Points clés
- Le comportement des managers est le principal déterminant du comportement sécuritaire des équipes : les collaborateurs observent et reproduisent les pratiques de leur hiérarchie directe, au-delà de ce que les formations formelles enseignent.
- La mémorandum de Bill Gates de 2002 ("Trustworthy Computing") a transformé la culture de sécurité de Microsoft non pas par la formation, mais par un signal fort de leadership qui a redéfini les priorités à tous les niveaux de l'organisation.
- Wells Fargo (scandale des faux comptes, 2016) illustre comment une culture managériale axée sur des objectifs de performance sans garde-fous éthiques peut conduire des équipes à des comportements frauduleux systématiques — une dynamique que la formation seule ne peut pas corriger.
- Le NIST CSF 2.0 et ISO 27001:2022 identifient l'engagement de la direction comme un facteur critique de succès des programmes de sécurité de l'information.
La formation à la cybersécurité est souvent conçue comme une intervention sur les collaborateurs — les former pour qu'ils adoptent des comportements plus sécurisés. Cette conception sous-estime le rôle des managers dans la formation des comportements de leurs équipes. Les études sur le comportement organisationnel et sur la culture de sécurité convergent sur un point : le manager direct est la principale source d'influence sur le comportement quotidien de son équipe, plus que les formations formelles.
Le rôle des managers dans la diffusion de la culture cyber est donc structurant. Lorsque les managers appliquent visiblement les règles de sécurité, valorisent les comportements sécurisés et ne tolèrent pas les contournements, les équipes adoptent une culture de sécurité. Lorsque les managers contournent les règles, ignorent les signalements ou donnent la priorité à la vitesse sur la sécurité, les équipes en concluent que la sécurité est optionnelle.
Le rôle de l'exemplarité managériale
L'exemplarité managériale est le vecteur de transmission le plus puissant de la culture cyber. Un manager qui utilise une clé de sécurité physique pour s'authentifier, qui verrouille son poste en quittant son bureau, qui signale les emails suspects, qui pose des questions sur la sécurité lors des revues de projet — ce manager communique par ses actes que la sécurité est une priorité réelle et non une contrainte administrative.
À l'inverse, un manager qui partage ses identifiants avec son assistant pour des raisons pratiques, qui demande une exception aux règles d'accès pour accélérer un projet, qui ne verrouille pas son poste en salle de réunion — ce manager signale implicitement que les règles de sécurité sont négociables pour ceux qui ont de l'autorité. Les membres de son équipe en tirent rapidement la conclusion que les mêmes règles sont négociables pour eux aussi.
Cette dynamique est amplifiée pour la direction générale. Un PDG ou un DAF qui refuse de se soumettre à l'authentification multifacteur, qui n'applique pas les règles d'accès dans ses déplacements, ou qui minimise publiquement les risques de sécurité envoie un signal qui se diffuse à travers toute l'organisation. L'engagement visible de la direction générale dans les pratiques de sécurité est un levier de culture organisationnelle que aucune formation ne peut remplacer.
Former les managers à leur rôle spécifique
Les managers doivent recevoir une formation qui va au-delà de la sensibilisation standard des collaborateurs. Cette formation doit couvrir : les risques spécifiques liés à leurs accès étendus aux systèmes et aux données, leur rôle dans la transmission de la culture cyber à leur équipe, comment réagir face aux comportements à risque dans leur équipe (signaler sans stigmatiser), et comment intégrer la sécurité dans les processus de gestion de projet et de validation des livrables.
Les managers doivent également être formés à soutenir les signalements de sécurité. Un collaborateur qui détecte une anomalie ou qui réalise avoir commis une erreur de sécurité doit se sentir en confiance pour le signaler à son manager. Si la culture managériale punit les erreurs plutôt que de les traiter comme des opportunités d'apprentissage, les signalements d'incidents seront supprimés — précisément quand ils sont les plus nécessaires.
Le NIST CSF 2.0 (fonction Govern) place l'engagement et la responsabilité de la direction dans la gouvernance de la cybersécurité comme un prérequis à l'efficacité de l'ensemble du programme. ISO 27001:2022 Section 5 (Leadership) impose explicitement que la direction générale démontre son leadership et son engagement dans le SMSI.
Structurer la communication descendante sur la sécurité
Une communication régulière de la direction générale sur la cybersécurité — actualités des menaces, résultats des programmes de formation, communication post-incident — donne de la visibilité au sujet et lui confère l'importance que les collaborateurs perçoivent qu'il mérite. Cette communication doit être factuelle, non alarmiste, et orientée vers les actions concrètes que les collaborateurs peuvent prendre.
Les managers intermédiaires doivent être habilités et préparés à relayer cette communication dans leurs équipes : expliquer les nouvelles règles de sécurité et leurs raisons, partager les exemples d'incidents pertinents, animer les discussions sur les risques dans les réunions d'équipe. Ce relais managérial amplifie l'impact de la communication de la direction générale et l'ancre dans le contexte quotidien des équipes.
En janvier 2002, Bill Gates a envoyé un mémorandum à l'ensemble des employés de Microsoft déclarant que la sécurité informatique était désormais la priorité absolue de l'entreprise, devant toutes les fonctionnalités et tous les délais. Ce mémorandum a conduit à l'arrêt de tout développement pendant plusieurs semaines pour une revue complète de sécurité, et à la création du Trustworthy Computing Group. L'impact sur la culture de sécurité de Microsoft a été immédiat et durable. Cet exemple illustre qu'un signal fort de leadership, soutenu par des décisions opérationnelles concrètes, transforme la culture de sécurité plus efficacement que n'importe quel programme de formation.
L'affaire Kerviel à la Société Générale (2008) a révélé comment une culture managériale qui valorisait les résultats sans questionner les méthodes avait permis à un trader de prendre des positions frauduleuses pendant plusieurs années. Les managers intermédiaires qui auraient dû détecter et signaler les anomalies n'étaient pas formés à leur rôle de contrôle, et la culture organisationnelle valorisait la performance au détriment de la vigilance. La Société Générale a mis en place après cet incident un programme de formation spécifique pour les managers sur leur rôle dans le contrôle des risques, qui a été étendu à la cybersécurité dans les années suivantes.
La Government Technology Agency (GovTech) de Singapour a développé un programme de formation cyber qui place les managers de l'administration publique au centre du dispositif. Les managers reçoivent une formation spécifique sur leur rôle d'ambassadeurs de la culture cyber et sont évalués sur leur capacité à animer la discussion sur la sécurité dans leurs équipes. GovTech publie annuellement un rapport sur l'état de la culture cyber dans l'administration publique singapourienne, qui inclut des indicateurs comportementaux par département et par niveau de management. Ce programme est cité par l'ENISA comme un exemple d'intégration du management dans la gouvernance de la culture cyber.