La cybersécurité ne peut plus être considérée comme un sujet réservé aux experts techniques. Elle concerne toute l’organisation, à tous les niveaux. Pourtant, en pratique, développer une culture partagée reste complexe : entre manque de réflexes, perception technique du sujet et formations mal calibrées, les actions engagées sont souvent partielles.
Pour faire le point sur les erreurs à éviter et les bonnes pratiques qui permettent d’ancrer durablement cette culture cybersécurité, nous avons échangé avec Benoît Riou, CEO et cofondateur du Cyber Leader Institute. Partenaire d’Inside, le Cyber Leader Institute accompagne les entreprises – privées comme publiques – dans la structuration de leur stratégie cyber, notamment à travers de deux formations que nous co-animons : Sensibilisation à la cybersécurité et Stratégie cybersécurité pour les décideurs.
Pourquoi est-il essentiel d’instaurer une culture partagée de la cybersécurité au sein d’une organisation privée comme publique ?
Faisons une analogie avec la sécurité routière : dans les années 70, boucler sa ceinture n’était pas un réflexe. Aujourd’hui, c’est un automatisme, intégré à notre quotidien, qui sauve des vies. Ce changement n’est pas venu uniquement par la technique, mais par une transformation culturelle. C’est exactement la même logique à appliquer à la cybersécurité.
Les gestes qui protègent – vérifier un lien avant de cliquer, utiliser un mot de passe fort, signaler une tentative d’hameçonnage – ne sont pas complexes. Cependant, ils doivent devenir des réflexes ancrés dans les activités quotidiennes. La majorité des brèches ne vient pas d’une faille technique, mais d’une erreur humaine évitable.
La cybersécurité n’est plus l’apanage des équipes techniques : elle doit être insufflée à l’ensemble des employés, quel que soit leur rôle !
Ce qui rend le sujet critique aujourd’hui, c’est l’amplitude de la menace et la surface d’exposition. Les canaux changent, les attaques se sophistiquent, et, surtout, la dépendance des organisations au numérique est totale. Faire tomber le système d’information, c’est faire tomber l’activité de l’entreprise. La cybersécurité ne traite plus uniquement d’outils, elle protège l’activité elle-même.
Instaurer une culture partagée, c’est donner à chacun les bons réflexes et points de vigilance, au bon niveau : collaborateur, manager, expert technique, ou dirigeant. Chacun doit savoir comment contribuer à la protection collective, en fonction de son rôle et des types de risques liés à son métier et à son niveau hiérarchique. C’est cette responsabilisation transversale qui crée une véritable résilience.
L’objectif de cette culture partagée est ainsi de réduire l’exposition aux risques, de renforcer la capacité de réaction et de permettre au top management d’optimiser les moyens engagés pour mitiger les menaces et relancer l’activité.
Quels sont les leviers pour encourager l’adoption de bonnes pratiques de cybersécurité ? Quelles étapes suivre ?
Le premier levier consiste à relier les bons réflexes de cybersécurité à la vie personnelle. Certains collaborateurs resteront à distance si le discours est purement professionnel ou technique. En revanche, lorsqu’ils réalisent que les mêmes pratiques permettent aussi de protéger leurs proches, leurs données personnelles ou leur identité numérique, ils s’engagent davantage. L’impact devient tangible, à leur échelle.
Ensuite, il faut accepter qu’il n’existe pas d’architecture de cybersécurité parfaite pour toutes les entreprises. La maturité, l’exposition aux risques, la structure même de l’entreprise varient énormément. Une PME n’a pas besoin d’un SOC à plusieurs millions d’euros ! L’enjeu n’est pas de faire « tout » ce qu’il est possible de faire, mais de faire juste ce qu’il faut, là où c’est pertinent. La cybersécurité est un exercice d’ajustement, pas une course à l’arsenal technique.
Cela demande une capacité à prioriser et canaliser les budgets selon le contexte spécifique de l’entreprise. Chaque euro investi doit réduire un risque clairement identifié. Trop d’entreprises déploient des outils ou des projets surdimensionnés, simplement parce qu’elles ne remettent pas en question les recommandations par manque de maîtrise du domaine cybersécurité. Or, dans la grande majorité des cas, les scénarios d’attaque sont connus. Ce qui évolue, ce sont les canaux, l’échelle et la sophistication des méthodes.
