Un problème rarement lié au manque d’information
La plupart des collaborateurs savent déjà qu’il faut se méfier d’un lien suspect, ne pas partager son mot de passe ou signaler un incident. Pourtant, les incidents continuent, parce que la difficulté n’est pas uniquement de connaître la règle.
Le risque apparaît surtout dans les moments de pression : urgence client, demande hiérarchique, fatigue, télétravail, outil inhabituel ou message qui ressemble à une communication interne.
Les limites des formations trop descendantes
Une formation cyber centrée sur les règles peut donner l’impression que le sujet est compris. Mais elle mesure rarement ce que les personnes font lorsqu’elles doivent arbitrer vite.
- Les contenus sont parfois trop techniques pour les non-spécialistes.
- Les exemples sont éloignés du quotidien métier.
- Les quiz valident la connaissance, pas le réflexe.
- La peur de mal faire peut freiner le signalement.
Travailler les situations plutôt que les slogans
Au lieu de demander “Savez-vous reconnaître un phishing ?”, il est plus utile de présenter un message ambigu : urgence, logo connu, lien presque correct, demande d’un collègue. C’est dans ce type de scène que les réflexes apparaissent.
Les situations permettent d’identifier les comportements à renforcer : vérifier, demander confirmation, signaler, refuser une demande anormale ou ralentir avant de cliquer.
Les leviers pour améliorer l’impact
- Utiliser des cas concrets issus des métiers.
- Faire discuter les réflexes sans culpabiliser.
- Mesurer les arbitrages avant et après sensibilisation.
- Valoriser le signalement plutôt que la performance individuelle.
- Répéter les situations dans le temps.
Passer de la connaissance au réflexe
Une sensibilisation cyber efficace ne cherche pas seulement à transmettre une règle. Elle aide les collaborateurs à reconnaître les moments à risque et à adopter le bon réflexe malgré la pression du quotidien.