Phylapp
Risques humains et sécurité interne

Comment les habitudes de travail créent des failles invisibles

Les failles les plus persistantes vivent dans les habitudes de travail normalisées : écart entre politique et pratique réelle, nouvelles pratiques du travail hybride non adressées, processus informels non gouvernés — des audits de pratiques réelles les révèlent.

M
Mehdi SARIAK
24 mai 2026 7 min de lecture 47 lectures

Points clés

  • Les failles les plus dangereuses ne sont pas toujours les plus visibles : les pratiques de travail habituelles, normalisées et peu questionnées, créent des expositions persistantes difficiles à détecter.
  • Le travail à distance et hybride a modifié les pratiques sans que les politiques de sécurité aient été adaptées en conséquence dans la plupart des organisations.
  • Les processus informels — comment les choses se font vraiment, pas comment la politique dit qu'elles devraient se faire — sont le terrain des failles habituelles.
  • Des audits de sécurité qui observent les pratiques réelles (pas seulement les politiques documentées) révèlent systématiquement des écarts significatifs.

Les failles de sécurité les plus persistantes ne sont pas celles que les équipes techniques connaissent et n'ont pas encore corrigées. Ce sont les pratiques de travail habituelles que personne ne questionne parce qu'elles fonctionnent, parce qu'elles ont toujours été ainsi, et parce qu'elles n'ont pas (encore) causé d'incident visible. Ces failles habituelles sont les plus difficiles à identifier précisément parce qu'elles sont normalisées.

L'ironie de ces failles est qu'elles sont souvent parfaitement connues des opérationnels — qui ont développé ces habitudes pour résoudre des contraintes réelles — mais ignorées des équipes sécurité qui auditent les politiques et les systèmes plutôt que les pratiques. Combler l'écart entre la sécurité documentée et la sécurité réelle est l'un des défis les plus importants de la gouvernance des risques humains.

L'écart entre politique et pratique réelle

Toutes les organisations ont des politiques de sécurité. Peu d'organisations ont un bon aperçu de la mesure dans laquelle ces politiques sont effectivement respectées dans la pratique quotidienne. Cet écart — entre ce que la politique dit et ce que les employés font réellement — est le terrain fertile des failles habituelles. Il se creuse progressivement, sans que personne ne le décide, par l'accumulation de micro-adaptations individuellement raisonnables mais collectivement problématiques.

Des audits de pratiques réelles — pas des revues de documents, mais des observations de ce que les équipes font effectivement — révèlent systématiquement cet écart dans des organisations qui se pensent conformes à leurs propres politiques.

Le travail hybride et distant : nouvelles pratiques, anciens risques

Le travail à distance et hybride a généré de nouvelles habitudes de travail qui créent des failles rarement adressées : utilisation de réseaux Wi-Fi non sécurisés dans des lieux publics sans VPN, impression de documents sensibles sur des imprimantes domestiques non gérées, conversations professionnelles sensibles dans des espaces partagés, mélange d'appareils personnels et professionnels dans le même environnement de travail.

Ces pratiques ne résultent pas d'une négligence délibérée — elles sont des adaptations naturelles au contexte du travail distant. Les organisations qui n'ont pas explicitement adressé ces nouveaux contextes dans leurs politiques de sécurité et leurs formations ont accepté ces risques sans décision consciente.

Les processus informels comme terrain de risque

Toute organisation a deux systèmes : le système formel (les processus documentés, les politiques, les procédures) et le système informel (comment les choses se font vraiment). Les failles habituelles vivent dans le système informel : les approbations qui se font par un message Teams sans trace dans le système officiel, les accès temporaires accordés "par exception" qui deviennent permanents, les partages de fichiers via des canaux non officiels "en attendant" de trouver la bonne solution.

Identifier et corriger ces pratiques informelles exige une connaissance de l'organisation réelle — de comment le travail se fait vraiment, pas de comment il devrait se faire selon la documentation. Cette connaissance ne s'obtient pas depuis un bureau : elle exige une présence dans les équipes, une écoute et une confiance mutuelle.

Les revues périodiques des pratiques : un investissement nécessaire

Des revues régulières des pratiques de sécurité réelles — incluant des entretiens avec les opérationnels, des observations de processus et des analyses de logs d'utilisation — permettent de maintenir la visibilité sur l'écart entre politique et pratique. Ces revues, distinctes des audits de conformité formels, doivent être conduites dans une optique d'amélioration et non de sanction pour être efficaces : si les employés craignent les conséquences de leurs témoignages, ils ne révéleront pas les pratiques réelles.