La cybersécurité n’est pas une science obscure. Quand le discours devient inutilement complexe et joue sur la peur, c’est souvent pour justifier des prestations disproportionnées. Les contre-mesures doivent rester alignées sur votre exposition réelle.
Pour structurer une démarche efficace d’acculturation, quatre niveaux de formation doivent être mis en place :
- La sensibilisation des collaborateurs, pour intégrer les bons réflexes dans les usages quotidiens ;
- L’intégration de la cybersécurité dans les pratiques des équipes techniques, afin qu’elles conçoivent et développent avec les bons standards de protection ;
- Le renforcement des compétences des équipes cybersécurité, en lien avec les objectifs et les moyens disponibles ;
- Et la formation du top management, qui doit cadrer la stratégie, arbitrer les investissements, et devenir le premier ambassadeur de la culture cybersécurité.
Ces formations doivent s’inscrire dans un plan d’action de développement de la culture cybersécurité structuré, avec plusieurs étapes clés :
- Identifier les rôles, les usages et les besoins, en fonction de la structure de l’organisation et de son exposition ;
- Obtenir le sponsorship clair de la direction, pour inscrire la cybersécurité comme un axe stratégique visible ;
- Accompagner la gouvernance, décliner la pyramide des politiques de sécurité à chaque niveau d’usage, de façon opérationnelle et compréhensible ;
- Mettre en œuvre une conduite du changement (LIEN https://insidegroup.fr/expertises/conseil-et-accompagnement-it/conduite-changement/) , avec de la communication régulière, des rappels, des formats variés (quiz, ateliers, affichage, retours d’expérience…) ;
- Faire vivre les politiques de sécurité, en intégrant un cycle de mise à jour aligné sur l’évolution des menaces, des canaux ou des usages.
Un mot de plus sur ce dernier point : les politiques de sécurité ne doivent pas être figées. Les schémas d’attaque restent assez stables, mais les techniques et la sophistication des attaques évoluent vite. Il faut donc régulièrement réinterroger les messages, les formats de formation, les canaux de diffusion… pour que la vigilance reste adaptée au contexte dans lequel l’organisation évolue !
Quel rôle le leadership et la direction d’une entreprise doivent-ils jouer dans la promotion d’une culture de la cybersécurité ?
Le rôle du leadership est déterminant. Sans implication claire du top management, la culture cybersécurité ne peut pas s’ancrer durablement.
La cybersécurité doit être intégrée au plus haut niveau dans les comités de direction, les instances de gouvernance, les plans de transformation et les arbitrages budgétaires. Lorsqu’un dirigeant traite la cybersécurité comme un sujet stratégique, cela envoie un signal fort à toute l’organisation. À l’inverse, si elle est absente des priorités visibles, aucun programme ne parviendra à créer de l’adhésion sur le terrain.
Les dirigeants ont un double rôle à jouer :
- Fixer le cap, en cadrant les priorités, les objectifs et les investissements ;
- Montrer l’exemple, en adoptant eux-mêmes les bons réflexes et en devenant les premiers ambassadeurs de la culture cyber.
C’est exactement comme dans une démarche RSE ou un programme de transformation : l’impulsion doit venir du sommet, et s’incarner à tous les niveaux.
Dans les grandes structures, la cybersécurité devient un des piliers de la résilience. Le DSI ou le RSSI doivent pouvoir porter ce sujet au COMEX. C’est à ce niveau que se jouent les arbitrages qui permettront de faire émerger une culture vraiment partagée et alignée sur les enjeux métiers.
Y-a-t-il des spécificités à prendre en compte dans l’acculturation à la cybersécurité au sein des PME ?
Oui, Les PME ont souvent des moyens, une maturité, un niveau d’exposition différents des grands groupes. C’est pour cela que leur approche de la cybersécurité doit être différente.
Dans une PME, le facteur humain est souvent le point le plus vulnérable. Avant la dimension technique, une organisation avec une faible exposition aux attaques doit d’abord miser sur les bons gestes et la vigilance collective.
