Découvrez les principales tendances qui vont marquer l’année 2025, avec des idées pour s’y préparer. En savoir plus.

Contact
Languages

Uncategorized

Responsabiliser, au lieu de blâmer : le renforcement positif peut métamorphoser votre culture de la sécurité

11 July 2025 · 14 min de lecture
Revenir au blog

Imaginons qu’un membre de votre personnel ait cliqué sur un lien corrompu dans un e-mail. Par peur des conséquences, il décide de supprimer le message et de ne rien dire, en espérant que personne ne remarque l’incident. Deux semaines plus tard, la société découvre que des hackers se sont introduits dans les systèmes internes de l’entreprise et ont compromis des informations sensibles. Malheureusement, il est trop tard : le mal est fait. Imaginons maintenant que, dans les mêmes circonstances, la personne ait eu suffisamment de liberté et de confiance en l’équipe informatique pour signaler immédiatement son erreur. Les responsables de la sécurité réagissent immédiatement, restreignent les accès et limitent les risques pour éviter que l’incident ait de graves conséquences

Sans aucune hésitation, toutes les équipes de cybersécurité préféreraient la seconde situation à la première. Pourtant, dans certaines entreprises, on continue de s’appuyer sur des approches punitives, inspirant la peur de mal faire, pour former les collaboratrices et collaborateurs à la cybersécurité. L’enquête que nous avons menée dans le cadre de notre Analyse du risque humain 2024 a révélé que 81 % des professionnel·le·s de la sécurité pensent que les sanctions disciplinaires et les blâmes sont un moyen efficace pour amener les utilisatrices et utilisateurs à changer de comportement. Pourtant, seuls 56 % de ces mêmes personnes ont recours à ces mesures correctives.Si les approches punitives semblent continuer d’avoir la cote parmi les responsables de la sécurité pour corriger les comportements à risque, c’est une stratégie extrêmement controversée. Elles doivent leur popularité à leur facilité de mise en œuvre et à leur apparente efficacité, dans un premier temps. Nous avons, en effet, tendance à réagir lorsque nous avons peur. De nombreux chercheurs dans différents domaines, notamment Rebecca Raby, professeure à l’université de Brock au Canada, ont étudié la question de la discipline à l’école et montré que ces méthodes ne tiennent pas compte des facteurs complexes qui sous-tendent la psychologie comportementale de l’être humain. Pour que les employé·e·s soient en mesure de prendre des décisions éclairées et aient la liberté d’avouer leurs erreurs à leur équipe de sécurité, il faut leur insuffler de la motivation et leur donner les moyens de bien faire, sans les blâmer. Le renforcement positif peut vous y aider : cette technique élaborée par les sciences comportementales a fait ses preuves.

Citation de Niklas Hellemann, PDG de SoSafe : « Les cybercriminels ont toujours su jouer avec nos émotions pour parvenir à leurs fins. Il est donc essentiel que chacune et chacun de nous sache se défendre contre leurs tactiques. Le pouvoir de la psychologie humaine n’est pas le monopole des hackers. Les sciences comportementales nous fournissent de nombreux outils éprouvés qui peuvent nous aider à adopter, sur le long terme, des comportements vigilants en ligne. »

Le nœud du problème : rejeter la faute sur les victimes fait naître un sentiment d’impuissance apprise

Avant d’aborder les méthodes de renforcement positif qui donneront envie à vos collaboratrices et collaborateurs d’apprendre les bons gestes de sécurité, il est important de bien comprendre où se situe le nœud du problème. Les employé·e·s ont longtemps été considéré·e·s – à tort – comme le maillon faible en matière de cybersécurité. Ce point de vue erroné a longtemps fait peser sur leurs épaules un sentiment de culpabilité et de crainte. De toute évidence, chaque personne est responsable de ses actes, mais il faut veiller à ne pas tomber dans le paralogisme sur l’erreur humaine qui consiste à leur faire porter le poids de toutes leurs erreurs.

