sensibilisation à la sécurité

Sans reproche : comment la sécurité psychologique contribue à améliorer la cybersécurité

Les entreprises ont besoin d’instaurer une culture de la sécurité, mais c’est impossible lorsque les employés ont peur de signaler les incidents ou de suggérer des améliorations.

Stan Kaminsky
29 Août 2025

Même les entreprises qui ont mis en place une stratégie de cybersécurité mature et qui investissent massivement dans la protection des données ne sont pas à l’abri des cyberincidents. Les pirates peuvent exploiter des vulnérabilités zero-day ou compromettre une chaîne d’approvisionnement. Les employés peuvent tomber dans le piège d’escroqueries complexes conçues pour percer les défenses de l’entreprise. L’équipe de cybersécurité elle-même peut se tromper lors de la configuration des outils de sécurité ou lors d’une procédure de réponse à un incident. Cependant, chacun de ces incidents représente une occasion d’améliorer les processus et les systèmes, rendant ainsi vos défenses encore plus efficaces. Il ne s’agit pas d’un simple appel à la mobilisation, mais d’une approche pratique qui a été appliquée avec succès dans d’autres domaines, comme la sécurité aérienne.

Dans l’industrie aérienne, presque tout le monde, qu’il s’agisse des ingénieurs concepteurs d’aéronefs ou des hôtesses de l’air, est tenu de partager des informations pour prévenir tout incident. Cela ne se limite pas aux pannes ou aux défaillances du système ; l’industrie fait aussi état de problèmes potentiels. Ces rapports sont analysés en permanence, et les mesures de sécurité sont adaptées en fonction des résultats. Selon les statistiques d’Allianz Commercial, la mise en œuvre continue de nouvelles mesures et technologies a permis de réduire considérablement le nombre d’accidents mortels, qui est passé de 40 pour un million de vols en 1959 à 0,1 en 2015.

Toujours dans le domaine de l’aviation, on a compris depuis longtemps que ce modèle ne peut tout simplement pas fonctionner si les gens ont peur de signaler des violations de procédures, des problèmes de qualité et d’autres causes d’incidents. C’est pourquoi les normes aéronautiques prévoient des exigences visant à garantir des signalements non punitifs et une culture juste, ce qui signifie que le signalement de problèmes et d’infractions ne doit pas entraîner de sanctions. Les ingénieurs DevOps appliquent un principe similaire qu’ils appellent une culture sans reproche, qu’ils utilisent lors de l’analyse des incidents majeurs. Cette approche est également essentielle dans le domaine de la cybersécurité.

Chaque erreur a-t-elle un nom ?

Le contraire d’une culture sans reproche est l’idée que « chaque erreur a un nom », ce qui signifie qu’une personne en particulier est responsable. Cette approche implique que chaque erreur peut entraîner des mesures disciplinaires, pouvant aller jusqu’au licenciement. Ce principe est considéré comme nuisible et ne contribue pas à améliorer la sécurité.

Les employés craignent d’avoir à rendre des comptes et ont tendance à déformer les faits lors des enquêtes sur les incidents, voire à détruire des preuves.
Les preuves déformées ou partiellement détruites compliquent la réponse et aggravent le résultat général, car les équipes de sécurité ne peuvent pas évaluer rapidement et correctement l’ampleur d’un incident donné.
Le fait de pointer du doigt une seule personne lors de l’analyse d’un incident empêche l’équipe de se concentrer sur les changements à apporter au système pour éviter que des incidents similaires ne se reproduisent.
Les employés ont peur de signaler des infractions liées aux stratégies informatiques et de sécurité, ce qui empêche l’entreprise de corriger les failles de sécurité avant qu’elles ne provoquent un incident critique.
Les employés ne voient aucun intérêt à discuter des questions de cybersécurité, à s’entraider ou à corriger les erreurs de leurs collègues.

Pour permettre véritablement à chaque employé de contribuer à la sécurité de votre entreprise, vous devez adopter une approche différente.

Les principes fondamentaux d’une culture juste

Qu’on parle de « signalement non punitif » ou de « culture sans reproche », les principes fondamentaux sont les mêmes :

