• Cyber StratOps
  • Posts
  • 🗳 Et si la cybersécurité était décidée... par ceux qu’elle protège ?

🗳 Et si la cybersécurité était décidée... par ceux qu’elle protège ?

Impliquer l’utilisateur, oui. Déléguer des décisions critiques, non. La cybersécurité ne se choisit pas à la carte.

Author

Sylvan Ravinet
April 08, 2025

La semaine derniĂšre, je suis tombĂ© sur un post LinkedIn qui m’a interpellĂ©.

Un expert que je respecte sincÚrement félicitait une entreprise cliente pour avoir laissé ses salariés choisir le format de leur sensibilisation à la cybersécurité.

La vidéo, le dojo, le jeu vidéo, le serious game... plein de format aujourd'hui. C'est top ! mais lequel plait chez soi ?

Sur le papier, c’est rafraüchissant. Participatif. Moderne.

Mais ce genre d’initiative soulĂšve une question bien plus profonde : Qui dĂ©cide vraiment de ce qui doit transformer les comportements ?

Et si la forme prenait le pas sur la finalité ?

La cybersĂ©curitĂ©, ce n’est pas juste une affaire de solutions techniques.
C’est aussi une affaire de postures, de rĂ©flexes, de dĂ©cisions humaines.

Et dans ce contexte, la sensibilisation n’est pas une animation interne orchestrĂ©e par un super GO du Club Med.

C’est un levier stratĂ©gique pour, au choix :

  • modifier des comportements Ă  risque,

  • dĂ©velopper des compĂ©tences,

  • ancrer une culture numĂ©rique partagĂ©e,

  • valoriser la fonction cyber,

  • rĂ©duire le rejet ou la perception d’impuissance face au sujet cyber,

  • rĂ©pondre Ă  des obligations de conformitĂ©,

    et surtout : renforcer la résilience collective face aux incidents cyber de toute nature.

Alors pourquoi considĂ©rer que la “sensibilisation” nĂ©cessiterait moins d’expertise qu’un outil tel qu’un EDR ou une prestation cyber du type SOC, incident response, threat intelligence, vulnerability management ?

Parce qu'on ne le répÚtera jamais assez :

❌ La cybersĂ©curitĂ© n’est pas un concours de popularitĂ©.
❌ Ce n’est pas un outil de com’ interne.
✅ C’est une fonction de protection et de rĂ©silience de l’organisation.

Ce qui plaüt ≠ ce qui transforme

Impliquer les utilisateurs dans le choix du format peut crĂ©er de l’engagement, c’est vrai.

Mais si ce choix est guidĂ© par ce qu’ils “aiment”, plusieurs questions s’imposent :

  • Quel comportement souhaite-t-on rĂ©ellement changer ?

  • De quelle population parle-t-on ?

  • Les prĂ©fĂ©rences exprimĂ©es sont-elles reprĂ©sentatives ?

  • Et surtout : le message ne perd-il pas en force et en cohĂ©rence ?

Parce qu’un format qui plaüt, c’est bien.
Mais un format qui forme, c’est mieux.

👉 Ce qui plaĂźt Ă  certains, mĂȘme Ă  la majoritĂ©, n’est pas toujours ce qui fonctionne.
Et ce qui engage Ă©motionnellement ne garantit pas un changement de posture durable.

En pédagogie comme en cybersécurité, on le sait :
L’adhĂ©sion est un levier.
Mais ce n’est pas la finalitĂ©.

Et si on recadrait le rîle de l’utilisateur ?

Impliquer, oui. Déléguer, non.

Parce qu’à ce rythme, on risque de faire croire que chacun peut choisir sa cybersĂ©curitĂ© comme on choisit son fond d’écran.

Et Ă  l’extrĂȘme, c’est comme confier Ă  la foule le droit d’engager une action armĂ©e.
Ou d’appuyer sur le bouton nuclĂ©aire.

Certaines décisions doivent rester entre les mains de ceux qui ont la vision, la formation et la responsabilité.
Et qui sont contrÎlés pour cela.

En entreprise, doit-on demander aux dĂ©veloppeurs s’ils veulent conserver les droits d’administrateur local ?
Doit-on demander aux fournisseurs s’ils souhaitent signer des clauses cybersĂ©curitĂ© dans les contrats ?

On connaßt tous la réponse.

👉 Et pourtant, trop souvent, on continue Ă  consulter lĂ  oĂč il faudrait trancher.

Ce que je retiens

La cybersĂ©curitĂ©, c’est comme l’État de droit :
ce n’est pas une option à prendre quand ça nous arrange.

Certaines dĂ©cisions ne doivent pas ĂȘtre soumises Ă  la popularitĂ©.
Elles doivent ĂȘtre structurĂ©es, assumĂ©es, et portĂ©es avec autoritĂ©.

