Comment les salariés peuvent-ils contribuer à la lutte pour la cybersécurité ?

Le CESIN estime en 2026 que 7 organisations sur 10 manquent de ressources cyber. Cette pénurie structurelle déplace la charge de détection et de réaction vers les salariés non spécialistes. Leur contribution à la cybersécurité ne relève plus du simple « bon comportement » : elle compense un déficit technique que les équipes IT ne peuvent pas absorber seules.

Signalement d’incidents : la procédure que les salariés négligent le plus

La plupart des articles sur la cybersécurité en entreprise parlent de sensibilisation. Nous observons un angle mort récurrent : la gestion de l’après-détection. Un salarié qui repère un courriel suspect ou un comportement anormal sur son poste ne sait généralement pas quoi en faire.

A découvrir également : Qu'est-ce que l'audit ISO 27001 ?

Le problème n’est pas la détection. Un collaborateur formé identifie assez bien une tentative de phishing. Le problème, c’est la remontée. Sans canal de signalement clair, rapide et sans friction, l’information meurt dans une boîte mail ou un message Teams jamais lu par le bon interlocuteur.

Ce que doit contenir une procédure de signalement efficace

  • Un point de contact unique (alias mail dédié, bouton intégré au client de messagerie) qui déclenche une alerte auprès du responsable sécurité des systemes d’information, pas auprès du manager direct
  • Un délai de réponse garanti au salarié (accusé de réception en moins de deux heures) pour éviter le sentiment d’inutilité qui tue les signalements futurs
  • Une absence totale de sanction en cas de faux positif, formalisée dans la politique de sécurité de l’entreprise

La CNIL a enregistré 6 167 violations de données notifiées en 2025, en hausse de 9,5 % par rapport à 2024. Une violation sur deux résulte d’un acte de piratage informatique, ce qui signifie que l’autre moitié provient d’erreurs ou de négligences internes. Un circuit de signalement rodé permet de contenir ces incidents avant qu’ils ne deviennent des violations déclarables.

Lire également : Quelles sont les données que le RGPD n'interdit pas de collecter ?

Responsable informatique présentant un tableau de bord de sécurité réseau à son équipe dans une salle de serveurs

Directive NIS 2 et obligations de gestion des risques : ce que cela change pour les salariés

La transposition de la directive NIS 2 en droit français élargit considérablement le périmètre des entreprises soumises à des obligations de cybersécurité. Les PME et ETI de secteurs auparavant non concernés (gestion des déchets, fabrication de dispositifs médicaux, services postaux) entrent dans le champ d’application.

Pour les salariés, la conséquence concrète est l’apparition d’obligations documentées de gestion des risques cyber au niveau opérationnel. NIS 2 impose aux entités concernées de mettre en place des politiques de sécurité couvrant l’analyse de risques, la gestion des incidents et la continuité d’activité. Le salarié n’est plus un destinataire passif d’une charte informatique : il devient un maillon dont la conformité peut être auditée.

Intégrer la cybersécurité dans les fiches de poste

Nous recommandons d’inscrire les responsabilités cyber directement dans les fiches de poste, pas dans un document annexe que personne ne relit. Un comptable qui traite des virements internationaux n’a pas les mêmes obligations qu’un technicien de maintenance sur site. La granularité des responsabilités cyber par poste réduit la surface d’attaque bien plus efficacement qu’une formation générique annuelle.

Les entreprises soumises à NIS 2 doivent aussi garantir que leurs sous-traitants respectent un niveau de sécurité équivalent. Un salarié qui choisit un prestataire cloud sans validation de la DSI crée une faille réglementaire autant que technique.

Simulations de phishing et exercices de crise : mesurer la contribution réelle des salariés

La sensibilisation sans mesure ne produit rien de durable. Les campagnes de simulation de phishing restent le meilleur indicateur de la maturité cyber d’une organisation, à condition d’en tirer les bonnes métriques.

Le taux de clic brut sur un mail de simulation ne suffit pas. Nous observons que le taux de signalement compte davantage que le taux de clic. Un salarié qui clique mais signale immédiatement l’incident limite la fenêtre d’exploitation. Un salarié qui ne clique pas mais ne signale pas non plus laisse passer la menace pour ses collègues.

Structurer un programme de tests récurrents

Un exercice par trimestre, avec des scénarios adaptés au contexte métier de chaque direction, produit des résultats mesurables sur douze mois. Les scénarios doivent varier : usurpation d’identité d’un dirigeant, fausse notification de livraison, demande de mise à jour de coordonnées bancaires d’un fournisseur.

Les résultats alimentent un tableau de bord partagé avec le COMEX. Quand la direction générale suit l’évolution du taux de signalement par département, la cybersécurité sort du périmètre exclusif de la DSI et devient un sujet de gestion des risques au même titre que la conformité financière.

Deux collègues analysant ensemble un email de phishing suspect sur un ordinateur de bureau

Cybersécurité des TPE et PME : quand chaque salarié porte plusieurs casquettes

Dans une TPE de dix personnes, il n’y a pas de RSSI, pas de SOC, souvent pas de prestataire de sécurité managée. La personne qui gère l’informatique est aussi celle qui fait la paie ou la relation client. Cette réalité rend la contribution individuelle à la sécurité numérique encore plus déterminante.

Le premier réflexe utile dans ces structures : cartographier les actifs numériques avant de parler de protection. Combien de postes, quels logiciels SaaS utilisés, quels accès partagés entre collaborateurs, quels comptes disposent de droits administrateurs. Sans cette cartographie, toute mesure de sécurité reste aveugle.

Les salariés de PME peuvent contribuer à la cybersécurité par des actions à fort impact et faible complexité :

  • Activer l’authentification multifacteur sur tous les comptes professionnels (messagerie, CRM, outils collaboratifs)
  • Séparer strictement les usages professionnels et personnels sur les terminaux, y compris les smartphones
  • Vérifier systématiquement l’identité d’un interlocuteur qui demande un virement ou un changement de RIB, par un second canal (appel téléphonique direct)
  • Signaler toute anomalie, même mineure, au responsable désigné

Le programme Cybermalveillance.gouv.fr propose des ressources gratuites adaptées aux petites structures. L’UGAP a également conclu un partenariat avec Cybermalveillance pour faciliter l’accès des collectivités et des PME à des prestations de diagnostic cyber.

La contribution des salariés à la lutte pour la cybersécurité ne se résume pas à éviter de cliquer sur un lien suspect. Elle repose sur des procédures de signalement opérationnelles, des responsabilités formalisées par poste et des exercices réguliers dont les résultats remontent à la direction. Les entreprises qui traitent la sécurité des systèmes d’information comme un sujet RH autant que technique réduisent leur exposition de manière mesurable.

Ne ratez rien de l'actu