Personne n’est à l’abri d’une erreur. Nous apprenons de nos erreurs ; nous ne les punissons pas. Cependant, il est essentiel de faire la distinction entre une erreur honnête et une violation malveillante.
Lors de l’analyse des incidents de sécurité, il convient de prendre en compte le contexte global, l’intention de l’employé et tout problème systémique susceptible d’avoir contribué à la situation. Par exemple, lorsqu’un fort taux de rotation du personnel saisonnier dans le commerce de détail empêche l’attribution de comptes individuels, il arrive que les employés partagent un identifiant unique pour un terminal de point de vente. Est-ce la faute de l’administrateur du magasin ? Probablement pas.
Au-delà de la simple analyse des données techniques et des journaux, il convient d’engager des discussions approfondies avec toutes les personnes impliquées dans un incident. Pour y parvenir, il est nécessaire de créer un environnement productif et sûr où les gens se sentent à l’aise pour partager leurs points de vue.
L’objectif d’un bilan d’incident doit être d’améliorer les comportements, les technologies et les processus à l’avenir. Dans le cas d’incidents graves, les processus doivent être divisés en deux : la réponse immédiate pour limiter les dommages et l’analyse post-mortem pour améliorer vos systèmes et procédures.
Le plus important, c’est d’être ouvert et transparent. Les employés doivent comprendre comment sont traités les rapports d’incidents et de problèmes, et comment les décisions sont prises. Ils doivent savoir exactement à qui s’adresser s’ils constatent ou même soupçonnent un problème de sécurité. Ils doivent s’assurer que leurs superviseurs et les spécialistes en sécurité les soutiendront.
Confidentialité et protection. Le signalement d’un problème de sécurité ne doit pas créer de problèmes pour la personne qui l’a signalé ni pour la personne qui en est à l’origine, tant que les deux ont agi de bonne foi.

Comment mettre en œuvre ces principes dans votre culture de sécurité

Faites valider le projet par les responsables. Une culture de la sécurité ne requiert pas d’investissements directs massifs, mais elle nécessite un soutien constant de la part des équipes des ressources humaines, de la sécurité de l’information et de la communication interne. Les employés doivent également constater que la direction soutient activement cette approche.

Documentez votre approche. La philosophie de la culture sans reproche doit être inscrite dans les documents officiels de votre entreprise, qu’il s’agisse de stratégies de sécurité détaillées ou d’un guide simple et concis que chaque employé pourra lire et comprendre. Ce document doit clairement indiquer la position de l’entreprise sur la différence entre une erreur et une violation malveillante. Il doit stipuler formellement que les employés ne seront pas tenus personnellement responsables d’erreurs commises de bonne foi, et que la priorité collective est d’améliorer la sécurité de l’entreprise et d’éviter que de tels incidents ne se reproduisent à l’avenir.

Créez des canaux pour signaler les problèmes. Proposez plusieurs moyens aux employés pour signaler les problèmes : une section dédiée sur l’intranet, une adresse email spécifique ou la possibilité d’en parler simplement à leur supérieur hiérarchique. Dans l’idéal, vous devriez également disposer d’une ligne d’assistance téléphonique anonyme permettant de signaler tout problème sans crainte.

Formez vos employés. Les formations aident les employés à reconnaître les processus et les comportements dangereux. Utilisez des exemples concrets de problèmes qu’ils doivent signaler et présentez-leur différents scénarios d’incident. Vous pouvez utiliser notre plateforme en ligne Kaspersky Automated Security Awareness Platform pour organiser ces sessions de formation à la cybersécurité. Encouragez les employés non seulement à signaler les incidents, mais aussi à proposer des améliorations et à réfléchir à la manière de prévenir les problèmes de sécurité dans leur travail au quotidien.

Sensibilisez vos dirigeants. Tout responsable doit être capable de réagir aux informations communiquées par son équipe. Il doit connaître la procédure à suivre pour transmettre un rapport, savoir où l'envoyer et comment éviter de former des îlots de reproches dans un océan de culture équitable. Apprenez aux dirigeants à réagir de manière à ce que leurs collaborateurs se sentent soutenus et protégés. Leurs réactions aux incidents et aux rapports d'erreurs doivent être constructives. Les dirigeants doivent également encourager les discussions autour des questions de sécurité lors des réunions d'équipe afin de normaliser le sujet.

Élaborez une procédure équitable d'examen des incidents et des rapports sur les problèmes de sécurité. Vous devrez constituer un groupe diversifié d'employés issus de différentes équipes afin de former un "comité d'examen sans reproche". Celui-ci sera chargé de traiter rapidement les signalements, de prendre des décisions et d'élaborer des plans d'action adaptés à chaque cas.

Récompensez la proactivité. Félicitez publiquement et récompensez les employés qui signalent des tentatives de phishing ciblé ou des failles récemment découvertes dans les stratégies ou les configurations, ou qui suivent simplement les formations de sensibilisation mieux et plus rapidement que les autres membres de leur équipe. Mentionnez ces employés proactifs dans les communications régulières relatives à l'informatique et à la sécurité, comme les bulletins d'information.