Définition du paralogisme sur l’erreur humaine « Le paralogisme sur l’erreur humaine est un biais cognitif qui ne tient pas compte des interactions complexes existant entre l’humain et la technologie. En cas d’erreur, les êtres humains sont immédiatement pointés du doigt sans aucune prise en compte des facteurs externes – tels qu’un système mal conçu, une mauvaise architecture ou la culture d’entreprise dans laquelle ils évoluent – ayant contribué à leur prise de décision. »

Cette approche fondée sur les reproches est non seulement en complet décalage avec la réalité de la complexité humaine, mais peut avoir différentes conséquences psychologiques sur les employé·e·s et donc, influer sur leurs comportements. Les collaboratrices et collaborateurs peuvent notamment développer ce que l’on appelle l’impuissance apprise et se sentir totalement incapables d’assurer leur propre protection et celle de l’entreprise.

Définition de l’impuissance apprise : « L’impuissance apprise est un état psychologique développé par une personne ayant été confrontée, de façon répétée, à des circonstances difficiles qui l’ont amenée à penser qu’elle n’a aucune maîtrise sur les événements survenant dans son environnement. Cette expérience pousse le sujet à adopter une attitude résignée ou passive, proche de la dépression et de l’anxiété, qui l’empêche de mobiliser ses efforts pour résoudre le problème d’origine. »

Dans le contexte d’une sensibilisation à la cybersécurité au sein du personnel, ce processus peut amener les employé·e·s à se sentir isolé·e·s, privé·e·s du soutien ou des connaissances nécessaires à une prise de décision éclairée, ou à craindre que l’aveu de leurs erreurs ne leur attirent d’éventuelles représailles. Dans ce cas, les RSSI, les équipes de sécurité et les responsables informatiques sont généralement vus comme les « méchants », comme ceux qui sont là pour sanctionner le moindre écart, et non pour aider.Pour remédier à ce problème, deux approches complémentaires sont nécessaires. La première s’appuie sur des méthodes de renforcement positif pour encourager les employé·e·s à apprendre ce qu’est un bon comportement en ligne et comment réagir dans telle ou telle situation. La seconde consiste à inciter le personnel à prendre ses responsabilités… Or, pour ce faire, il faut lui donner une conception claire des conséquences que peuvent avoir les menaces auxquelles il est confronté. Commençons par le début.

Première étape : donner envie aux employé·e·s d’apprendre les bons gestes en matière de sécurité

La façon dont vous formez vos employé·e·s aux bons gestes de sécurité a de l’importance, BEAUCOUP d’importance. Les sciences de l’apprentissage ont révélé que la rétention des informations variait selon la méthode d’enseignement employée. Si les apprenant·e·s ont eu du plaisir à apprendre, le potentiel de mémorisation est décuplé. Une évidence, me direz-vous ? Pourtant, ce paramètre n’a pas toujours été pris en considération dans les programmes de sensibilisation à la cybersécurité. Traditionnellement, ceux-ci consistaient plutôt à faire absorber aux employé·e·s, de manière sporadique, une grande quantité d’informations pour garantir la conformité de l’entreprise aux normes en vigueur. Ces formations ne tenaient pas compte de toute la complexité de l’être humain, de ses émotions, de ses réactions et de ses motivations, et n’avaient donc aucun impact à ces niveaux. Elles étaient par conséquent incapables de faire évoluer les comportements de manière durable. 

Pour améliorer ces programmes et les transformer en formations aussi attrayantes qu’efficaces, il est possible d’y inclure des éléments gamifiés en permettant aux employé·e·s de gagner des points, des badges ou de passer des niveaux, par exemple, au fur et à mesure qu’ils remplissent des missions en lien avec la cybersécurité ou qu’ils terminent des modules. En faisant ainsi appel au sens de la compétition et au désir de réussite, le processus d’apprentissage devient plus stimulant. 

