Kantyra Kantyra

← Alle artikelen

Signaleren

Pourquoi presque personne ne signale un incident ?

Alain Rees · 10-07-2026 · 9 min leestijd

Demandez à n'importe quel groupe de collaborateurs s'ils signaleraient un incident de sécurité, et presque tous répondent oui. Consultez ensuite le registre des incidents de la même organisation, et vous n'y trouvez qu'une poignée de signalements par an. Chaque RSSI connaît cet écart, et la tentation est grande de l'expliquer par de la mauvaise volonté ou de l'indifférence. La recherche pointe dans une autre direction : les gens ne signalent pas parce que signaler leur coûte quelque chose et ne leur rapporte que rarement. C'est une bonne nouvelle, car on peut agir sur les deux plateaux de cette balance.

Cet article relève de la phase Détecter du modèle qui sous-tend Kantyra. Les incidents sont la source de signaux la plus riche dont dispose une organisation, mais à condition qu'ils parviennent jusqu'au registre.

Quelle est l'ampleur de l'écart entre le dire et le faire ?

Van de Weijer, Leukfeldt et Bernasco ont analysé les données de plus de quatre-vingt-dix-sept mille victimes issues d'une enquête nationale de population et ont établi que la cybercriminalité est signalée nettement moins souvent que la criminalité traditionnelle. Dans une étude de suivi menée auprès de 529 dirigeants de PME, le contraste est devenu douloureusement précis. Presque tous déclaraient vouloir signaler des cyberincidents fictifs, mais des cyberdélits réels dont ils ont été victimes, la police n'en a vu qu'un peu plus de quatorze pour cent. Les raisons avancées par les non-déclarants sont familières à tout responsable de la sécurité : l'attente que rien n'en sortira de toute façon, et la préférence pour une résolution en interne. Ceux qui ont signalé étaient en outre souvent insatisfaits du suivi.

Ces chiffres concernent le dépôt de plainte auprès de la police, mais le schéma ne se limite pas à ce cas. Dans le secteur de la santé, où le comportement de signalement a été étudié le plus en profondeur, une revue systématique de Hamed et Konstantinidis sur les obstacles au signalement chez le personnel infirmier a retrouvé exactement le même classement. La raison la plus souvent citée pour ne pas signaler est la peur de conséquences négatives, suivie de systèmes de signalement fastidieux et d'une culture de l'attribution des fautes. Les problèmes de connaissances et de technique ne viennent qu'ensuite. L'écart entre le dire et le faire n'est donc pas un problème d'information, mais un problème d'arbitrage.

La punition rend-elle les gens plus prudents, ou seulement plus silencieux ?

Le réflexe de chercher le coupable après un incident est à la fois compréhensible et désastreux. Amy Edmondson a montré, dans une étude de terrain devenue classique menée auprès de cinquante et une équipes, que la disposition à admettre et à discuter des erreurs dépend de ce qu'elle appelle la sécurité psychologique : la conviction partagée que, dans cette équipe, on peut reconnaître quelque chose sans en payer le prix. Les équipes dotées de cette sécurité apprennent davantage et sont de ce fait plus performantes. À cette lumière, la punition change peu de chose au comportement qui a mené à l'incident, mais beaucoup à la question de savoir si vous en entendrez encore parler un jour.

Les sciences de la sécurité ont formulé une réponse praticable à cela. James Reason a décrit comment une culture du signalement ne naît que lorsqu'il est clair à l'avance où se situe la limite entre comportement acceptable et inacceptable, afin que le déclarant sache à quoi s'en tenir. Le spécialiste de la sécurité Sidney Dekker, professeur en Australie, l'a développé avec Hugh Breakey en ce qui est depuis devenu la norme sous le nom de just culture : un traitement des erreurs vécu comme juste, davantage orienté vers la réparation et l'apprentissage que vers la sanction. Leur point central est que ce n'est pas la sanction elle-même qui brise la culture du signalement, mais le traitement ressenti comme injuste. Une organisation qui gère les erreurs de manière honnête et prévisible peut être stricte là où il le faut et continuer malgré tout à recevoir les signalements.