Intégrez les résultats dans vos processus de gestion de la sécurité. Les conclusions et suggestions du comité d'examen doivent être classées par ordre de priorité et intégrées au plan de cyberrésilience de l'entreprise. Certaines conclusions peuvent simplement influencer les évaluations des risques, tandis que d'autres peuvent directement entraîner des changements dans les stratégies de l'entreprise, la mise en œuvre de nouveaux contrôles de sécurité techniques ou la réorganisation de ceux qui existent déjà.

Considérez les erreurs comme des occasions d'apprendre. Votre programme de sensibilisation à la sécurité sera plus efficace s'il utilise des exemples concrets tirés de votre propre organisation. Vous n'avez pas besoin de citer des personnes en particulier, mais vous pouvez mentionner des équipes et des systèmes, et décrire des scénarios d'attaque.

Mesurez les performances. Pour vous assurer que ce processus fonctionne et donne des résultats, vous devez utiliser des mesures de sécurité des informations ainsi que des indicateurs clés de performance (KPI) pour les ressources humaines et les communications. Assurez le suivi du temps moyen de réponse pour les problèmes identifiés, du pourcentage de problèmes découverts grâce aux rapports des employés, des niveaux de satisfaction des employés, du nombre et de la nature des problèmes de sécurité identifiés, ainsi que du nombre d'employés impliqués dans la suggestion d'améliorations.

Exceptions importantes

Une culture de la sécurité ou une culture sans reproche ne signifie pas que personne n'est jamais tenu responsable. Les documents relatifs à la sécurité aérienne concernant les rapports non punitifs, par exemple, comprennent des exceptions cruciales. La protection ne s'applique pas lorsque quelqu'un déroge sciemment et de manière malveillante aux règles. Cette exception évite qu'un initié qui a divulgué des données à des concurrents ne bénéficie d'une impunité totale après avoir avoué sa faute.

La deuxième exception concerne les cas où la réglementation nationale ou industrielle exige que les employés soient tenus personnellement responsables des incidents et des violations. Même avec ce type de réglementation, il est essentiel de maintenir un équilibre. L'accent doit continuer d'être mis sur l'amélioration des processus et la prévention d'incidents futurs, et non sur la recherche des responsables. Il est toujours possible d'instaurer une culture de confiance si les enquêtes sont objectives et si la responsabilité n'est engagée qu'en cas de nécessité réelle et justifiée.

Comment les réseaux sociaux de Meta sont devenus une plateforme pour les escroqueries financières

Vidéos deepfake, faux comptes Instagram et Facebook, conversations privées sur WhatsApp : comment les réseaux sociaux de Mark Zuckerberg sont devenus un outil privilégié pour les escroqueries financières.

Conseils

Configuration de la sécurité et de la confidentialité dans l’écosystème Garmin

Un guide détaillé pour configurer la sécurité et la confidentialité dans Garmin Connect et la boutique Connect IQ Store.

Du CVSS au RBVM : enfin une priorisation des vulnérabilités efficace

Causes des écarts dans les scores du système de notation des vulnérabilités CVSS, erreurs fréquentes de priorisation des vulnérabilités, et comment bien faire les choses.

Votre routeur travaille-t-il secrètement pour des services de renseignement étrangers ?

Pourquoi les pirates informatiques expérimentés s’intéressent aux points d’accès Wi-Fi de votre domicile et comment ils contrôlent vos appareils.

Tout savoir sur le CVSS : l’évolution de l’évaluation des vulnérabilités

Nous décrivons le système Common Vulnerability Scoring System, ou système commun d’évaluation des vulnérabilités : à quoi il sert, comment il est utilisé dans la pratique et pourquoi le score de base n’est que le début, et non la fin, de l’évaluation des vulnérabilités.

Protection des enfants

Sans reproche : comment la sécurité psychologique contribue à améliorer la cybersécurité

Chaque erreur a-t-elle un nom ?

Les principes fondamentaux d’une culture juste

Comment mettre en œuvre ces principes dans votre culture de sécurité

Exceptions importantes

Les ressources humaines sur le front de la cybersécurité

Guide de bonnes pratiques de l’informatique pour les nouveaux employés

Comment les réseaux sociaux de Meta sont devenus une plateforme pour les escroqueries financières

Conseils

Configuration de la sécurité et de la confidentialité dans l’écosystème Garmin

Du CVSS au RBVM : enfin une priorisation des vulnérabilités efficace

Votre routeur travaille-t-il secrètement pour des services de renseignement étrangers ?

Tout savoir sur le CVSS : l’évolution de l’évaluation des vulnérabilités

Solutions pour les particuliers

TPE

PME

Grande entreprise

Securelist

Eugene Personal Blog

Encyclopédie de Kaspersky