Ajoutez de la pédagogie narrative, avec des personnages que l’on retrouve d’une session à l’autre et des expériences d’apprentissage qui suivent un schéma narratif au lieu de vidéos isolées sans lien entre elles, et vous aurez une formation à la cybersécurité dynamique, qui marque les esprits et transmet aux employé·e·s les connaissances nécessaires pour se protéger et protéger leur entreprise des cybermenaces.

L’apprentissage expérimental est aussi un bon moyen pour intégrer le renforcement positif : il s’agit d’apprendre en faisant, par exemple dans le cadre de simulations d’attaques personnalisées. L’apprentissage expérimental traduit des concepts abstraits en situations concrètes, auxquelles les apprenant·e·s peuvent s’identifier, et leur permet de découvrir, dans un environnement sécurisé, les conséquences directes de leurs actes. Il est indispensable, pour ce type d’exercices, de mettre à la disposition des personnes des outils qui faciliteront leur apprentissage, des fonctionnalités pour signaler les tentatives de phishing, par exemple. Lorsqu’elles incluent l’envoi de feedbacks positifs aux utilisatrices et utilisateurs, ces fonctionnalités contribuent également à consolider les bonnes habitudes.

Renforcer la confiance en soi par des retours positifs

Tout le monde a besoin, dans un parcours d’apprentissage, d’être rassuré et de savoir qu’il est en bonne voie. Si vous envoyez un retour positif à un·e employé·e, c’est un peu comme si vous lui tapiez chaleureusement sur l’épaule pour le ou la féliciter de ses efforts et des bons résultats obtenus. Non seulement cela l’encourage à conserver une bonne ligne de conduite, mais cela renforce aussi sa confiance en soi et en vous. Si vous souhaitez que votre personnel ait ensuite la liberté de vous signaler d’éventuelles erreurs sans craindre les représailles, il est essentiel d’instaurer un tel climat. Lorsqu’ils bénéficient d’un soutien constant, les employé·e·s conservent leur enthousiasme et leur motivation, même si la formation porte sur un domaine aussi exigeant que la cybersécurité et qu’il faut sans arrêt être sur le pied de guerre et s’adapter aux menaces émergentes. C’est la raison pour laquelle il est important d’avoir recours à des outils, comme le bouton d’alerte de SoSafe, qui alimentent un environnement de travail bienveillant et solidaire. Ils permettent aux employé·e·s de bénéficier d’un retour lorsqu’ils signalent des tentatives de phishing, qu’il s’agisse de simulations envoyées par leurs équipes de sécurité ou de véritables menaces.

Graphique montrant un exemple de notification envoyée par PhishFeedback de SoSafe pour informer un·e employé·e qu’il ou elle a détecté une véritable cyberattaque.

Étape 2 : passer du blâme à la responsabilisation

Lorsqu’ils font l’objet de reproches, les gens passent en « mode défensif » : ils se focalisent sur les conséquences les plus graves. Ainsi, une personne qui a fait une erreur aura tendance à craindre davantage les retombées qui la concernent elle, en tant qu’employé·e et être humain, et se souciera beaucoup moins de protéger l’entreprise des menaces en signalant l’erreur.Pour que les collaboratrices et collaborateurs dépassent leurs craintes, il faut donc avant tout les rassurer sur le fait qu’une simple erreur ne remet pas en cause leur emploi et qu’elles ou ils ne feront pas l’objet de représailles ou d’humiliations publiques. Dans cette optique, il est nécessaire d’instaurer une « culture juste » où le renforcement positif n’est pas un simple outil de formation, mais une philosophie vécue, où l’entreprise assume ses responsabilités, veille à optimiser ses processus, fournit aux employé·e·s les outils, les procédures et les contrôles dont ils ont besoin pour éviter de reproduire la même erreur.


