Je rencontre fréquemment des responsables informatiques ou des experts en cybersécurité qui se sentent frustrés par la faible prise en considération de la cybersécurité par leur direction, malgré leurs efforts constants de sensibilisation. Pourtant, ils se heurtent souvent à un manque de réactivité ou à une minimisation des risques. Cet article a pour objectif de vous fournir des clés pratiques, que j'espère, vous aideront à améliorer l'impact de vos initiatives de sensibilisation, en renforçant l'écoute et l'adhésion de vos interlocuteurs.

Qu'entendons vraiment par sensibilisation ?

Sensibiliser à la cybersécurité, ce n'est pas simplement en parler ou transmettre des informations. Nombreux sont ceux qui pensent qu’en abordant le sujet, ils ont accompli leur mission. Mais, en réalité, la question centrale est la suivante : le message est-il réellement compris ? Et surtout, est-il accepté par la personne en face de nous ?

En tant que professionnels IT ou spécialistes en cybersécurité, il est essentiel de reconnaître que notre manière de communiquer, souvent axée sur les aspects techniques, n'est peut-être pas adaptée au public visé. Trop souvent, nous cherchons à transférer notre savoir de manière brute, sans nous soucier de la capacité de compréhension ou d’adhésion de nos interlocuteurs. Pourtant, nous passons des heures à nous former et à consulter des ressources techniques sur des sites comme l'ANSSI, mais combien d'entre nous prennent réellement le temps d’apprendre à bien sensibiliser ?

Un exemple frappant vient du secteur du handicap, où la sensibilisation est bien plus avancée. Là-bas, elle ne consiste pas uniquement à expliquer les défis, mais également à susciter une réaction émotionnelle et à proposer des solutions pratiques. La sensibilisation devient ainsi un processus éducatif à double volet, touchant à la fois la tête et le cœur. Appliquer une approche similaire en cybersécurité pourrait transformer notre manière de communiquer sur ces enjeux complexes.

Le biais du professionnel de la cybersécurité : un obstacle sous-estimé

En tant que spécialistes de la cybersécurité, nous avons souvent un biais naturel qui peut entraver notre capacité à sensibiliser efficacement. Un dirigeant, par exemple, peut légitimement se poser des questions sur la véritable motivation de nos recommandations. Est-ce que nous prêchons pour notre propre chapelle ? Est-ce que nos demandes sont réellement basées sur des besoins objectifs ou cherchent elles simplement à mettre en avant notre travail et notre expertise ?

Pour répondre à cette inquiétude, il est crucial de reconnaître que notre position au sein de l'organisation peut constituer un frein à la bonne réception du message. La clé pour surmonter cet obstacle est de faire preuve d’humilité. Il est parfois utile, voire nécessaire, de faire appel à un tiers indépendant pour apporter un point de vue neutre et désamorcer les suspicions potentielles. Ce regard externe peut renforcer la légitimité du discours et lever tout doute sur des motivations personnelles ou institutionnelles.

Il ne s'agit pas seulement de ce que nous disons, mais de comment nous le disons et de l'environnement dans lequel nous le disons. La posture est fondamentale : savoir quand insister, quand écouter et quand faire intervenir un médiateur extérieur peut faire toute la différence.

Sensibiliser l’individu avant l'organisation

Avant de chercher à sensibiliser toute l'organisation à la cybersécurité, il est impératif de commencer par les individus. Chaque personne, quel que soit son rôle dans l'entreprise, doit être personnellement convaincue de l'importance de la cybersécurité, avant de pouvoir intégrer cette démarche dans un contexte organisationnel plus large.

