Points clés
- Une culture de la peur — où les erreurs de sécurité sont punies plutôt que traitées comme des occasions d'apprentissage — réduit le signalement des incidents et augmente le risque réel de l'organisation.
- Uber a tenté en 2016 de dissimuler une violation de données affectant 57 millions d'utilisateurs en payant les hackers via son programme de bug bounty, évitant toute notification réglementaire — une stratégie qui a conduit à une amende de 148 millions USD et à la démission du CISO.
- Le Just Culture framework, développé dans l'aviation civile puis adapté à d'autres secteurs à risque, offre un modèle de traitement des erreurs humaines qui équilibre responsabilité individuelle et apprentissage organisationnel.
- Les organisations avec des taux de signalement d'incidents élevés présentent de meilleures capacités de détection et de réponse — et non une exposition plus importante : le signalement révèle les risques existants plutôt qu'en créer de nouveaux.
Former sans culpabiliser est l'un des défis les plus délicats de la gestion de la culture cyber. D'un côté, les organisations ont besoin de créer une vigilance et une responsabilité individuelles — les comportements à risque ont des conséquences. De l'autre, une culture de la peur et de la punition crée des effets pervers qui augmentent le risque réel : les erreurs ne sont pas signalées, les incidents sont dissimulés, les collaborateurs ont peur de poser des questions de sécurité.
Trouver le bon équilibre entre responsabilité et apprentissage est une question de gouvernance organisationnelle autant que de conception de programme de formation. Cet équilibre détermine si les collaborateurs voient la sécurité comme un allié ou comme un adversaire.
Les effets pervers d'une culture punitive
Dans une culture où les erreurs de sécurité sont sévèrement sanctionnées, les collaborateurs développent des stratégies d'évitement. Un collaborateur qui a cliqué sur un email de phishing réel et a fourni ses identifiants hésitera à le signaler s'il craint une sanction disciplinaire. Ce retard de signalement — quelques heures, quelques jours — peut permettre aux attaquants de se mouvoir dans le système d'information bien au-delà du point de compromission initial, aggravant considérablement l'impact de l'incident.
La culture punitive dégrade également la qualité des simulations de phishing. Lorsque les collaborateurs craignent d'être identifiés après avoir cliqué sur une simulation, ils développent des stratégies défensives qui faussent les résultats : vérifier les emails suspects sans les ouvrir, signaler systématiquement tous les emails pour éviter le risque de cliquer sur une simulation, ou communiquer informellement entre collègues pour s'alerter mutuellement des simulations en cours.
Yahoo a, selon plusieurs témoignages publiés après l'acquisition par Verizon, développé une culture interne où les équipes de sécurité étaient perçues comme des obstacles plutôt que des partenaires. Les développeurs hésitaient à signaler des vulnérabilités dans leur code par peur d'une réaction punitive. Ce silence a contribué à laisser persister des vulnérabilités qui auraient pu être corrigées si le signalement avait été encouragé et traité de manière constructive.
Le modèle Just Culture comme référence
Le Just Culture est un modèle de gestion des erreurs humaines développé initialement dans l'aviation civile (James Reason, Sidney Dekker) et adopté par d'autres secteurs à risque — santé, nucléaire, transport. Il repose sur une distinction fondamentale : il existe une différence entre une erreur non intentionnelle (un collaborateur qui clique sur un email de phishing en bonne foi) et un comportement délibérément non conforme (un collaborateur qui contourne sciemment les règles de sécurité par négligence ou pour un gain personnel).
Dans le modèle Just Culture, les erreurs non intentionnelles font l'objet d'un soutien et d'un apprentissage : le collaborateur est informé, formé, et aidé à développer les réflexes qui auraient permis d'éviter l'erreur. Les comportements délibérément non conformes font l'objet de conséquences proportionnées à leur gravité. Cette distinction claire permet de traiter les erreurs honnêtes sans punition excessive, tout en maintenant une exigence sur les comportements délibérément à risque.
Ce modèle est applicable à la cybersécurité. Un collaborateur qui clique sur une simulation de phishing après une formation est invité à compléter un module de formation correctif — pas sanctionné. Un collaborateur qui partage délibérément ses identifiants avec un tiers non autorisé fait l'objet d'une procédure disciplinaire. Cette distinction, communiquée clairement à l'ensemble des collaborateurs, crée un environnement où les erreurs honnêtes ne sont pas taboues.
Construire une culture du signalement
Le taux de signalement des incidents de sécurité — tentatives de phishing détectées, comportements suspects observés, erreurs de manipulation commises — est un indicateur clé de la maturité de la culture cyber. Les organisations avec des taux de signalement élevés ne sont pas plus exposées ; elles ont plus de visibilité sur leurs risques réels et peuvent y répondre plus rapidement.
Construire une culture du signalement passe par plusieurs leviers : valoriser publiquement les signalements (remercier les collaborateurs qui signalent des tentatives de phishing, partager les cas de détection réussie), simplifier les procédures de signalement (bouton de signalement dans le client email, canal de signalement dédié et accessible), et traiter les signalements rapidement avec un feedback aux collaborateurs (leur indiquer ce qu'il en est résulté). Ces pratiques montrent que le signalement est utile et valorisé.
L'ENISA recommande dans ses lignes directrices sur la culture cyber que les organisations mettent en place des canaux de signalement accessibles et non punitifs, et qu'elles publient régulièrement des statistiques sur les signalements pour montrer que ces informations sont utilisées. Ce retour d'information en boucle close — signalement → action → communication sur l'action — est l'un des leviers les plus efficaces pour augmenter durablement le taux de signalement.
En 2016, Uber a découvert une violation de données affectant les informations de 57 millions de conducteurs et de passagers. Plutôt que de notifier les régulateurs et les personnes concernées, la direction d'Uber — avec la complicité du CISO de l'époque — a payé les hackers 100 000 USD via le programme de bug bounty pour dissimuler l'incident. Cette décision, qui reflète une culture organisationnelle où la dissimulation des problèmes était préférée à leur signalement, a conduit à une amende de 148 millions USD de la part des procureurs généraux de 50 États américains, et à la démission du CISO. Cet incident illustre comment une culture de la peur et de la dissimulation peut aggraver considérablement les conséquences d'un incident.
L'étude State of the Phish 2023 de Proofpoint a établi que 44 % des employés qui avaient cliqué sur un lien de phishing réel n'avaient pas signalé l'incident à leur équipe IT. La raison principale invoquée : la peur de conséquences négatives. Cette statistique illustre l'ampleur du problème dans les organisations européennes. En parallèle, Proofpoint documente que les organisations qui ont développé des cultures de signalement bienveillantes présentent des délais de détection des incidents de l'ordre de quelques heures, contre plusieurs jours ou semaines dans les organisations avec des cultures punitives. L'écart de performance est directement lié à la culture organisationnelle autour du signalement.
L'autorité de l'aviation civile de Singapour (CAAS) a développé un programme de Just Culture reconnu internationalement pour la gestion des erreurs humaines dans l'aviation. Ce programme, qui protège les déclarants d'incidents de bonne foi contre les sanctions disciplinaires, a conduit à une augmentation significative des déclarations d'incidents et à une amélioration mesurable de la sécurité. Plusieurs régulateurs financiers asiatiques, dont la MAS, ont étudié ce modèle pour l'adapter à la gestion des incidents de cybersécurité dans le secteur financier. La MAS recommande dans ses guidelines sur le reporting d'incidents cyber que les institutions financières adoptent une culture non punitive pour encourager le signalement précoce des incidents internes.