Cybersecurity
Des signaux à l’action : feuille de route pour les leaders
Sarra Ouaili, SVP Marketing chez SoSafe; Fabrice Bru, président du CESIN, directeur Cybersécurité chez STIME ; Laurent Urien, RSSI groupe, et Manuela Casteñeda Peinado, analyste cybersécurité, chez Clariane ; Timoléon Tilmant, formateur et conférencier chez Je Sensibilise
Une journée de conférences, une dizaine d’experts, des dizaines d’exemples concrets : Signal Paris a livré cette année un diagnostic sans ambiguïté de l’état de la cybersécurité en France. Mais connaître les signaux ne suffit pas. L’enjeu réel, c’est de passer à l’action – avec méthode, clarté et en plaçant l’humain au cœur de la stratégie. Fabrice Bru, président du Club des experts de la sécurité de l’information et du numérique (CESIN) et directeur Cybersécurité chez STIME, et Laurent Urien, responsable de la sécurité des systèmes d’information (RSSI) groupe chez Clariane, ont livré trois leviers essentiels pour y parvenir.
Priorité aux bons signaux : les biais cognitifs au cœur de la menace
Avant de parler d’outils ou de budgets, Fabrice Bru pose un constat de fond : la majorité des attaques qui aboutissent aujourd’hui ne reposent pas sur une faille technique, mais sur une faille humaine, délibérément exploitée. Les cybercriminels ne cherchent pas à contourner un pare-feu ; ils cherchent à court-circuiter le jugement des collaborateurs.
Pour illustrer ce mécanisme, Fabrice Bru s’appuie sur une expérience devenue célèbre dans les sciences cognitives : la vidéo du gorille invisible. Dans cette expérience, des participant·e·s observent une scène de passes de ballon et, tellement concentrés sur leur tâche, ne voient pas un homme déguisé en gorille traverser tranquillement le champ de vision.
Trois leviers cognitifs sont systématiquement utilisés : l’usurpation visuelle, la mise sous pression artificielle et la promesse de libération. Avec la généralisation de l’intelligence artificielle, ces attaques deviennent de plus en plus difficiles à détecter – les faux e-mails sont désormais grammaticalement irréprochables, et les deepfakes audio ou vidéo imitent avec une précision déconcertante les voix et les visages de dirigeants.
Face à ce contexte, Fabrice Bru a mis en place chez STIME un leitmotiv simple, applicable par tous : « Quand tu as un doute, tu n’as pas de doute. Tu signales. » Résultat : plus de 1 000 e-mails signalés par mois en moyenne avec une réponse systématique apportée dans la journée. Ce taux de signalement est l’indicateur de santé organisationnelle le plus fiable.
Vous souhaitez approfondir ces éléments de réflexion ? Visionnez l’enregistrement de la session Signal Paris pour découvrir l’intégralité des échanges.
Un seul geste, un seul bouton : repenser l’interface du risque humain
Timoléon Tilmant, formateur et conférencier spécialisé en sensibilisation, a apporté une perspective complémentaire : l’échec de nombreux programmes de sensibilisation ne tient pas à un manque de volonté des collaborateurs, mais à une surcharge cognitive qu’on leur impose sans s’en rendre compte.
« Nous devons arrêter de vouloir former des experts et donner aux gens un geste simple à adopter. »
Pour illustrer ce principe, Timoléon Tilmant propose l’analogie du tri sélectif. À ses débuts, le tri des déchets imposait aux citoyens de répartir leurs déchets entre cinq ou six bacs différents. Résultat : personne ne triait vraiment. La solution a été radicale : un seul bac et l’usine de tri se charge du reste en aval. La cybersécurité doit suivre exactement le même chemin.
