Cybersecurity
Des signaux à l’action : ce que les leaders doivent faire dès maintenant
Avec les éclairages de Fabrice Bru, Président du CESIN et Directeur Cybersécurité chez STIME ; et la participation de Laurent Urien, Group CISO chez Clariane, de Timoléon Tilmant, formateur et conférencier spécialisé en sensibilisation, ainsi que de Manuela, analyste cybersécurité chez Clariane.
La journée du Signal Paris by Sosafe s’est clôturée sur une conviction partagée par tous les intervenants : face à des attaquants qui maîtrisent mieux les ressorts cognitifs humains, les organisations françaises ne peuvent plus naviguer à vue. Biais cognitifs, surcharge informationnelle, programmes de sensibilisation trop éloignés du terrain… Les failles ne sont plus seulement techniques, elles sont aussi comportementales. La session était modérée par Sarra Ouaili, SVP Marketing chez SoSafe, cette dernière session s’est achevée sur une feuille de route claire : simplifier, intégrer, ancrer.
Identifier les bons signaux : quand le doute disparaît, le danger reste
Comme l’a expliqué Fabrice Bru, Président du CESIN et Directeur cybersécurité du STIME, avec une métaphore réputée en psychologie cognitive : celle du gorille invisible. Dans une vidéo virale, des spectateurs invités à compter les passes d’une équipe de basket ne voient pas l’homme déguisé en gorille qui traverse le terrain. Appliquée au domaine de la cybersécurité, la leçon est sans appel : lorsqu’un collaborateur se concentre sur une tâche urgente, il peut occulter les menaces les plus évidentes. Et les attaquants exploitent précisément cette cécité attentionnelle.
Les biais les plus exploités sont connus : l’urgence artificielle, la pression d’autorité, ou la promesse de protection. Fabrice Bru cite notamment les fraudes au président ou les attaques d’ingénierie sociale : un attaquant pousse un collaborateur à agir vite, puis lui fait croire qu’il évitera un problème s’il obéit. Avec l’IA générative, ces manipulations deviennent plus crédibles. Faux messages, fausses voix et fausses vidéos ressemblent de moins en moins à… des faux.
Face à cette réalité, Fabrice Bru a instauré un principe simple :
« Quand t’as un doute, t’as pas de doute. Tu signales. »
Ce mot d’ordre produit des résultats concrets : en moyenne, plus de 1 000 mails sont signalés chaque mois, principalement depuis les magasins. Chaque signalement reçoit une réponse dans la journée. Ce retour transforme un geste isolé en réflexe durable. Le taux de signalement actif devient alors un indicateur de santé organisationnelle plus utile qu’un score de quiz.
Vous souhaitez approfondir ces éléments de réflexion ? Visionnez l’enregistrement de la session Signal Paris pour découvrir l’intégralité des échanges.
Le « tri sélectif » du risque humain : simplifier l’expérience utilisateur
Timoléon Tilmant, formateur et conférencier spécialisé en sensibilisation, rappelle une évidence souvent oubliée : dire les choses ne suffit pas à les faire appliquer. « Nos utilisateurs ne doivent pas être des experts cyber », explique-t-il. Ils doivent comprendre les risques et connaître les gestes simples attendus.
À ses débuts, le recyclage était trop complexe : « Une poubelle pour le carton, une pour le papier, une pour le métal, une pour le plastique ». Le dispositif décourageait les usagers. Les comportements ont changé lorsque le principe a été simplifié : un seul bac pour les emballages, un tri plus fin réalisé ensuite. Pour Timoléon, la sensibilisation doit suivre cette même logique de simplification radicale.
La cybersécurité doit suivre la même logique. Demander à chaque collaborateur d’analyser les en-têtes d’un mail, de vérifier manuellement une URL ou de distinguer seul un vrai message d’un phishing revient à lui imposer cinq bacs. La bonne réponse tient souvent dans un geste unique : un bouton de signalement intégré aux outils de travail. Les experts et les plateformes, notamment grâce à l’IA, traitent ensuite les alertes.
Timoléon insiste aussi sur la formulation. « Soyez vigilants » ne donne aucune action concrète. « Quand tu doutes, tu signales », si. Plus le geste est clair, plus il a de chances d’être adopté.
Ce qui fait vraiment bouger les lignes : sécurité by design et alignement exécutif
Fabrice Bru évoque aussi le cas du « cliqueur fou », ce collaborateur qui clique systématiquement, quel que soit le nombre de tests de phishing envoyés. Plutôt que de sanctionner publiquement, il privilégie l’échange en tête-à-tête pour expliquer les conséquences concrètes de ces clics répétés — une approche de coaching individuel qui rejoint la logique défendue par Manuela.
Manuela, analyste cybersécurité chez Clariane, partage les enseignements d’une première année complète de déploiement. Le défi n’est plus seulement de lancer un nouvel outil, mais de maintenir l’élan jusqu’à ce qu’il devienne une habitude. Pour cela, le feedback compte autant que l’outil lui-même : nombre de signalements envoyés, nombre de véritables menaces, solutions apportées par les collaborateurs. Comme le formule Manuela, il faut montrer aux équipes qu’elles sont « acteur[s] et non pas seulement spectateur[s] de cette démarche ». À l’inverse, des mécaniques ludiques peuvent encourager les bons réflexes : défis collectifs, progression visible, valorisation des signalements utiles, exemples concrets tirés de la vie quotidienne. Ces mécaniques de gamification constituent une alternative directe aux approches punitives, remplaçant la logique de sanction par un renforcement positif continu des comportements. La cybersécurité devient alors un apprentissage positif, pas une sanction.
Laurent Urien, Group CISO chez Clariane, rappelle qu’il s’agit d’intégrer un cadre en trois temps : contexte réglementaire (notamment les évolutions CNIL), traduction en impact business, puis arbitrage final par le board sur l’acceptation du risque et le niveau d’investissement. Fabrice Bru conclut avec une image :
« Nos grands-parents n’ont pas appris à conduire avec la ceinture de sécurité obligatoire. »
Pour les générations suivantes, elle est devenue un réflexe. La cybersécurité doit suivre cette trajectoire. Intégrée dès la conception des projets, dans les outils et les processus, elle cesse d’être une contrainte ajoutée ultérieurement.
Trois verbes résument donc cette feuille de route : simplifier l’expérience utilisateur, intégrer la sécurité dans les flux de travail existants et ancrer les comportements par la reconnaissance plutôt que par la sanction. Les attaquants ont compris la psychologie humaine. La défense doit en faire autant.









