🛡️ Cybersécurité · comportements collaborateurs
Culture cybersécurité : les outils ne suffisent pas si les réflexes ne suivent pas
Les entreprises forment, équipent et rappellent les règles. Pourtant, les incidents naissent souvent d’un geste ordinaire : cliquer trop vite, partager un accès, contourner une procédure ou ne pas signaler un doute.
Problème / réponse
Le problème n’est pas seulement la connaissance des règles.
Beaucoup de collaborateurs savent qu’il faut être vigilant. La vraie question est : que font-ils quand la situation est ambiguë, urgente ou socialement inconfortable ?
Le problème
Les campagnes de sensibilisation cybersécurité mesurent souvent la mémorisation des consignes. Mais elles montrent rarement comment les personnes arbitrent dans les situations réelles : pression du temps, demande d’un supérieur, peur de déranger l’IT, contournement “exceptionnel” d’une règle.
La réponse Into The Shift
Transformer la cybersécurité en diagnostic comportemental individuel et collectif : les répondants se positionnent face à des situations professionnelles concrètes, reçoivent un profil de réflexes cyber et l’entreprise observe les tendances anonymes.
Exemples de situations
Des cartes question / réponses lisibles par Google.
Ces exemples montrent la différence entre une sensibilisation théorique et un autodiagnostic comportemental : on observe un choix face à une situation réaliste.
Phishing · intranet RH
Fausse mise à jour RH
Vous recevez un mail qui semble venir du service RH vous demandant de mettre à jour vos coordonnées personnelles pour garantir la bonne transmission de vos documents administratifs. Le message reprend le logo de l’entreprise, mais le lien pointe vers une adresse très proche de l’intranet habituel.
!
Je clique sur le lien et je renseigne les informations demandées : le message semble venir des RH et le logo est correct.
✓
Je me connecte directement à l’intranet RH sans utiliser le lien du mail pour vérifier si une mise à jour est réellement demandée.
✓
Je transfère le message à l’équipe informatique ou au canal de signalement prévu avant de renseigner quoi que ce soit.
~
Je supprime le mail sans cliquer, mais je ne le signale pas car je pense avoir évité le risque.
Ce que la situation mesure : la capacité à ne pas se laisser rassurer par un logo connu, à vérifier via un canal interne fiable et à signaler les tentatives plausibles.
Phishing · urgence
Faux ordre du dirigeant
Un mail signé par votre directeur général vous demande de transférer urgemment une somme sur un compte fournisseur “pour débloquer un contrat avant ce soir”. Il précise de ne pas en parler aux autres pour l’instant.
!
Je fais le transfert : le dirigeant demande, c’est urgent et il dit de ne pas en parler.
✓
J’appelle directement le dirigeant sur son numéro habituel pour vérifier avant toute action.
!
Je réponds au mail en demandant plus de détails sur le contrat.
~
Je transmets à la comptabilité pour qu’elle valide le virement.
Ce que la situation mesure : la résistance à l’urgence, à l’autorité apparente et à l’injonction de confidentialité.
Lien suspect · contact connu
Document partagé par un collègue
Vous recevez un mail d’un collègue vous demandant de valider un document partagé. Il vous envoie souvent des fichiers. Le lien pointe vers une URL qui ressemble à OneDrive mais avec un domaine différent.
!
Je clique : ce collègue m’envoie souvent des fichiers et cela ressemble à OneDrive.
✓
Je lui envoie un message séparé pour lui demander s’il m’a bien envoyé ce lien.
~
Je passe la souris sur le lien pour voir l’URL complète avant de décider.
✓
Je lui téléphone pour confirmer avant de cliquer.
Ce que la situation mesure : le réflexe de vérification indépendante, même lorsqu’un message semble venir d’un contact habituel.
Ingénierie sociale · support IT
Appel d’un faux technicien
Vous recevez un appel d’une personne qui se présente comme technicien du support informatique de votre entreprise. Elle dit que votre poste est infecté et qu’elle a besoin de votre mot de passe pour intervenir à distance.
!
Je lui donne mon mot de passe : le support IT en a besoin pour travailler.
✓
Je lui dis de rappeler dans 5 minutes et je contacte directement le support IT pour confirmer.
~
Je lui demande son nom et son matricule avant de donner quoi que ce soit.
✓
Je refuse de donner mon mot de passe et je propose de passer par un ticket officiel.
Ce que la situation mesure : la capacité à protéger ses accès et à ne jamais communiquer un mot de passe, même sous pression.
Ce que vous mesurez
Une lecture comportementale de la culture cyber.
VigilanceCapacité à repérer les signaux faibles et demandes inhabituelles.
SignalementRéflexe d’alerter rapidement en cas de doute ou d’erreur.
Respect des accèsGestion des mots de passe, droits et partages d’informations.
ArbitragesComportements face à l’urgence, la pression ou la demande d’un tiers.
Déploiement
Un diagnostic utilisable seul, en formation ou en campagne cyber.
1
Créer ou adapter les situations
Sélectionnez une base cybersécurité, adaptez les cas à vos métiers, vos outils et vos règles internes.
2
Diffuser par lien ou QR code
Les collaborateurs répondent anonymement, en quelques minutes, depuis un lien de passation ou un QR code.
3
Restituer les profils
Chaque répondant obtient un profil individuel avec des axes de progrès concrets.
4
Analyser les tendances collectives
L’entreprise consulte les résultats consolidés et anonymes pour cibler ses actions de sensibilisation.
Les résultats ne visent pas à contrôler les individus, mais à identifier les comportements à renforcer collectivement.
Shift Studio
Créer un diagnostic cybersécurité orienté comportements
Partez d’une base existante, personnalisez les situations, puis transmettez votre projet pour mise en production.