Quand la sécurité ressemble à une contrainte, elle perd. Sous stress, même des équipes volontaires contournent les règles, et le fossé entre opérationnels et RSSI devient, lui-même, une faille.
En entreprise, les directives de sécurité informatique échouent souvent pour une raison discrète mais massive : elles sont vécues comme un frein, donc contournées. Une expérience de deux jours montre un basculement progressif, malgré une attitude initialement favorable, lorsque la pression du travail augmente : les mesures deviennent des obstacles et les écarts se multiplient. Le problème n’est pas seulement la connaissance des risques, mais l’arbitrage quotidien entre objectifs, temps, collaboration et règles abstraites. Pour sortir de l’opposition « sécurité contre business », une stratégie à deux volets s’impose : concevoir des politiques centrées sur l’humain et communiquer avec respect, afin de passer de la conformité subie à la co-construction.
Sécurité informatique, le stress fabrique des contournements
Le malentendu commence souvent doucement, presque poliment. Une consigne arrive, « pour protéger l’entreprise« , et personne ne s’y oppose frontalement. Puis la journée accélère, les délais se resserrent, la coordination devient urgente. La règle, elle, ne bouge pas. Dans une expérience menée sur deux jours, des participants pourtant bien disposés au départ finissent par regarder les mesures de sécurité comme des cailloux dans la chaussure. Plus la pression professionnelle monte, plus la sécurité est requalifiée en obstacle, et plus les violations deviennent fréquentes. Le signal est clair : les comportements ne se résument ni à la bonne volonté ni à la formation, ils dépendent fortement du contexte.
C’est ici que naît le risque le plus insidieux. L’utilisateur ne « refuse » pas nécessairement de se protéger, il hiérarchise. Il choisit ce qui lui semble prioritaire sur le moment : atteindre un objectif ambitieux, répondre vite, travailler sans friction avec un collègue, un fournisseur, un client. Quand les exigences de sécurité restent abstraites, elles entrent en collision avec des impératifs concrets. La cybersécurité se transforme alors en force de ralentissement, donc en adversaire. Et cette perception, plus que la technique, dégrade la collaboration entre équipes sécurité, informatique et métiers, jusqu’à fissurer la culture commune.
Pour un RSSI, le défi n’est plus seulement de « définir la règle correcte« , mais de comprendre pourquoi elle est vécue comme impraticable. Plusieurs mécanismes se combinent : méconnaissance des menaces, bénéfice mal compris, conflit d’objectifs, manque de temps, mais aussi déficit de moyens. On peut exiger des échanges de données sécurisés, sans fournir l’outil qui permet de le faire simplement.
On peut imposer une procédure, sans donner d’exemples ni de modèles à suivre. À ce stade, sanctionner et répéter une formation standardisée peut produire l’effet inverse : la sécurité devient un rituel administratif, puis une gêne, puis une routine de contournement.
Les pirates exploitent cette routine. La référence cybersécurité ZATAZ propose d’ailleur un outil dédié au Social Engineering, et plus précisément une application web qui permet de s’entrainer à contrer un S.E. lors d’un appel téléphonique ou d’une « rencontre ».
- Veille exposition / fuite / usurpation / Alertes et synthèses actionnables
- Risque, impacts, recommandations
Politiques centrées humain, communication respectueuse
La sortie d’impasse passe par une approche à deux faces, conçue pour restaurer l’alliance entre protection et efficacité. Première face : regarder l’entreprise comme un réseau de parties prenantes, avec des priorités parfois incompatibles. Avant d’imposer une mesure, il faut cartographier qui dépend de qui, qui est évalué sur quoi, où sont les goulots d’étranglement, et à quel moment la règle se heurte au réel. Plus la compréhension du travail quotidien est fine, plus la mesure peut être ciblée, donc acceptée. La sécurité cesse d’être une surcouche, elle devient un réglage.
Deuxième face : admettre que le problème vient souvent de la mesure elle-même. Il existe fréquemment plusieurs réponses possibles à une même menace, mais les choix se font trop vite sur des critères techniques, en oubliant la difficulté d’exécution, la compatibilité avec les outils, la complexité ressentie. Une politique efficace doit rester robuste, mais aussi lisible et faisable. Cela suppose d’impliquer les employés dès la conception, pas à la fin du processus. Cette implication n’est pas un “cadeau”, c’est un test de réalité : elle révèle les contradictions, les besoins, les points de friction invisibles depuis la tour de contrôle.
Les projets pilotes jouent ici un rôle de renseignement interne. On démarre avec des utilisateurs pionniers, capables d’expérimenter, de remonter des irritants, de proposer des ajustements. On apprend vite, on corrige tôt, on évite de déployer une règle qui sera massivement contournée dès la première semaine. Cette logique transforme la conformité passive en co-construction proactive, et elle installe la sécurité dans les gestes du quotidien plutôt que dans un document.
Reste la manière de parler de sécurité. Trop souvent, la communication se résume à des injonctions, des notifications descendantes, des modules en ligne interchangeables, parfois des formats jugés infantilisants. À l’inverse, une communication respectueuse mise sur un dialogue d’égal à égal, où l’employé est traité comme un professionnel responsable.
News & Réseaux Sociaux ZATAZ
Elle commence par une empathie stratégique, non pour renoncer à l’objectif, mais pour comprendre la contrainte métier. Elle privilégie l’écoute active, en cherchant le « comment on fait » plutôt que le « c’est interdit« . Elle valorise enfin l’expérience, car vivre un scénario de phishing, de ransomware ou d’intrusion via clé USB, dans un environnement simulé, ancre mieux les réflexes qu’une théorie aride.
Au fond, le RSSI devient garant d’une culture opérationnelle de la sécurité : architecte de politiques centrées sur l’humain, et chef d’orchestre d’un dialogue qui réconcilie protection et performance.