Citation d’Andrew Rose, RSSI chez SoSafe : « Une culture juste se concentre sur le risque et ne cherche pas à blâmer les coupables. Elle cherche de nouveaux moyens pour s’assurer que les gens signalent les risques. »

Le concept d’une culture juste implique la responsabilisation des employé·e·s, non seulement en dissipant toute crainte de représailles ou de reproches, mais aussi en les sensibilisant aux répercussions que leurs actions peuvent avoir à tous les niveaux. Il faut leur faire comprendre qu’une éventuelle violation ou attaque peut nuire à leur entreprise et à eux-mêmes en tant qu’employé·e·s. Une cyberattaque peut, par exemple, faire perdre des sommes considérables à l’entreprise, nuire à sa réputation et, par voie de conséquence, lui faire perdre des clients et du chiffre d’affaires. L’ensemble du personnel risquerait d’en pâtir, puisque l’entreprise pourrait décider, par manque de budget, de supprimer les primes ou d’annuler certaines promotions.

L’instauration d’une culture juste ne signifie pas pour autant que l’on renonce aux mesures punitives lorsqu’elles sont vraiment nécessaires. Les collaboratrices et collaborateurs qui se sont trompé·e·s de bonne foi ont besoin de savoir qu’elles et ils ne seront pas tenu·e·s pour responsables de leur faux pas, mais le personnel doit aussi comprendre que tout acte délibéré et toute négligence peuvent avoir des conséquences. Par exemple, dans des cas extrêmes, comme la consommation de substances illicites ou de faute avec intention de nuire, il convient de prendre des mesures sévères en mettant fin à la relation de travail, voire en engageant des poursuites judiciaires. 

Le tableau ci-dessous présente les différents types de conséquences à communiquer à l’équipe :

Conséquences pour la sociétéConséquences personnellesConséquences personnelles graves
Perte de réputation pour l’entrepriseSuspension des promotionsPoursuites judiciaires
Annulation de certains projetsAnnulation des primesLicenciement
Perte de clients pour l’entreprisePertes de photos de famille

Ces conséquences doivent être présentées sur un mode qui veille à désamorcer toute forme de peur et ne génère pas un sentiment d’impuissance. Il faut faire sentir aux personnes qui travaillent dans l’entreprise qu’elles en sont la principale surface d’attaque et qu’elles ont, à ce titre, la responsabilité et le pouvoir d’en préserver la sécurité, tant à un niveau personnel que collectif. Si certain·e·s employé·e·s sont obnubilé·e·s pas le risque de retombées négatives, vous pouvez utiliser le schéma ci-dessous pour clarifier les choses et les aider à prendre du recul :

Graphique d’évaluation de la culpabilité à l’aide de circuits de décision ayant comme point de départ « Les actions étaient-elles intentionnelles ? » Les résultats sont notamment une consommation de substances illicites, une maladie, des violations de procédures et des lacunes au niveau de la formation. Chacun d’eux est associé à un degré de culpabilité différent. Les circuits aboutissent à des intitulés tels que : sabotage, erreur induite par le système et erreur malgré une attitude irréprochable, avec un vecteur indiquant le degré de culpabilité décroissant, de gauche à droite.


Graphique d’évaluation de la culpabilité à l’aide de circuits de décision ayant comme point de départ « Les actions étaient-elles intentionnelles ? » Les résultats sont notamment une consommation de substances illicites, une maladie, des violations de procédures et des lacunes au niveau de la formation. Chacun d’eux est associé à un degré de culpabilité différent. Les circuits aboutissent à des intitulés tels que : sabotage, erreur induite par le système et erreur malgré une attitude irréprochable, avec un vecteur indiquant le degré de culpabilité décroissant, de gauche à droite.

