Alain Rees · 10-07-2026 · 9 min leestijd
Demandez à n'importe quel groupe de collaborateurs s'ils signaleraient un incident de sécurité, et presque tous répondent oui. Consultez ensuite le registre des incidents de la même organisation, et vous n'y trouvez qu'une poignée de signalements par an. Chaque RSSI connaît cet écart, et la tentation est grande de l'expliquer par de la mauvaise volonté ou de l'indifférence. La recherche pointe dans une autre direction : les gens ne signalent pas parce que signaler leur coûte quelque chose et ne leur rapporte que rarement. C'est une bonne nouvelle, car on peut agir sur les deux plateaux de cette balance.
Cet article relève de la phase Détecter du modèle qui sous-tend Kantyra. Les incidents sont la source de signaux la plus riche dont dispose une organisation, mais à condition qu'ils parviennent jusqu'au registre.
Van de Weijer, Leukfeldt et Bernasco ont analysé les données de plus de quatre-vingt-dix-sept mille victimes issues d'une enquête nationale de population et ont établi que la cybercriminalité est signalée nettement moins souvent que la criminalité traditionnelle. Dans une étude de suivi menée auprès de 529 dirigeants de PME, le contraste est devenu douloureusement précis. Presque tous déclaraient vouloir signaler des cyberincidents fictifs, mais des cyberdélits réels dont ils ont été victimes, la police n'en a vu qu'un peu plus de quatorze pour cent. Les raisons avancées par les non-déclarants sont familières à tout responsable de la sécurité : l'attente que rien n'en sortira de toute façon, et la préférence pour une résolution en interne. Ceux qui ont signalé étaient en outre souvent insatisfaits du suivi.
Ces chiffres concernent le dépôt de plainte auprès de la police, mais le schéma ne se limite pas à ce cas. Dans le secteur de la santé, où le comportement de signalement a été étudié le plus en profondeur, une revue systématique de Hamed et Konstantinidis sur les obstacles au signalement chez le personnel infirmier a retrouvé exactement le même classement. La raison la plus souvent citée pour ne pas signaler est la peur de conséquences négatives, suivie de systèmes de signalement fastidieux et d'une culture de l'attribution des fautes. Les problèmes de connaissances et de technique ne viennent qu'ensuite. L'écart entre le dire et le faire n'est donc pas un problème d'information, mais un problème d'arbitrage.
Le réflexe de chercher le coupable après un incident est à la fois compréhensible et désastreux. Amy Edmondson a montré, dans une étude de terrain devenue classique menée auprès de cinquante et une équipes, que la disposition à admettre et à discuter des erreurs dépend de ce qu'elle appelle la sécurité psychologique : la conviction partagée que, dans cette équipe, on peut reconnaître quelque chose sans en payer le prix. Les équipes dotées de cette sécurité apprennent davantage et sont de ce fait plus performantes. À cette lumière, la punition change peu de chose au comportement qui a mené à l'incident, mais beaucoup à la question de savoir si vous en entendrez encore parler un jour.
Les sciences de la sécurité ont formulé une réponse praticable à cela. James Reason a décrit comment une culture du signalement ne naît que lorsqu'il est clair à l'avance où se situe la limite entre comportement acceptable et inacceptable, afin que le déclarant sache à quoi s'en tenir. Le spécialiste de la sécurité Sidney Dekker, professeur en Australie, l'a développé avec Hugh Breakey en ce qui est depuis devenu la norme sous le nom de just culture : un traitement des erreurs vécu comme juste, davantage orienté vers la réparation et l'apprentissage que vers la sanction. Leur point central est que ce n'est pas la sanction elle-même qui brise la culture du signalement, mais le traitement ressenti comme injuste. Une organisation qui gère les erreurs de manière honnête et prévisible peut être stricte là où il le faut et continuer malgré tout à recevoir les signalements.
