top of page
Rechercher

Passer le message juste, au bon moment

L'erreur fondamentale : un message trop tard


Dans toutes les entreprises ou administrations, comme tout nouvel arrivant, vous avez fait la même chose dans les premiers jours : créer votre premier mot de passe, celui du compte Windows par exemple. Vous l'avez choisi sans aucune sensibilisation, mais avec un peu de chance, la politique de mot de passe vous a été donnée avant, sinon vous la découvrez au fil de vos échecs ("Non c'est 20 caractères", "Le symbol $ n'est pas accepté").


Comme tout à chacun, vous avez votre propre technique pour vous débarasser de ces mots de passe tout en respectant la politique définie : le même, le même avec la petite variante, le carnet, le fichier excel, le navigateur ou le gestionnaire pour les meilleurs.


Ce n'est que quelques jours plus tard, voire quelques mois, que vous recevez un elearning ou une vidéo pour vous apprendre à faire un bon mot de passe.


Trop tard.


Votre mot de passe a été défini, vous ne le changerez pas. Le message de sensibilisation arrive après le comportement, ce qui signifie qu'il doit combattre une habitude déjà installée. C'est le défi fondamental de la cybersécurité moderne : nous construisons des sensibilisations qui arrivent a posteriori, quand les décisions critiques ont déjà été prises.


C'est comme vouloir enseigner à quelqu'un comment bien manger après qu'il ait passé dix ans à consommer du fast-food. C'est possible, mais c'est infiniment plus difficile que de l'éduquer dès le premier jour.


Les sciences comportementales : pourquoi le timing est déterminant


La psychologie comportementale nous enseigne depuis des décennies que le moment de la décision est le moment d'influence le plus puissant. Daniel Kahneman appelle cela le moment où nous basculons du « Système 1 » (réflexes, automatismes) au « Système 2 » (réflexion consciente). C'est dans cette fenêtre d'opportunité qu'une personne est réceptive à une nouvelle consigne, avant que le comportement ne devienne un automatisme.


Mais il y a quelque chose d'encore plus puissant : le concept de « choix d'architecture » de Thaler et Sunstein nous montre que la manière de présenter une option change radicalement les comportements. Si le bon outil est par défaut activé, pré-configuré, accompagné d'un tutoriel simple au moment exact où la personne en a besoin — ce n'est plus une contrainte imposée. C'est une aide naturelle, intégrée au flux normal du travail.


C'est la différence fondamentale entre deux approches :


  • Approche réactive : Former sur la cyber après les embauches. Résultat : haut taux de non-adoption, dépendance à la discipline personnelle, comportements variables selon les individus.


  • Approche proactive et comportementale : Intégrer la cyber comme composant naturel du premier jour, au moment où les décisions critiques se prennent. Résultat : adoption automatique, comportements ancrés avant que les mauvaises habitudes ne se forment, expérience cohérente pour tous.


La différence ? L'une impose une charge cognitive supplémentaire. L'autre l'élimine.



L'onboarding : Le moment critique


L'onboarding n'est pas un processus administratif comme les autres. C'est le moment de plus haute réceptivité d'un nouvel arrivant. La personne est attentive, elle cherche à « faire juste » parce qu'elle ne veut pas faire d'erreurs le premier jour. Elle observe comment fonctionnent les choses, elle pose des questions, elle est en mode apprentissage actif.


C'est dans ces premières heures que les automatismes se cristallisent. Les gestes qu'on répète le premier jour deviennent les habitudes de demain. C'est pourquoi l'onboarding n'est pas une formalité. C'est le moment où une grande partie de la sensibilisation devrait se faire, non pas sous longue présentation de 2h, mais à travers l'accompagnement pratique du jour 1.


Bien sûr, il est aussi nécessaire de faire changer la culture de l’entreprise vis-à-vis de l’IT et de la cybersécurité.


Dans une usine, personne ne remettrait en question l’importance d’écouter et de suivre les règles de sureté, notamment pour l’utilisation des machines.


Mais sur l’informatique, nous avons encore souvent le discours à l’arrivée : « Désolé, maintenant, vous allez devoir passer à l’IT récupérer votre équipement ». Moment souvent perçu comme une corvée avec peu d’intérêt et d’ici là que vous n’ayez pas de chance : votre poste ne sera pas prêt ou ça ne fonctionnera pas.


Et si on pensait l’accueil différemment ?


On résume : notre soucis avec le mot de passe, c’est que la sensibilisation arrive trop tard. Pourquoi ne pas glisser dans l’ordinateur une petite carte postale de bienvenue signée de l’équipe cyber ou équipe IT ?