Quelques conseils pratiques pour appliquer le renforcement positif dans votre entreprise et instaurer une culture juste

Nous venons de voir que le renforcement positif consiste avant tout à choisir les bonnes méthodes pour communiquer avec votre personnel pour qu’il se sente maître de ses décisions. Voici quelques conseils plus concrets pour y parvenir : 

  • Proposez des formations qui montrent les véritables effets des cybermenaces, mais partagez également des exemples d’interventions réussies et de solutions trouvées par des personnes avec lesquelles vos équipes peuvent s’identifier.
  • Intégrez les principes de cybersécurité dans vos modules d’apprentissage sous la forme de récits ou de scénarios captivants qui intéresseront vos employé·e·s et leur seront utiles.
  • Abordez toujours les questions de cybersécurité avec beaucoup d’honnêteté et de transparence et soulignez les efforts déployés par votre entreprise pour se préparer et effectuer les contrôles nécessaires.
  • Développez votre stratégie de communication en établissant des porte-parole parmi les employé·e·s dans tous les services de l’entreprise. Vous transmettrez ainsi le message que la sécurité est l’affaire de toutes et de tous, et que chacun·e est impliqué·e, des collègues aux managers.
  • Élaborez des politiques claires qui distinguent les erreurs faites de bonne foi, les négligences et les fautes intentionnelles et diffusez-les dans toute l’entreprise.
  • Évitez les termes techniques compliqués : ils pourraient créer de la confusion ou rebuter les collaboratrices et collaborateurs.
  • Fournissez à votre personnel des outils conviviaux et des consignes claires pour réagir en cas de cyberattaque.
  • Félicitez et récompensez les personnes qui prennent des mesures proactives de sécurité : que ce soit par un simple e-mail de remerciement, par un prix décerné lors d’une réunion d’entreprise, par une récompense financière ou par des points, badges ou classements accordés dans un environnement gamifié, encouragez l’engagement.
  • Cultivez un environnement où les employé·e·s se sentent libres de signaler les erreurs et les problèmes de sécurité sans crainte de représailles ou de blâme. Si nécessaire, mettez à leur disposition des canaux de signalement anonymisés.

Comment SoSafe renforce votre culture de la sécurité par la formation et le renforcement positif

Le renforcement positif est essentiel pour construire une solide culture de la sécurité au sein d’une entreprise. En créant un environnement où les employé·e·s se sentent soutenu·e·s et ont la liberté de signaler des incidents, vous éviterez sûrement des situations désastreuses

Comme nous l’avons dit plus haut, la première étape consiste à former vos équipes pour leur donner les moyens de prendre de meilleures décisions. La plateforme de formation interactive gamifiée de SoSafe propose un apprentissage à la fois ludique et concret qui permet une meilleure rétention des informations et donne l’occasion aux employé·e·s d’appliquer ce qu’ils ont appris dans des scénarios réalistes, tout en bénéficiant d’une formation adaptée à leurs besoins personnels et aux risques qu’ils ou elles rencontrent. De plus, grâce à notre bouton d’alerte phishing, les apprenant·e·s peuvent, comme nous l’avons expliqué, signaler directement les e-mails de phishing. Cet outil se combine avec notre PhishFeedback qui fournit des retours positifs aux utilisatrices et utilisateurs pour stimuler leur motivation et leur soif d’apprendre, tout en confirmant si l’e-mail signalé était dangereux ou en proposant des formations et des conseils ciblés, s’il ne l’était pas.

Citation de Martin Schmidt, Directeur général de la consultance numérique chez Freudenberg : « Le renforcement positif est ce qu’il y a de plus important. Si les gens qui réagissent correctement en signalant l’e-mail et en le supprimant n’ont jamais de retour, ils ne sauront jamais avec certitude si l’e-mail qu’ils ont signalé était bien celui qu’il fallait repérer pour la simulation de phishing. Avec le plug-in d’alerte phishing, le feedback est instantané. Dès qu’ils signalent un e-mail de simulation, on les félicite et on leur offre la possibilité de consulter un certain nombre de conseils pour en savoir plus. »