Concrètement, cela signifie qu’un bouton de signalement unique, intégré directement dans le client mail, suffit. L’utilisateur n’a pas à analyser si l’e-mail est malveillant, à consulter une politique de sécurité ou à rédiger un ticket. Il clique, le signal part et la plateforme se charge du tri intelligent en back-end. Laurent Urien et Manuela Casteñeda Peinado ont confirmé ce modèle chez Clariane : dès l’installation du bouton de signalement, les taux ont bondi, les appels au support ont chuté et des collaborateurs ont spontanément exprimé leur satisfaction d’avoir un retour concret sur leurs signalements.
« C’est comme Duolingo pour les langues : chaque signalement reçoit un retour et l’envie de recommencer suit naturellement. »
Ce retour utilisateur est capital. Timoléon Tilmant insiste : si les collaborateurs ne savent pas si leur signalement a servi à quelque chose, ils arrêtent de signaler. Le feedback gamifié – « bravo, c’était bien un phishing » – n’est pas un gadget ; c’est le moteur de la boucle d’apprentissage.
« La sécurité ne doit pas être vécue comme une contrainte supplémentaire dans le quotidien des équipes : elle doit s’intégrer dans les outils, dans les process, sans friction. »
Ce qui fait vraiment bouger les lignes aujourd’hui
La résilience culturelle commence par la sécurité psychologique. Laurent Urien est catégorique : sanctionner publiquement le collaborateur qui clique – le « cliqueur fou » – est contre-productif. La honte ne crée pas de vigilance ; elle crée du silence et de la dissimulation. Une personne qui sait qu’elle peut signaler une erreur sans craindre de conséquences professionnelles signale plus, signale plus tôt, et devient un actif défensif plutôt qu’un risque à gérer.
Manuela Casteñeda Peinado confirme cette approche depuis Clariane : plutôt que de cibler publiquement les départements les moins performants, l’équipe a transformé la sensibilisation en jeu collectif. Les campagnes deviennent des défis à gagner, non des exercices à subir. Et lorsque les collaborateurs comprennent que les bons réflexes cyber les protègent aussi dans leur vie personnelle – leur compte bancaire, leurs données privées – la motivation change de nature : elle devient intrinsèque.
Au-delà de la gestion quotidienne du risque humain, deux enjeux stratégiques ont été mis en lumière par Laurent Urien : convaincre la direction et inscrire la sécurité dans les projets dès leur conception.
Sur le premier point, Laurent Urien est sans détour : le RSSI doit soumettre un choix stratégique à la direction. Trois étapes s’imposent. D’abord, parler le langage du Comité exécutif et non le jargon technique. Ensuite, rendre le risque tangible : incidents récents, simulations de crise, actualité (un rapport de la CNIL, une attaque dans le secteur de la santé). Enfin, présenter des scenarios avec leurs coûts et laisser la décision d’arbitrage aux dirigeants.
« Je ne demande pas un budget. Je leur présente les risques et les solutions, et c’est eux qui décident. Les budgets suivent les convictions. »
Urien note également que les membres du Comex sont désormais en première ligne : fraudes au président, hameçonnage par deepfake, usurpation d’identité. Ce sont souvent les premiers à comprendre, de manière viscérale, pourquoi il faut agir. Cette réalité devient un levier de conviction puissant pour le RSSI.
Si la cybersécurité est intégrée dès le départ dans les projets – dans les outils, les workflows, les formations au moment de l’onboarding – les collaborateurs adoptent des comportements sécurisés sans jamais les ressentir comme une contrainte.
La sensibilisation n’est pas un projet à livrer, c’est une posture à installer. Et cette posture ne s’impose pas par la sanction ; elle se construit par la simplicité, la confiance, et la conviction partagée que les collaborateurs peuvent devenir – s’ils en ont les moyens – la première ligne de défense de leur entreprise.
«Nos grands-parents ont appris à conduire sans ceinture. Quand elle est devenue obligatoire, la résistance a été forte. Nous, on a appris à conduire avec — c’est un réflexe, un non-événement. La cybersécurité doit suivre le même chemin. »– Fabrice Bru, président du CESIN