Ainsi, il faut identifier les scénarios d’attaque les plus plausibles, comprendre son exposition réelle, et mettre en face des contre-mesures cohérentes. Une petite structure n’a pas besoin d’un SOC ou d’une solution d’analyse comportementale alimentée par l’IA. Cependant, le risque existe et elle va être exposée par exemple à des arnaques au dirigeant ou des ransomwares automatiques : le socle de sécurité adapté à son risque d’exposition doit être couvert. C’est à nouveau l’enjeu de canalisation de budgets pour mitiger les risques !
À l’inverse, pour les grandes organisations, le niveau de sophistication des attaques peut être bien plus élevé. Certaines deviennent des cibles géopolitiques. La dimension technologique prend alors plus d’importance : il faut combiner protection comportementale, détection automatique, outils de réponse rapide, voire analyse assistée par l’intelligence artificielle. Cela fait écho à la stratégie de Zéro Trust qui est une de mes convictions !
Chaque organisation doit calibrer sa stratégie cybersécurité en fonction de son exposition aux risques, pas selon un catalogue de solutions standardisées.
Comment mesurer l’efficacité d’une démarche d’acculturation à la cybersécurité ? Quels sont les indicateurs de « culture cybersécurité » à suivre ?
L’acculturation à la cybersécurité – et, plus globalement, la stratégie de cybersécurité, comme tout autre transformation, doit s’évaluer dans la durée.
Il existe des frameworks reconnus pour structurer cette évaluation. Par exemple, le NIST Cybersecurity Framework, dont la version 2.0 vient d’être publiée en février 2024, offre un cadre clair, articulé autour de six piliers : Govern, Identify, Protect, Detect, Respond, Recover.
Chaque entreprise doit mesurer sa maturité sur chacun de ces piliers. Et cela peut révéler des écarts importants. J’ai vu des organisations avec un excellent niveau sur Protect – elles mettent en œuvre des solutions de sécurité performantes – mais très faibles sur Identify. Résultat : elles se protègent… mais seulement de ce qu’elles ont identifié, en laissant de nombreux angles morts !
La démarche d’évaluation repose ainsi sur plusieurs étapes :
- Identifier les piliers à mesurer en priorité pour votre contexte et définir une pondération adaptée sur chacun
- Mettre en place des outils de mesure, en croisant données techniques (nombre de malwares arrêtés…), comportements utilisateurs concrets (simuler des campagnes de phishing, des attaques de malware…) et éléments de gouvernance ;
- Suivre l’évolution de votre scoring dans le temps, en lien avec les actions mises en place ;
- Et comparer vos scores à ceux d’acteurs similaires, pour prendre du recul sur votre positionnement.
La vocation du Cyber Leader Institute, en partenariat avec Inside, c’est aussi de rappeler que la cybersécurité est déjà un domaine structuré. Il existe des outils, des frameworks, des bonnes pratiques, des retours d’expérience. Ce sont de vrais accélérateurs, et des gages d’efficience pour faire évoluer sa stratégie cyber !
Comment Inside et le Cyber Leader Institute accompagnent les entreprises dans ces enjeux d’acculturation et de déploiement d’une stratégie cybersécurité ?
Développer une culture cybersécurité ne repose pas uniquement sur la sensibilisation. Cela implique d’outiller la gouvernance, de structurer les politiques, d’embarquer les métiers, et de déployer les bons dispositifs en fonction de votre exposition.
C’est dans cette logique qu’Inside et le Cyber Leader Institute ont construit des offres communes. Ensemble, nous accompagnons les organisations – grands groupes comme PME – dans leurs démarches de cybersécurité, à deux niveaux complémentaires :
Les formations :
- Sensibilisation à la cybersécurité pour diffuser les bons réflexes au sein des équipes ;
- Formation stratégie cybersécurité pour aider les dirigeants à piloter efficacement la cybersécurité à tous les niveaux de l’organisation.
Inside propose également un accompagnement transversal des enjeux de cybersécurité : évaluation de la maturité et définition d’une roadmap, pilotage des projets de cybersécurité, solutions IAM et le déploiement de solutions ciblées. Pour les PME, l’approche est ajustée à la réalité du terrain : sécuriser sans complexifier, afin de mettre en place une gouvernance cybersécurité adaptée au contexte.
Vous souhaitez développer la culture cybersécurité dans votre organisation ? Parlons-en !