Notre chatbot, Sofie, complète l’expérience en envoyant aux employé·e·s des alertes instantanées, extrêmement brèves, pour un apprentissage simple, rapide et attrayant. Sofie fait aussi fonction de support virtuel préalable et répond aux questions en matière de sécurité pour dépanner vos employé·e·s en cas de doute ou faire remonter leurs questions à l’équipe de sécurité si cela s’avère nécessaire. Si vous souhaitez découvrir comment notre produit peut vous aider à instaurer une culture positive de la sécurité au sein de votre entreprise, demandez une démo et l’un·e de nos expert·e·s vous contactera prochainement.

Vous voulez avoir toujours une longueur d’avance en matière de cybersécurité ?

Inscrivez-vous à notre newsletter pour tout savoir sur les actualités, les événements et les ressources disponibles en matière de cybersécurité. Zéro spam, du contenu 100 % utile.

Newsletter visual

Offre spéciale 2024 :
2 mois SoSafe offerts pour toute souscription !

Vous cherchez à instaurer une culture de sécurité solide dans votre entreprise et à gérer le risque humain de manière efficace ? Pour toute souscription en 2024, SoSafe vous offre 2 mois supplémentaires gratuits. Bénéficiez d’une plateforme complète et performante, conçue pour engager vos collabourateurs et libérer votre temps.

<style>

En savoir plus
Homme excité entouré d'un ordinateur portable et d'icônes
Popup background

Demander une démo

Découvrez comment notre plateforme peut vous aider à armer votre équipe contre les menaces cyber pour assurer la sécurité de votre entreprise. Réservez une démo : l’un de nos experts vous contactera prochainement.

Conformité et sécurité

ISO 27001
TISAX
GDPR

Reconnaissance du secteur

Découvrez nos produits de première main

Utilisez notre environnement de test en ligne pour voir comment notre plateforme peut vous aider à donner à votre équipe les moyens d’éviter en permanence les cybermenaces et de préserver la sécurité de votre organisation.

Produit

Micro-apprentissage personnalisé

Aidez votre équipe à développer de bons réflexes de sécurité grâce à une pédagogie narrative, gamifiée et personnalisée.

Simulations de phishing intelligentes

Réduisez le temps de détection des menaces en apprenant à vos employé·e·s à mieux les signaler.

Copilote de gestion du risque humain disponible 24/7

Métamorphosez votre personnel en une ligne de défense proactive, grâce à Sofie, notre chatbot conversationnel augmenté à l’IA.

Gestion proactive du risque humain

Suivez, mesurez et maîtrisez le risque humain en continu, grâce aux informations en temps réel de la plateforme Human Risk OS.

Découvrez nos solutions grâce à nos visites de produits

Démarrer les visites virtuelles
Solutions

Assurez votre conformité

Automatisez et accélérez votre mise en conformité

Instaurez une culture de la sécurité

Ancrez les réflexes de sécurité dans l’ADN de votre entreprise

Sensibilisation à la cybersécurité dans le secteur public

Préparez vos employé·e·s avec des scénarios réalistes

Découvrez tous les témoignages de nos clients

Parcourir
Tarification
Ressources

À lire

Rapports Guides Blog Lexique de la cybersécurité Témoignages clients

À vivre

Tous les événements Human Firewall Conference

À tester

Danger Lab Phishing game Testez votre cyberrésilience

À regarder

Webinaires Interview d'expert Replays

Ressource phare

Tendances en cybercriminalité 2025

Découvrez les principales tendances qui vont marquer l’année 2025, avec des idées pour s’y préparer.

En savoir plus
Société

Devenez un cyber-héros

Envie d’avoir un réel impact ? Joignez-vous à l’aventure pour que le monde devienne plus sûr.

Joignez-vous à l’aventure pour que le monde devienne plus sûr.

Poser ma candidature
Partenariats
Contact Login
Languages