Cybersecurity
Ancrage comportemental et culture cyber : les leçons du CNRS Innovation
Philippe Smelty, responsable de la sécurité des systèmes d’information chez CNRS Innovation
Transformer la sensibilisation à la cybersécurité en véritable culture d’entreprise : voilà le défi que Philippe Smelty, responsable de la sécurité des systèmes d’Information (RSSI) chez CNRS Innovation, a relevé. Filiale privée du Centre national de la recherche scientifique (CNRS), CNRS Innovation valorise la recherche scientifique en connectant laboratoires académiques et partenaires industriels. Elle manipule des brevets, des codes sources et des contrats confidentiels – autant d’actifs stratégiques qui en font une cible de choix pour les cyberattaques. Avec environ 130 employé•e•s, la structure est à taille humaine mais les enjeux sont considérables. L’expérience menée par Philippe Smelty offre un modèle concret, réplicable, fondé sur trois piliers : l’implication des équipes dès le choix des outils, la ritualisation de la sécurité dans le quotidien et l’ancrage de la responsabilité individuelle.
Le choix par les pairs : quand l’adoption précède le déploiement
L’une des premières décisions de Philippe Smelty a été de ne pas choisir seul la plateforme de sensibilisation. Il a constitué un groupe de personnes représentant chaque direction : des collaborateurs et collaboratrices déjà reconnu•e•s pour leur intérêt envers les outils numériques. Six fournisseurs ont été d’abord évalués, puis la liste a été réduite à trois finalistes. Pendant deux semaines, chaque référent•e• a testé les plateformes en conditions réelles et rempli un questionnaire rigoureux.
Cette approche a produit deux effets immédiats. D’abord, la solution retenue – SoSafe – bénéficiait d’un capital de confiance pré-constitué : les référent•e•s avaient préparé le terrain. Ensuite, les retours terrain issus des tests ont permis d’affiner la configuration de l’outil. Résultat : dès la première année, 90 % des employé•e•s ont complété leur parcours de formation, qui comprenait entre 50 et 70 modules étalés sur l’ensemble de l’année.
Le processus d’intégration des nouveaux employé•e•s illustre la même logique. Plutôt qu’une simple remise de charte informatique, Philippe Smelty consacre entre une heure et une heure trente à chaque nouvel arrivant•e, pour notamment mettre en perspective le sujet avec le périmètre de données confié à la personne.
« Demain, je vais te donner accès à des données confidentielles : peut-être que le médicament de demain issu d’un laboratoire CNRS ne sera pas breveté parce qu’il y aura eu une fuite – parce que toi, tu n’auras pas fait le maximum. »
Ce discours ancre d’emblée la responsabilité individuelle dans un enjeu collectif concret.
Vous souhaitez approfondir ces éléments de réflexion ? Visionnez l’enregistrement de la session Signal Paris pour découvrir l’intégralité des échanges.
Ritualiser la cybersécurité : de la formation ponctuelle à la vigilance continue
La formation annuelle ou trimestrielle ne suffit pas à modifier les comportements durablement. Pour Philippe Smelty, la clé réside dans la ritualisation. Concrètement, il recommande à chaque employé•e• de créer une alerte agenda récurrente – toutes les semaines ou toutes les deux semaines – d’une trentaine de minutes dédiées à la cybersécurité : consulter les modules en attente sur la plateforme, lire les actualités cyber partagées sur le réseau collaboratif interne, ou vérifier l’état de ses signalements.
Ce réseau collaboratif interne joue un rôle central dans le dispositif. Philippe Smelty y partage régulièrement des podcasts, des articles sur des cyberattaques récentes, et des exemples réels de courriers malveillants interceptés au niveau du périmètre de l’organisation. Les modules SoSafe, eux, sont disponibles progressivement tout au long de l’année, avec des parcours différenciés selon le profil : membres du comité de direction, employé•e•s fréquemment en télétravail, équipes financières. Cette individualisation évite l’écueil de la formation générique, souvent perçue comme une contrainte administrative.
Responsabilité collective et gouvernance : le tableau de bord à la machine à café
Les petits déjeuners d’entreprise constituent un autre point de contact régulier. À chaque édition, Philippe Smelty prend un quart d’heure – souvent davantage – pour présenter les indicateurs cyber, commenter un incident récent, ou répondre aux questions des employé•e•s. Ces moments créent un espace d’échange informel qui normalise la discussion autour de la cybersécurité.
L’un des dispositifs les plus originaux mis en place au CNRS Innovation est le classement par équipes, affiché à côté des machines à café. Chaque service y voit son taux de complétion de formation et son taux de clic à des simulations d’hameçonnage. L’effet est immédiat : lorsque l’équipe des ressources humaines s’est retrouvée en bas du classement, ses membres ont reçu des commentaires de collègues : « c’est comme ça que vous protégez nos données personnelles ? » Elle ne l’est pas restée longtemps. Le comité de direction figure lui aussi dans le classement : il montre l’exemple, ou il en répond.
La gouvernance formelle renforce ces incitations informelles. La charte informatique rend la formation explicitement obligatoire : c’est écrit.
« Ce n’est jamais une question de temps. C’est une question de priorité »
Et lorsque la persuasion atteint ses limites, la direction a fait le choix d’aligner les primes de fin d’année sur la complétion des parcours. La charte précise même clairement qu’une négligence grave mettant en danger des données ultra-sensibles peut constituer une faute grave.
Les retombées dépassent aujourd’hui le strict cadre professionnel.
« De plus en plus de personnes témoignent que les réflexes acquis en formation les ont protégés dans leur vie personnelle : un lien douteux évité, une arnaque détectée. »
Ce pont entre vie privée et vie professionnelle est selon Philippe Smelty l’un des signes les plus encourageants : il indique que l’ancrage comportemental a fonctionné, que la vigilance est devenue un réflexe véritable et non une simple obligation contractuelle.