Nudge - Carte postale d'accueil pour définir comment faire un bon mot de passe



Un geste simple qui change tout :

• Il surprend,

• Il permet de se sentir accueilli

• Il donne une image positive de la cyber

• Il permet de se faire connaitre et indiquer qu’on est à son service

• Et surtout, il donne la bonne information au bon moment



Le gestionnaire de mots de passe : l'accompagnement pratique


Ici, le défi est encore plus subtil. Un gestionnaire de mots de passe, c'est puissant — mais c'est aussi un changement d'habitude profond. On passe de « je retiens mon mot de passe » à « l'outil le retient pour moi ». C'est contre-intuitif pour beaucoup.


L'approche traditionnelle, celle qui échoue : un email IT, un lien intranet, une formation optionnelle, une vidéo. La plupart des gens l'ignorent. Six mois plus tard, à peine 20 % des utilisateurs l'utilisent, et il y a des appels au support IT : « Je ne sais pas comment ça marche ».


L'approche comportementale, celle qui marche :


Le gestionnaire arrive pré-configuré. C'est important. Pas besoin de l’installer. C'est déjà ouvert, déjà intégré, déjà paramétré de la manière la plus simple possible pour son utilisation.

Dans le processus d’onboarding du poste, un tutoriel visuel très court et interactif :


• Étape 1 : Ouvrir le gestionnaire.

• Étape 2 : Créer un nouveau mot de passe pour un service (un jeu simulé ou un vrai service d'entreprise).

• Étape 3 : Voir comment le gestionnaire propose automatiquement une saisie la prochaine fois.

• Étape 4 : Générer un mot de passe fort en deux clics. Comprendre qu'il n'a plus besoin de l'inventer.


Et bien évidemment, on bloque les gestionnaires de mot de passe des navigateurs sinon c’est le 1er outil qui sera utilisé car intégré naturellement, lui.

C'est du nudge : le bon comportement demande moins d'effort que le mauvais.



Le résultat ? L'utilisateur réalise quelque chose d'important : « Ah, je n'ai plus besoin de retenir mes 15 mots de passe ». Ce n'est plus une corvée. C'est une victoire.


Et puis, à chaque nouvelle connexion à un service, le gestionnaire propose de sauvegarder. L'habitude se crée par répétition, pas par commandement. Au bout d'une semaine, c'est naturel. Au bout d'un mois, c'est automatique.


C'est le secret de toute bonne sensibilisation comportementale : faire que le bon comportement devienne le chemin de moindre résistance. Faire que la cybersécurité devienne invisible, intégrée, naturelle.


La révolution silencieuse de l'accompagnement


Voici la vérité inconfortable : la plupart des formations en cybersécurité, même de haute qualité, restent inefficaces parce qu'elles arrivent trop tard ou sans contexte pratique.


Mais quand vous intégrez la sensibilisation au moment où la décision se prend — au premier jour, au moment où on crée son mot de passe, où on configure son gestionnaire, où on reçoit une notification de phishing — vous n'avez plus besoin de formation. Vous avez de l'apprentissage.


La différence ? L'une est passive et facilement oubliée. L'autre est active, immédiate, ancrée dans le geste.


Quand un utilisateur configure son gestionnaire de mots de passe et réalise « Ah, ça me sauve une heure par mois de mémorisation », il ne demande pas pourquoi faire. Il l'adopte. Et il le garde.


Quand un proxy lui dit « Vous avez essayé d'utiliser l'outil X, voici l'alternative Y qui est mieux sécurisée et tout aussi pratique », il ne contourne pas. Il change simplement son réflexe.


C'est ce que les sciences comportementales nous enseignent : les gens adoptent ce qui est facile, naturel, et qui offre une récompense immédiate. Pas ce qui est imposé après coup.


Et tout ça commence à l'onboarding. C'est là qu'une grande partie de la vraie sensibilisation devrait se faire. Pas dans une formation trois mois plus tard. Pas dans un email poussé parmi tant d'autres. Mais dans l'accompagnement pratique du jour 1.

C'est la révolution silencieuse de la cybersécurité moderne : transformer l'outil de contrainte en compagnon naturel du travail. Et quand on y arrive, on s'aperçoit que la cybersécurité n'est plus une corvée. Elle est devenue transparente. Elle est devenue évidente.


Elle est devenue humaine.


Posez-vous donc maintenant la question : "Quel est le bon moment pour passer mon message ?"




Article rédigé et publié dans Je Sensibilise - Le Mag édition 2


Je Sensibilise Le Mag, édité à l'occasion de Je Sensibilise Le Salon

👉Téléchargez le gratuitement sur https://www.jesensibilise.com/le-mag

Commentaires

bottom of page