Que se passe-t-il après le signalement, et pourquoi cela décide-t-il de tout ?

La seconde moitié de l'arbitrage, c'est ce qu'un signalement rapporte. Paul Barach et Stephen Small ont étudié des systèmes de signalement hors du secteur de la santé, dont le système aéronautique ASRS, et ont dégagé les caractéristiques des systèmes qui fonctionnent : le signalement y est volontaire et confidentiel, le déclarant bénéficie d'une protection, l'analyse est réalisée indépendamment de la ligne hiérarchique, et un retour rapide et visible s'ensuit. Ils soulignent en outre que les presque-accidents surviennent sept à cent fois plus souvent que les incidents réels, et constituent donc de loin la source d'apprentissage la plus riche pour qui sait les saisir.

Là encore, les preuves existent. Ian Leistikow et ses collègues d'une autorité de contrôle de la santé ont décrit comment la supervision des signalements d'événements graves est passée de la sanction du résultat à l'évaluation de la qualité du processus d'apprentissage qu'un signalement enclenche. Leur thèse est que la valeur d'un signalement ne réside pas dans le signalement lui-même, mais dans ce que l'organisation en fait. Une évaluation de ce même dispositif par des chercheurs de l'université Erasmus, fondée sur plus de quatre mille quatre cents incidents étudiés, montre que cela fonctionne : l'attitude du personnel a changé, le nombre de signalements a augmenté et la qualité des enquêtes s'est améliorée. Les chercheurs notent que l'apprentissage ne se produit que là où l'organisation travaille activement avec les signalements.

Et c'est un comportement sur lequel on peut agir. Une recherche australienne récente, menée auprès de plus de cinq cents personnes en activité et portant spécifiquement sur le signalement des cyberincidents, a constaté que l'intention de signaler repose sur trois facteurs : l'attitude à l'égard du signalement, la norme que dégagent collègues et supérieurs, et le sentiment de savoir comment signaler. Ce dernier facteur prédisait aussi le comportement de signalement réel. Une étude de suivi a ajouté que la seule présence d'une politique de sécurité identifiable va de pair avec des signalements plus fréquents, tout comme la conscience que la sécurité fait partie de son propre rôle. Il était également frappant de constater que les collaborateurs situés plus bas dans la hiérarchie signalent moins, alors que les incidents y deviennent justement visibles en premier.

Qu'en faire dès demain ?

De cette littérature se dégage une recette qui coûte peu et rapporte beaucoup.

  1. Rendez le circuit de signalement si simple que personne n'ait à y réfléchir, et faites-le connaître. Le sentiment de savoir comment signaler est le meilleur prédicteur du comportement de signalement réel, et une politique identifiable augmente à elle seule la probabilité de signaler.
  2. Convenez à l'avance de la manière dont l'organisation traite les erreurs, et tenez-vous-y. La limite entre l'acceptable et l'inacceptable doit être claire avant l'incident, et non inventée après coup. C'est le cœur d'une culture juste.
  3. Répondez à chaque signalement par une enquête et un retour, jamais par le silence. Le déclarant qui n'entend rien en retour ne signale pas une deuxième fois. Les systèmes qui fonctionnent renvoient rapidement et visiblement ce qu'il est advenu du signalement.
  4. Saisissez aussi les presque-accidents. Ils sont bien plus nombreux que les incidents réels et vous enseignent la même chose sans les dommages.
  5. Réjouissez-vous de chaque signalement et méfiez-vous justement du silence. Peu de signalements ne signifie presque jamais peu d'incidents ; cela signifie que votre registre ne décrit plus la réalité.

Pour être complet : c'est la logique qui sous-tend le module d'incidents de Kantyra. Le signalement n'y est pas réservé aux managers ou aux administrateurs ; chaque utilisateur peut enregistrer un incident, et le formulaire demande une description, non un aveu de culpabilité. Les collaborateurs sans compte propre signalent à leur responsable ou au responsable de la sécurité, qui enregistre le signal ; l'art consiste alors surtout à garder ce circuit connu et accessible. Chaque signalement reçoit un responsable de traitement et un statut visible, de sorte que le retour n'est pas une bonne intention mais un flux de travail. Et les incidents graves qui touchent à un risque déclenchent automatiquement une réévaluation de ce risque, afin que l'organisation fasse manifestement quelque chose du signal. Ainsi, le signalement devient ce que la recherche dit qu'il doit être : le début d'un processus d'apprentissage plutôt que la fin d'une carrière.

