Cybersecurity

Ancrage comportemental et culture cyber : les leçons du CNRS Innovation

Philippe Smelty Philippe Smelty · 8 juillet 2026 · 5 min read

Philippe Smelty, responsable de la sécurité des systèmes d’information chez CNRS Innovation

Transformer la sensibilisation à la cybersécurité en véritable culture d’entreprise : voilà le défi que Philippe Smelty, responsable de la sécurité des systèmes d’Information (RSSI) chez CNRS Innovation, a relevé. Filiale privée du Centre national de la recherche scientifique (CNRS), CNRS Innovation valorise la recherche scientifique en connectant laboratoires académiques et partenaires industriels. Elle manipule des brevets, des codes sources et des contrats confidentiels – autant d’actifs stratégiques qui en font une cible de choix pour les cyberattaques. Avec environ 130 employé•e•s, la structure est à taille humaine mais les enjeux sont considérables. L’expérience menée par Philippe Smelty offre un modèle concret, réplicable, fondé sur trois piliers : l’implication des équipes dès le choix des outils, la ritualisation de la sécurité dans le quotidien et l’ancrage de la responsabilité individuelle.

Le choix par les pairs : quand l’adoption précède le déploiement

L’une des premières décisions de Philippe Smelty a été de ne pas choisir seul la plateforme de sensibilisation. Il a constitué un groupe de personnes représentant chaque direction : des collaborateurs et collaboratrices déjà reconnu•e•s pour leur intérêt envers les outils numériques. Six fournisseurs ont été d’abord évalués, puis la liste a été réduite à trois finalistes. Pendant deux semaines, chaque référent•e• a testé les plateformes en conditions réelles et rempli un questionnaire rigoureux.

Cette approche a produit deux effets immédiats. D’abord, la solution retenue – SoSafe – bénéficiait d’un capital de confiance pré-constitué : les référent•e•s avaient préparé le terrain. Ensuite, les retours terrain issus des tests ont permis d’affiner la configuration de l’outil. Résultat : dès la première année, 90 % des employé•e•s ont complété leur parcours de formation, qui comprenait entre 50 et 70 modules étalés sur l’ensemble de l’année. 

Le processus d’intégration des nouveaux employé•e•s illustre la même logique. Plutôt qu’une simple remise de charte informatique, Philippe Smelty consacre entre une heure et une heure trente à chaque nouvel arrivant•e, pour notamment mettre en perspective le sujet avec le périmètre de données confié à la personne. 

« Demain, je vais te donner accès à des données confidentielles : peut-être que le médicament de demain issu d’un laboratoire CNRS ne sera pas breveté parce qu’il y aura eu une fuite parce que toi, tu n’auras pas fait le maximum. » 

Ce discours ancre d’emblée la responsabilité individuelle dans un enjeu collectif concret.

Vous souhaitez approfondir ces éléments de réflexion ? Visionnez l’enregistrement de la session Signal Paris pour découvrir l’intégralité des échanges. 

Video thumbnail

Ritualiser la cybersécurité : de la formation ponctuelle à la vigilance continue

La formation annuelle ou trimestrielle ne suffit pas à modifier les comportements durablement. Pour Philippe Smelty, la clé réside dans la ritualisation. Concrètement, il recommande à chaque employé•e• de créer une alerte agenda récurrente – toutes les semaines ou toutes les deux semaines – d’une trentaine de minutes dédiées à la cybersécurité : consulter les modules en attente sur la plateforme, lire les actualités cyber partagées sur le réseau collaboratif interne, ou vérifier l’état de ses signalements.

Ce réseau collaboratif interne joue un rôle central dans le dispositif. Philippe Smelty y partage régulièrement des podcasts, des articles sur des cyberattaques récentes, et des exemples réels de courriers malveillants interceptés au niveau du périmètre de l’organisation. Les modules SoSafe, eux, sont disponibles progressivement tout au long de l’année, avec des parcours différenciés selon le profil : membres du comité de direction, employé•e•s fréquemment en télétravail, équipes financières. Cette individualisation évite l’écueil de la formation générique, souvent perçue comme une contrainte administrative.

Responsabilité collective et gouvernance : le tableau de bord à la machine à café

Les petits déjeuners d’entreprise constituent un autre point de contact régulier. À chaque édition, Philippe Smelty prend un quart d’heure – souvent davantage – pour présenter les indicateurs cyber, commenter un incident récent, ou répondre aux questions des employé•e•s. Ces moments créent un espace d’échange informel qui normalise la discussion autour de la cybersécurité. 

L’un des dispositifs les plus originaux mis en place au CNRS Innovation est le classement par équipes, affiché à côté des machines à café. Chaque service y voit son taux de complétion de formation et son taux de clic à des simulations d’hameçonnage. L’effet est immédiat : lorsque l’équipe des ressources humaines s’est retrouvée en bas du classement, ses membres ont reçu des commentaires de collègues : « c’est comme ça que vous protégez nos données personnelles ? » Elle ne l’est pas restée longtemps. Le comité de direction figure lui aussi dans le classement : il montre l’exemple, ou il en répond.

La gouvernance formelle renforce ces incitations informelles. La charte informatique rend la formation explicitement obligatoire : c’est écrit.

« Ce n’est jamais une question de temps. C’est une question de priorité »

Et lorsque la persuasion atteint ses limites, la direction a fait le choix d’aligner les primes de fin d’année sur la complétion des parcours. La charte précise même clairement qu’une négligence grave mettant en danger des données ultra-sensibles peut constituer une faute grave. 

Les retombées dépassent aujourd’hui le strict cadre professionnel. 

« De plus en plus de personnes témoignent que les réflexes acquis en formation les ont protégés dans leur vie personnelle : un lien douteux évité, une arnaque détectée. »

Ce pont entre vie privée et vie professionnelle est selon Philippe Smelty l’un des signes les plus encourageants : il indique que l’ancrage comportemental a fonctionné, que la vigilance est devenue un réflexe véritable et non une simple obligation contractuelle.

About the author

Philippe Smelty
Responsable de la sécurité des systèmes d’information chez CNRS Innovation

En savoir plus

Vous voulez avoir toujours une longueur d’avance en matière de cybersécurité ?

Inscrivez-vous à notre newsletter pour tout savoir sur les actualités, les événements et les ressources disponibles en matière de cybersécurité. Zéro spam, du contenu 100 % utile.

Newsletter visual Hero Background

Découvrez nos produits de première main

Utilisez notre environnement de test en ligne pour voir comment notre plateforme peut vous aider à donner à votre équipe les moyens d’éviter en permanence les cybermenaces et de préserver la sécurité de votre organisation.

This page is not available in English yet.

Diese Seite ist noch nicht in Ihrer Sprache verfügbar. Sie können auf Englisch fortfahren oder zur deutschen Startseite zurückkehren.

Cette page n’est pas encore disponible dans votre langue. Vous pouvez continuer en anglais ou revenir à la page d’accueil en français.

Deze pagina is nog niet beschikbaar in uw taal. U kunt doorgaan in het Engels of terugkeren naar de Nederlandse startpagina.

Esta página aún no está disponible en español. Puedes continuar en inglés o volver a la página de inicio en español.

Questa pagina non è ancora disponibile nella tua lingua. Puoi continuare in inglese oppure tornare alla home page in italiano.