Points clés
- Les obstacles à la diffusion d'une culture de sécurité sont rarement techniques — ils sont organisationnels, managériaux, culturels et liés aux contraintes opérationnelles réelles des équipes.
- La perception que la sécurité est un frein à la productivité est l'obstacle le plus fréquemment cité par les collaborateurs dans les études sur les comportements à risque.
- La fragmentation organisationnelle de la sécurité — entre IT, sécurité physique, RH, conformité — produit des angles morts et des incohérences que les collaborateurs explorent intuitivement.
- Gartner identifie dans ses études que moins de 10 % des organisations évaluent explicitement l'impact de leur culture organisationnelle sur leur posture de sécurité.
La diffusion d'une culture de sécurité authentique dans une organisation se heurte à des obstacles structurels que les programmes de formation seuls ne peuvent pas surmonter. Ces obstacles ne sont pas principalement des questions de connaissance — ils sont liés à la culture organisationnelle, aux contraintes opérationnelles, à la fragmentation des responsabilités et aux perceptions des collaborateurs sur la sécurité.
Identifier ces obstacles et les adresser explicitement dans la gouvernance du programme de formation est indispensable pour que celui-ci produise un impact durable. Ignorer ces obstacles conduit à un programme de formation techniquement excellent mais organisationnellement inefficace.
L'obstacle de la friction perçue
La perception que les règles de sécurité ralentissent le travail est l'obstacle culturel le plus fréquent. Lorsque l'authentification multifacteur ajoute 30 secondes à chaque connexion, que les procédures d'approbation des nouveaux outils prennent plusieurs semaines, que les politiques d'accès aux données créent des étapes supplémentaires dans les processus métier — les collaborateurs perçoivent la sécurité comme un frein à leur productivité, pas comme un outil de protection.
Cette perception génère des comportements de contournement : utilisation d'outils non approuvés qui offrent les mêmes fonctionnalités sans les contraintes de sécurité, partage de mots de passe pour éviter les procédures d'accès individuels, utilisation d'équipements personnels pour éviter les restrictions des équipements professionnels. Ces comportements sont rationnels du point de vue du collaborateur qui cherche à accomplir son travail efficacement.
La réponse à cet obstacle passe par la réduction de la friction des contrôles de sécurité (SSO, gestionnaires de mots de passe, processus d'approbation rapides) et par l'explication des raisons de chaque contrôle. Un collaborateur qui comprend pourquoi il doit utiliser un gestionnaire de mots de passe est plus susceptible de l'utiliser volontairement qu'un collaborateur à qui on impose l'outil sans explication.
L'obstacle de la fragmentation organisationnelle
La sécurité dans les grandes organisations est souvent fragmentée entre plusieurs fonctions : la DSI gère la cybersécurité, les services généraux gèrent la sécurité physique, la compliance gère les exigences réglementaires, les RH gèrent les politiques de confidentialité. Cette fragmentation produit des incohérences : des règles contradictoires, des angles morts aux intersections, des processus qui se chevauchent ou se contredisent.
Les collaborateurs perçoivent ces incohérences et en tirent la conclusion que les règles de sécurité ne sont pas cohérentes ni appliquées de manière uniforme — une perception qui fragilise la culture de sécurité. Un collaborateur qui observe qu'un cadre dirigeant reçoit des exceptions aux politiques d'accès, ou qu'un département utilise des outils non approuvés sans conséquences, en conclut que les règles sont optionnelles pour ceux qui ont le bon statut.
La réponse à cet obstacle passe par une gouvernance unifiée de la sécurité — un RSSI avec un mandat transversal, des politiques cohérentes entre les fonctions, des exceptions documentées et justifiées plutôt que tacites. Cette unification envoie un signal que les règles de sécurité s'appliquent universellement, renforçant la culture.
L'obstacle du manque de pertinence perçue
Certains collaborateurs perçoivent les risques cyber comme un problème des "grandes entreprises" ou des secteurs à haute valeur — pas de leur organisation ou de leur rôle spécifique. Un assistant commercial qui pense que son poste de travail ne contient pas de données intéressantes pour un attaquant est moins vigilant qu'un collaborateur qui comprend comment sa compromission pourrait permettre un accès latéral vers des systèmes plus sensibles.
Cette perception de non-pertinence est particulièrement fréquente dans les PME, les organisations à but non lucratif et les administrations publiques qui ne se perçoivent pas comme des cibles prioritaires. Les données des incidents documentés contredisent cette perception : les attaques par ransomware ciblent indifféremment toutes les tailles d'organisation, les fraudes BEC touchent aussi bien les PME que les multinationales, et les attaques par rebond utilisent souvent les organisations plus petites comme point d'entrée vers des cibles plus grandes.
La réponse à cet obstacle passe par la contextualisation du risque : des exemples d'incidents dans des organisations comparables, une explication claire de la valeur que représentent les données de l'organisation pour les attaquants, et une illustration concrète des conséquences d'un incident pour l'organisation et ses collaborateurs.
Verizon analyse depuis 2008 les facteurs humains dans les violations de données dans son Data Breach Investigations Report annuel. L'édition 2024 documente que les organisations avec les taux d'incidents humains les plus élevés présentent systématiquement les mêmes caractéristiques culturelles : fragmentation des responsabilités sécurité, tolérance managériale aux comportements à risque, et perception des contrôles de sécurité comme des freins à la productivité. Ces facteurs sont cités par Verizon comme plus prédictifs du risque résiduel que les niveaux d'investissement en technologies de sécurité. L'identification et la correction de ces obstacles culturels est recommandée par Verizon comme priorité pour les organisations cherchant à réduire le risque humain.
L'ENISA a publié en 2023 un rapport sur les obstacles à la diffusion de la culture cyber dans les organisations européennes, basé sur des enquêtes auprès de responsables de la sécurité dans plusieurs pays. Les principaux obstacles identifiés sont : le manque d'engagement de la direction (cité par 58 % des répondants), la perception que la sécurité freine la productivité (47 %), le manque de ressources dédiées (44 %), et la fragmentation des responsabilités entre IT et autres fonctions (38 %). L'ENISA recommande des investissements prioritaires dans l'engagement des dirigeants et la réduction de la friction des contrôles de sécurité pour lever ces obstacles.
La Cyber Security Agency de Singapour a publié en 2023 une étude sur la culture cyber dans les PME singapouriennes. L'étude révèle que 67 % des PME de moins de 50 employés ne disposent pas de programme de formation cyber formalisé, et que les principaux obstacles cités sont le manque de temps (71 %), la perception que les risques ne les concernent pas (58 %), et le coût des programmes (47 %). La CSA a développé des ressources gratuites adaptées aux PME (Cyber Essentials, Cyber Trust) pour lever ces obstacles, et mesure annuellement l'évolution de la culture cyber dans ce segment.