts, internes et externes.
- Gouvernance de résilience : définir sa vision de cyber-résilience, identifier les leviers et les freins à la résilience et la cohésion, intégrer fatigue, stress et confiance dans les indicateurs de pilotage et la mise en place d’un comité hybride.
- Communication de résilience : développer et déployer une stratégie de communication qui favorise et nourrit sur le long terme la cohésion, l’engagement et les réflexes collectifs dans l’écosystème de l’entreprise.
👉 En clair : sécuriser l’IT ne suffit pas. La vraie résilience passe par la communication et par vos équipes.