On peut faire preuve de pédagogie dans la forme.
Mais il faut de la rigueur dans l’intention.

❌ Ce n’est pas en rendant la cybersĂ©curitĂ© “cool” qu’on la rendra efficace.
✅ C’est en la rendant claire, cohĂ©rente et incontestable.

P.S. : Être suivi en cybersĂ©curitĂ©, c’est une responsabilitĂ©.
Alors Ă  la communautĂ© comme aux dirigeants, je prĂ©fĂšre dire ce qui est juste, mĂȘme quand ce n’est pas “fun” ou populaire.

Et vous ?

Vous avez déjà vu ce genre de dilemme entre engagement et rigueur ?
Je suis curieux de lire vos retours.

🎓 Masterclass Gratuite — DĂ©code la conformitĂ© DORA

🗓 Jeudi 24 avril — 12h15 à 13h15 (en ligne)

💡 AprĂšs une premiĂšre Ă©dition qui a rassemblĂ© 27 experts, cette masterclass revient pour t’aider Ă  transformer DORA en plan d’action concret.

DORA repose sur 5 piliers
 utiles pour les rĂ©gulateurs, mais trop flous pour les entreprises qui doivent les mettre en Ɠuvre.

👉 En 45 minutes, tu vas :

✅ DĂ©couvrir les 12 vraies capacitĂ©s cyber Ă  structurer pour ĂȘtre conforme
✅ Comprendre les interdĂ©pendances entre les chantiers (et Ă©viter les doublons)
✅ Apprendre Ă  aligner conformitĂ© & opĂ©rations IT/cyber, sans perdre en agilitĂ©

đŸŽ™ïž Je partagerai mes mĂ©thodes de CISO & directeur de programmes cyber dans les secteurs bancaire et fintech.

🔎 Ces posts que tu as peut-ĂȘtre manquĂ© cette semaine

Les 12 Protecteurs du Cyberespace : Le Patron de Prod

💀 Un jour d’arrĂȘt. Et ton business saigne. Voici Alexandre. L’homme que personne ne fĂ©licite
 mais que tout le monde appelle quand tout part en vrille.

DORA : Gouvernance & Organisation

😇 DORA veut t’aider. 😈 Mais si tu l’ignores
 elle devient DORAX.

Les menaces de cybersĂ©curitĂ© viennent de l’extĂ©rieur

🔐 La vraie menace, ce n’est pas un hacker. C’est une erreur humaine dans un environnement mal prĂ©parĂ©.

DORA - Gestion des risques TIC

😇 Risques IT mal gĂ©rĂ©s ? DORA veut t’aider. 😈 Si tu fais l’autruche
 elle devient DORAX.

🧠 Take-away de la semaine :

👉 Ce qui plaüt n’est pas toujours ce qui protùge.

🎼 "On a choisi un format qui plaüt beaucoup en interne."
— Extrait d’un retour de projet sensibilisation dans un grand groupe.

Mais si l’objectif est de transformer des comportements, alors le plaisir seul ne suffit pas.
Un contenu efficace n’est pas celui qui divertit - c’est celui qui provoque une prise de conscience, un changement, un automatisme.

❝

“La cybersĂ©curitĂ©, ce n’est pas une animation de team-building.
C’est une discipline d’engagement collectif.”

👉 7 finalitĂ©s possibles d’une action de sensibilisation cyber

  1. Modifier des comportements Ă  risque
    Réduire les clics sur les liens malveillants, améliorer la détection, le signalement, etc.

  2. Développer des compétences concrÚtes
    Savoir gérer ses accÚs, ses données, ses outils au quotidien.

  3. Acculturer les équipes à une culture sécurité
    Créer une hygiÚne numérique partagée dans toute l'organisation.

  4. Valoriser la fonction cybersécurité
    Rendre visible l'Ă©quipe cyber, la rendre lĂ©gitime et accessible, y compris pour du recrutement interne ou des demandes d’aide.

  5. RĂ©duire la distance ou le rejet du sujet cyber
    Lutter contre la lassitude, la peur ou la déresponsabilisation.

  6. Répondre à une obligation de conformité
    RGPD, ISO 27001, DORA, NIS2, clauses contractuelles


  7. Renforcer la résilience collective
    PrĂ©parer les Ă©quipes Ă  mieux rĂ©agir en cas d’incident rĂ©el.

Cette newsletter est réalisée par Sylvan Ravinet. Connectons-nous sur LinkedIn ou collaborons ensemble.

Laisse un commentaire ou transfÚre-la à un·e collÚgue qui devrait la lire.

With Love from Paris.

Sylvan

Reply

or to participate.