La seconde moitié de l'arbitrage, c'est ce qu'un signalement rapporte. Paul Barach et Stephen Small ont étudié des systèmes de signalement hors du secteur de la santé, dont le système aéronautique ASRS, et ont dégagé les caractéristiques des systèmes qui fonctionnent : le signalement y est volontaire et confidentiel, le déclarant bénéficie d'une protection, l'analyse est réalisée indépendamment de la ligne hiérarchique, et un retour rapide et visible s'ensuit. Ils soulignent en outre que les presque-accidents surviennent sept à cent fois plus souvent que les incidents réels, et constituent donc de loin la source d'apprentissage la plus riche pour qui sait les saisir.
Là encore, les preuves existent. Ian Leistikow et ses collègues d'une autorité de contrôle de la santé ont décrit comment la supervision des signalements d'événements graves est passée de la sanction du résultat à l'évaluation de la qualité du processus d'apprentissage qu'un signalement enclenche. Leur thèse est que la valeur d'un signalement ne réside pas dans le signalement lui-même, mais dans ce que l'organisation en fait. Une évaluation de ce même dispositif par des chercheurs de l'université Erasmus, fondée sur plus de quatre mille quatre cents incidents étudiés, montre que cela fonctionne : l'attitude du personnel a changé, le nombre de signalements a augmenté et la qualité des enquêtes s'est améliorée. Les chercheurs notent que l'apprentissage ne se produit que là où l'organisation travaille activement avec les signalements.
Et c'est un comportement sur lequel on peut agir. Une recherche australienne récente, menée auprès de plus de cinq cents personnes en activité et portant spécifiquement sur le signalement des cyberincidents, a constaté que l'intention de signaler repose sur trois facteurs : l'attitude à l'égard du signalement, la norme que dégagent collègues et supérieurs, et le sentiment de savoir comment signaler. Ce dernier facteur prédisait aussi le comportement de signalement réel. Une étude de suivi a ajouté que la seule présence d'une politique de sécurité identifiable va de pair avec des signalements plus fréquents, tout comme la conscience que la sécurité fait partie de son propre rôle. Il était également frappant de constater que les collaborateurs situés plus bas dans la hiérarchie signalent moins, alors que les incidents y deviennent justement visibles en premier.
De cette littérature se dégage une recette qui coûte peu et rapporte beaucoup.
Pour être complet : c'est la logique qui sous-tend le module d'incidents de Kantyra. Le signalement n'y est pas réservé aux managers ou aux administrateurs ; chaque utilisateur peut enregistrer un incident, et le formulaire demande une description, non un aveu de culpabilité. Les collaborateurs sans compte propre signalent à leur responsable ou au responsable de la sécurité, qui enregistre le signal ; l'art consiste alors surtout à garder ce circuit connu et accessible. Chaque signalement reçoit un responsable de traitement et un statut visible, de sorte que le retour n'est pas une bonne intention mais un flux de travail. Et les incidents graves qui touchent à un risque déclenchent automatiquement une réévaluation de ce risque, afin que l'organisation fasse manifestement quelque chose du signal. Ainsi, le signalement devient ce que la recherche dit qu'il doit être : le début d'un processus d'apprentissage plutôt que la fin d'une carrière.
Ne regardez pas le nombre de signalements comme un indicateur de performance, mais ce qu'il advient des signalements. Posez-vous trois questions. Un collaborateur quelconque sait-il, en moins de dix secondes, où déposer un incident ? Quelqu'un qui a signalé le trimestre dernier peut-il dire ce qu'il est advenu de son signalement ? Et votre collègue le plus junior ose-t-il signaler une erreur de son propre fait sans d'abord sonder son supérieur ? Trois fois oui signifie que votre culture du signalement fonctionne, quel que soit le nombre de signalements. Chaque non désigne l'endroit par lequel commencer, et aucune des trois questions n'exige un grand projet.
Cet article est une synthèse étayée de recherches scientifiques existantes et non une recherche indépendante évaluée par des pairs. Là où je donne un sens ou une interprétation, cette interprétation n'engage que moi.
In een demo van 30 minuten lopen we het model door aan de hand van jouw situatie.
Plan een demo