Phylapp
Culture cyber et formation des équipes

Le rôle des managers dans la diffusion des bonnes pratiques

Les managers de proximité sont les vecteurs culturels les plus efficaces en matière de sécurité. Non sensibilisés, ils deviennent des vecteurs de risque. Intégrer la sécurité dans leurs critères de performance est le levier structurel décisif.

M
Mehdi SARIAK
24 mai 2026 7 min de lecture 26 lectures

Points clés

  • Les managers de proximité sont les vecteurs de diffusion culturelle les plus efficaces — leurs comportements sont observés et imités par leurs équipes.
  • Un manager non sensibilisé est un vecteur de risque : il prend des décisions qui compromettent la sécurité par méconnaissance et normalise les comportements non conformes.
  • Intégrer la sécurité dans les critères de performance managériaux est le levier structurel le plus efficace pour ancrer les comportements sécurisés.
  • Les managers doivent être équipés de réponses aux situations sécurité courantes pour jouer leur rôle de relais sans dépendre systématiquement de l'expertise technique.
Cas US Colonial Pipeline (2021) — La paralysie du pipeline transportant 45 % du carburant de la côte Est américaine a débuté par un accès via un mot de passe compromis sur un VPN sans MFA. Le manager responsable du système n'avait pas fait de l'activation du MFA une priorité dans son équipe, malgré les recommandations de l'équipe sécurité. Cette décision managériale — pas une défaillance technique — a été le facteur déterminant.

Le manager comme modèle comportemental

Les recherches en psychologie organisationnelle sont convergentes sur un point : les comportements des managers de proximité sont observés, interprétés et imités par leurs équipes de manière bien plus efficace que les politiques écrites ou les formations formelles. Un manager qui utilise un gestionnaire de mots de passe, qui signale systématiquement les emails suspects, qui prend le temps de vérifier les accès avant de les accorder : ce manager diffuse des normes comportementales sécurisées sans avoir besoin de tenir un discours explicite sur la sécurité.

Inversement, un manager qui contourne les procédures d'accès "pour aller plus vite", qui partage ses identifiants avec un subordonné pour une urgence, qui ne priorise pas les formations sécurité dans l'agenda de son équipe : ce manager communique que la sécurité est une contrainte négociable. Ce signal est capté et reproduit à l'échelle de son équipe.

Le manager non sensibilisé comme vecteur de risque

Au-delà des comportements symboliques, les managers prennent des décisions qui ont un impact direct sur le niveau de sécurité de leur périmètre : accorder ou refuser des accès, prioriser ou reporter des mises à jour, intégrer ou exclure des revues de sécurité dans les processus projet, décider si un incident doit être escaladé. Un manager qui n'a pas une compréhension minimale des enjeux de sécurité prend ces décisions avec une information incomplète, souvent en faveur de la rapidité ou de la commodité au détriment de la sécurité.

Le niveau de sensibilisation requis pour un manager n'est pas celui d'un spécialiste technique. C'est la capacité à identifier quand une situation nécessite l'escalade vers l'équipe sécurité, à comprendre les implications de base des décisions d'accès, et à créer dans son équipe un environnement où le signalement des anomalies est naturel et non stigmatisé.

Intégrer la sécurité dans les critères de performance

Le levier structurel le plus efficace pour ancrer les comportements sécurisés dans le management est d'intégrer des indicateurs de sécurité dans les critères de performance managériaux. Cela peut prendre différentes formes : un objectif sur le taux de complétion des formations sécurité de l'équipe, un indicateur sur le délai de remédiation des vulnérabilités identifiées dans le périmètre du manager, ou une évaluation qualitative de la culture sécurité de l'équipe lors des revues annuelles.

Quand la sécurité est absente des critères de performance, les managers arbitrent naturellement en sa défaveur face aux objectifs opérationnels qui, eux, sont mesurés. Ajouter la sécurité dans l'équation de performance change les arbitrages que les managers font quotidiennement.

Cas EU Renault (2017) — Les managers de production des usines Renault avaient collectivement décidé de reporter les mises à jour Windows pour éviter les arrêts de ligne. Cette décision managériale collective — pas individuelle — a créé une vulnérabilité systémique. Un cadre de performance où les managers auraient été tenus responsables des risques de sécurité de leurs environnements aurait créé un arbitrage différent.

Équiper les managers pour jouer leur rôle de relais

Pour que les managers jouent efficacement leur rôle de relais de la culture sécurité, ils doivent être équipés de réponses praticables aux situations courantes. Pas des connaissances techniques approfondies, mais des protocoles simples : comment réagir si un membre de l'équipe signale un email suspect, comment prioriser une demande de mise à jour urgente, comment répondre à un employé qui demande une dérogation de politique.

Ces "scripts de réaction" managériaux se construisent dans des formations spécifiques aux managers, distinctes des formations généralistes. Ils peuvent être complétés par des fiches de référence rapide (que faire si…) accessibles dans les outils de travail quotidiens. L'objectif est de supprimer la friction entre la reconnaissance d'une situation et l'adoption du comportement adapté.

Cas Asie Cathay Pacific (2018) — Des anomalies de sécurité avaient été détectées par des techniciens mais n'avaient pas été escaladées correctement, en partie parce que leurs managers n'avaient pas créé les conditions d'un signalement fluide. L'absence de formation managériale spécifique à la sécurité avait conduit à une chaîne de non-escalade qui a prolongé la durée d'exposition de l'incident.

Articles similaires

Pourquoi la formation cyber est devenue indispensable pour toutes les équipes

Points clés Plus de 80 % des cyberattaques documentées incluent une composante humaine — phishing, social engineering, mauvaise manipulation — selon le Verizon

24 mai 2026 7 min

Sensibilisation ponctuelle ou culture durable : ce qui fait réellement la différence

Points clés Une sensibilisation ponctuelle — une session annuelle, un email de rappel — produit un effet de protection qui s'estompe en 3 à 6 mois selon les étu

24 mai 2026 7 min

Les erreurs les plus fréquentes après une formation de sécurité

Points clés Les erreurs les plus fréquentes après une formation cyber ne sont pas des erreurs de contenu, mais des erreurs de mise en œuvre : formation sans sui

24 mai 2026 7 min
WhatsApp