Un exemple qui m’est arrivé récemment illustre bien ce point. J’ai travaillé avec un responsable informatique pendant plusieurs mois à co-construire un plan d’action en matière de cybersécurité. Malgré notre collaboration, après plus d’un an, j’ai découvert que cette personne n’était pas convaincue, à titre personnel, de l’importance de la cybersécurité. Ce qui l’a trahi ? Un mot de passe inscrit sur un post-it, en évidence sur son bureau. Il m'a fallu ce temps pour comprendre que, bien que nous ayons travaillé sur des solutions techniques avancées, cet individu n’avait pas saisi l’importance de la sécurité à un niveau personnel.

Cette anecdote souligne un point fondamental : avant de pouvoir engager quelqu'un sur des enjeux organisationnels, il est crucial de s’assurer qu'il est lui-même sensibilisé à titre individuel. C'est une démarche qui demande du temps, de l'écoute et un accompagnement personnalisé. Si l'individu n'est pas convaincu à titre personnel, il sera difficile de l'engager pleinement dans une démarche de cybersécurité au sein de l'entreprise.

Sensibiliser le décideur : une approche globale

Une fois l’individu sensibilisé, il s’agit d’engager le décideur. Souvent, les professionnels de la cybersécurité se concentrent exclusivement sur leurs propres préoccupations sans tenir compte des autres défis que rencontrent les managers. Or, la cybersécurité n’est qu’un problème parmi tant d’autres. Pour capter l'attention d’un décideur et obtenir son engagement, il est crucial de comprendre ses priorités globales.

Plutôt que de se focaliser uniquement sur la cybersécurité, il est essentiel de reconnaître qu'il y a d'autres problèmes urgents à gérer. Notre rôle ne consiste pas à imposer la cybersécurité comme la priorité absolue, mais à l’intégrer intelligemment dans le cadre des défis auxquels le décideur fait face. Il faut être capable de faire preuve de flexibilité et de trouver un équilibre entre les différentes urgences.

De plus, il est important de ne pas sous-estimer les compétences d’un manager dans la gestion de problèmes complexes. Ce n’est pas parce qu’un décideur n’a pas une expertise en cybersécurité qu'il ne comprend pas les risques. Au contraire, il est souvent habitué à jongler avec plusieurs problématiques et à prioriser en fonction des enjeux globaux. L’objectif est donc de l’accompagner dans la hiérarchisation de ses priorités, sans imposer un agenda rigide.

Proposer des actions concrètes, réalistes et adaptées

Enfin, il est primordial de proposer des actions concrètes à la suite de toute discussion sur la cybersécurité. Lorsqu'un professionnel exprime sa frustration face à un manque de résultats après une sensibilisation, je lui demande souvent : « Quelles actions concrètes avez-vous suggérées à la fin de la réunion ? ». Trop souvent, la réponse est vague : « Nous en avons discuté, mais l'essentiel est qu’il soit informé. »

Informer ne suffit pas. Un manager est confronté à une multitude de problèmes et plus il est haut placé dans la hiérarchie, plus son temps est consacré à résoudre des crises. Il est donc crucial de sortir de la simple discussion pour formaliser des demandes concrètes et atteignables, qui puissent être mises en œuvre rapidement.

Il est également important de calibrer ces demandes en fonction du niveau de maturité de l'organisation. Exiger un bond radical du budget cybersécurité, par exemple, de 0,5 % à 10 % du budget IT à cause de nouvelles régulations comme la NIS2, peut être perçu comme irréaliste et provoquer une résistance. La cybersécurité est un processus évolutif. L'objectif n'est pas de tout changer en un jour, mais d'initier une progression continue.

L’essentiel est d’adopter une approche graduelle, en proposant des actions réalistes à court terme qui permettront à l'organisation de progresser à son rythme vers des objectifs plus ambitieux à moyen et long terme.

Je suis Téodor, passionné par la Cybersécurité. Fondateur de CyberLead après plusieurs expériences à Paris, Washington DC et dans la Silicon Valley.

"Vous vous reconnaissez dans ces enjeux ? Discutons-en !"
Contactez moi directement pour échanger et découvrir comment nous pouvons collaborer.