Phylapp
Culture cyber et formation des équipes

Comment les comportements quotidiens influencent le niveau de risque

Le risque opérationnel est la somme de milliers de micro-décisions quotidiennes. Le télétravail amplifie l'exposition individuelle. Construire des habitudes sécurisées exige de rendre le comportement sécurisé facile et valorisé.

M
Mehdi SARIAK
24 mai 2026 7 min de lecture 16 lectures

Points clés

  • Le niveau de risque d'une organisation est la somme agrégée de milliers de micro-décisions quotidiennes prises par les collaborateurs — pas seulement le résultat des politiques formelles.
  • Les habitudes sécurisées se construisent par la répétition et le renforcement, pas par la déclaration d'intention.
  • Les environnements de travail hybrides (télétravail, mobilité) ont multiplié les surfaces d'exposition liées aux comportements individuels.
  • Les comportements sécurisés doivent être rendus faciles et valorisés — la friction comportementale est l'ennemie de la conformité.
Cas US Morgan Stanley (2022) — Un employé de Morgan Stanley a téléchargé des données confidentielles de clients sur un dispositif personnel avant de quitter l'entreprise. Ce comportement — qui a conduit à des poursuites civiles — illustre comment une décision individuelle quotidienne (transférer des fichiers de travail vers un usage personnel) peut créer des risques majeurs pour l'organisation.

Le risque comme somme de micro-décisions

Lorsqu'un analyste de sécurité examine le niveau de risque d'une organisation, il évalue les outils, les processus et les politiques. Mais le risque opérationnel réel est la somme de décisions individuelles prises des centaines de fois par jour par tous les collaborateurs : utiliser le Wi-Fi public de l'aéroport sans VPN, partager un document confidentiel via un service de messagerie non approuvé, répondre à un email qui semble urgent sans vérifier l'expéditeur, noter un mot de passe sur un post-it.

Aucun outil de sécurité ne peut contrôler l'ensemble de ces micro-décisions. Une politique ne peut pas les anticiper toutes. Seule une culture de sécurité internalisée — où les collaborateurs ont intégré suffisamment les principes de sécurité pour les appliquer dans des situations non prévues — permet de maintenir un niveau de risque acceptable face à la diversité des situations réelles.

Le télétravail comme amplificateur de comportements individuels

Le travail hybride et le télétravail ont profondément modifié la surface d'exposition liée aux comportements individuels. Lorsqu'un collaborateur travaille depuis son domicile ou en déplacement, les contrôles de périmètre de l'entreprise (filtrage réseau, surveillance du trafic, contrôle physique des accès) sont absents ou réduits. La sécurité repose davantage sur les comportements individuels : utiliser le VPN, ne pas partager l'écran lors d'appels depuis des espaces publics, sécuriser le poste de travail physiquement.

La pandémie de COVID-19 a constitué une expérience naturelle sur ce sujet : l'explosion du télétravail entre 2020 et 2022 a été accompagnée d'une augmentation documentée des incidents liés aux comportements à risque des collaborateurs en dehors du périmètre de contrôle de l'entreprise. Les équipes de sécurité ont dû adapter leurs programmes de sensibilisation aux nouvelles réalités comportementales du travail hybride.

Construire des habitudes sécurisées

La psychologie des habitudes est claire sur un point : les comportements réguliers ne résultent pas de décisions conscientes — ils résultent de routines ancrées. Construire des habitudes sécurisées demande de créer des déclencheurs contextuels (un rappel avant de partir en déplacement, une checklist à la connexion depuis un réseau externe), de rendre le comportement sécurisé le plus facile possible (gestionnaire de mots de passe préconfigurés, VPN activé automatiquement), et de renforcer positivement les comportements corrects plutôt que de sanctionner uniquement les comportements incorrects.

La gamification de la sécurité — classements internes de performance aux simulations de phishing, reconnaissance des signalements d'incidents — peut fonctionner comme mécanisme de renforcement positif, à condition d'être conçue pour développer des compétences réelles et non pour optimiser une métrique artificielle.

Cas EU EasyJet (2020) — La compromission de données de 9 millions de clients incluait des données de cartes de crédit de milliers de passagers. L'investigation a pointé des comportements de développeurs qui avaient stocké des données sensibles dans des environnements de test non sécurisés — une pratique courante issue d'habitudes informelles jamais formalisées ni contrôlées.

Identifier et cibler les comportements à risque prioritaires

Toutes les micro-décisions ne présentent pas le même niveau de risque. Une démarche efficace de réduction du risque comportemental identifie les comportements à risque prioritaires — ceux dont la fréquence et l'impact potentiel sont les plus élevés dans le contexte spécifique de l'organisation — et concentre les efforts de sensibilisation et de contrôle sur ces comportements.

Pour une entreprise dont les équipes commerciales travaillent intensément en déplacement avec des données clients sensibles, les comportements à risque prioritaires ne sont pas les mêmes que pour une équipe de développement qui gère des accès à des environnements cloud. Le programme comportemental doit être calibré sur cette analyse de risque, pas sur une liste standard de "bonnes pratiques" génériques.

Cas Asie Air India (2021) — La fuite de données de 4,5 millions de passagers a en partie résulté de comportements d'accès aux systèmes de réservation tiers qui n'étaient pas encadrés par des procédures suffisamment strictes. Des accès privilégiés étaient utilisés au quotidien de manière informelle, sans traçabilité ni contrôle des comportements associés.

Articles similaires

Pourquoi la formation cyber est devenue indispensable pour toutes les équipes

Points clés Plus de 80 % des cyberattaques documentées incluent une composante humaine — phishing, social engineering, mauvaise manipulation — selon le Verizon

24 mai 2026 7 min

Sensibilisation ponctuelle ou culture durable : ce qui fait réellement la différence

Points clés Une sensibilisation ponctuelle — une session annuelle, un email de rappel — produit un effet de protection qui s'estompe en 3 à 6 mois selon les étu

24 mai 2026 7 min

Les erreurs les plus fréquentes après une formation de sécurité

Points clés Les erreurs les plus fréquentes après une formation cyber ne sont pas des erreurs de contenu, mais des erreurs de mise en œuvre : formation sans sui

24 mai 2026 7 min
WhatsApp