Études de cas

Colonial Pipeline 2021 — Accès VPN obsolète non désactivé

La compromission de Colonial Pipeline qui a paralysé l'approvisionnement en carburant de la côte Est américaine en 2021 a utilisé comme vecteur d'accès initial un compte VPN obsolète d'un ancien employé ou prestataire qui n'avait pas été révoqué. Ce compte, non protégé par le MFA, avait un mot de passe exposé dans une base de données de credentials compromis. La pratique habituelle de ne pas révoquer systématiquement les accès à la déconnexion de chaque utilisateur — une faille de processus normalisée — a été le maillon qui a rendu toute la compromission possible.

Norsk Hydro 2019 — Propagation facilitée par des pratiques réseau habituelles

Le ransomware LockerGoga qui a frappé Norsk Hydro en 2019 a pu se propager à 22 000 systèmes dans 40 pays en quelques heures, en partie grâce à des pratiques réseau habituelles : des partages réseau larges, des droits d'administration distribués et des communications inter-sites non segmentées — toutes des configurations qui "avaient toujours fonctionné" et que personne n'avait questionnées jusqu'à l'incident. Le coût de remédiation a dépassé 71 millions de dollars.

Audits de pratiques dans le secteur bancaire — Résultats systématiques

Des cabinet d'audit spécialisés en sécurité rapportent que dans une majorité des audits de pratiques réelles conduits dans les institutions financières, ils découvrent des écarts significatifs entre les politiques de sécurité documentées et les pratiques effectives : des processus d'approbation d'accès contournés "par exception" permanente, des partages de credentials entre responsables hiérarchiques et assistants, des données sensibles dans des emails non chiffrés "juste pour ce cas". Ces constats, identiques dans des organisations qui se croient conformes, illustrent l'universalité de l'écart politique-pratique.

États-Unis — Remote work et nouvelles failles habituelles (CISA, 2020-2023)

La CISA a publié plusieurs alertes sur les nouvelles failles créées par le travail à distance généralisé pendant et après la pandémie : exposition d'accès RDP (Remote Desktop Protocol) sans MFA, utilisation de VPN non mis à jour, déploiement précipité d'outils de collaboration sans évaluation sécuritaire. Ces pratiques — adoptées rapidement pour répondre à une urgence opérationnelle — sont devenues habituelles dans de nombreuses organisations, créant des expositions persistantes non adressées malgré des recommandations répétées.

France — ANSSI, retours d'expérience sur les incidents liés aux pratiques habituelles

Les retours d'expérience publiés par l'ANSSI sur les incidents traités documentent régulièrement que des pratiques habituelles non questionnées ont joué un rôle dans la compromission ou son aggravation : comptes de service partagés entre applications avec des droits trop larges, procédures de sauvegarde non testées depuis des années, accès d'administration en production utilisés quotidiennement pour des tâches non critiques. Ces constats récurrents dans des organisations de taille et de secteur variés illustrent que les failles habituelles sont un problème systémique, pas exceptionnel.

Australie — ASD (ACSC) et les habitudes de sécurité dans les PME

L'Australian Signals Directorate a documenté que dans les PME australiennes, les habitudes de travail les plus fréquemment exploitées par les attaquants incluent l'utilisation de mots de passe simples pour les routeurs et appareils réseau (jamais changés depuis l'installation), les connexions RDP exposées sur Internet sans restriction d'adresse IP, et les droits d'administrateur local accordés à tous les utilisateurs pour "simplifier les mises à jour". Ces pratiques, héritées de l'époque où les organisations étaient moins ciblées, persistent par habitude et constituent aujourd'hui des vecteurs d'attaque courants.

Articles similaires

Les risques liés aux comptes partagés et pratiques informelles

Comptes partagés et pratiques informelles d'accès détruisent l'imputabilité, rendent l'investigation d'incidents impossible et violent la séparation des tâches. La solution est d'adresser les problèmes opérationnels réels, pas seulement d'interdire les pratiques.

24 mai 2026 7 min

Comment la pression opérationnelle favorise les contournements de sécurité

La pression opérationnelle est le principal facteur conduisant les employés à contourner les contrôles de sécurité avec de bonnes intentions. Les exceptions temporaires deviennent permanentes. Concevoir des contrôles adaptés à la réalité sous pression réduit structurellement les contournements.

24 mai 2026 7 min

Les comportements internes qui facilitent les attaques externes

Les attaques externes les plus réussies exploitent des comportements internes : phishing ciblé sur des habitudes identifiées, MFA fatigue, exploitation de la réponse aux urgences. Réduire les comportements facilitateurs prévient l'intrusion initiale plus efficacement que les défenses techniques seules.

24 mai 2026 7 min
WhatsApp