Qu'est-ce que cela signifie pour votre organisation ?

Ne regardez pas le nombre de signalements comme un indicateur de performance, mais ce qu'il advient des signalements. Posez-vous trois questions. Un collaborateur quelconque sait-il, en moins de dix secondes, où déposer un incident ? Quelqu'un qui a signalé le trimestre dernier peut-il dire ce qu'il est advenu de son signalement ? Et votre collègue le plus junior ose-t-il signaler une erreur de son propre fait sans d'abord sonder son supérieur ? Trois fois oui signifie que votre culture du signalement fonctionne, quel que soit le nombre de signalements. Chaque non désigne l'endroit par lequel commencer, et aucune des trois questions n'exige un grand projet.

Responsabilité et sources

Cet article est une synthèse étayée de recherches scientifiques existantes et non une recherche indépendante évaluée par des pairs. Là où je donne un sens ou une interprétation, cette interprétation n'engage que moi.

  1. Van de Weijer, S.G.A., Leukfeldt, R. & Bernasco, W. (2019). Determinants of reporting cybercrime: A comparison between identity theft, consumer fraud, and hacking. European Journal of Criminology, 16(4). https://doi.org/10.1177/1477370818773610
  2. Van de Weijer, S., Leukfeldt, R. & Van der Zee, S. (2021). Cybercrime Reporting Behaviors Among Small- and Medium-Sized Enterprises in the Netherlands. In: Cybercrime in Context. Springer. https://doi.org/10.1007/978-3-030-60527-8_17
  3. Dekker, S.W.A. & Breakey, H. (2016). 'Just culture:' Improving safety by achieving substantive, procedural and restorative justice. Safety Science, 85. https://doi.org/10.1016/j.ssci.2016.01.018
  4. Reason, J. (1998). Achieving a safe culture: theory and practice. Work & Stress, 12(3). https://doi.org/10.1080/02678379808256868
  5. Barach, P. & Small, S.D. (2000). Reporting and preventing medical mishaps: lessons from non-medical near miss reporting systems. BMJ, 320(7237). https://doi.org/10.1136/bmj.320.7237.759
  6. Edmondson, A. (1999). Psychological Safety and Learning Behavior in Work Teams. Administrative Science Quarterly, 44(2). https://doi.org/10.2307/2666999
  7. Leistikow, I., Mulder, S., Vesseur, J. & Robben, P. (2017). Learning from incidents in healthcare: the journey, not the arrival, matters. BMJ Quality & Safety, 26(3). https://doi.org/10.1136/bmjqs-2015-004853
  8. De Kam, D., Kok, J., Grit, K., Leistikow, I., Vlemminx, M. & Bal, R. (2020). How incident reporting systems can stimulate social and participative learning: A mixed-methods study. Health Policy, 124(8). https://doi.org/10.1016/j.healthpol.2020.05.018
  9. Hamed, M.M.M. & Konstantinidis, S. (2022). Barriers to Incident Reporting among Nurses: A Qualitative Systematic Review. Western Journal of Nursing Research, 44(5). https://doi.org/10.1177/0193945921999449
  10. Ahola, K., Butavicius, M., McCormac, A. & Sturman, D. (2025). Hey "CSIRI", should I report this? Investigating the factors that influence employees to report cyber security incidents in the workplace. Information and Computer Security, 33(2). https://doi.org/10.1108/ICS-11-2023-0214
  11. Ahola, K. et autres (2025). 'Ctrl, alt, report': the influence of policy, cyber security job relevance, rank and gender on cyber security incident reporting. Information and Computer Security. https://doi.org/10.1108/ICS-02-2025-0044
Zien hoe dit in Kantyra werkt?

In een demo van 30 minuten lopen we het model door aan de hand van jouw situatie.

Plan een demo

Meer in de fase Signaleren