/ Sécurité informatique / Hygiène informatique : pourquoi vos employés collent encore leurs mots de passe sur l’écran ?
Un bureau moderne avec un écran d'ordinateur où un employé place discrètement un post-it jaune avec des informations sensibles, symbolisant les mauvaises pratiques en hygiène informatique
Publié le 10 mai 2024

Le problème n’est pas l’indiscipline de vos employés, mais une stratégie de sécurité qui ignore la psychologie humaine.

  • La peur et la contrainte paralysent plus qu’elles n’éduquent, menant à des contournements.
  • Les outils complexes sont ignorés, et la fatigue des notifications de sécurité rend les utilisateurs vulnérables.

Recommandation : L’objectif n’est plus de forcer le changement, mais de le concevoir : rendez la sécurité facile, intuitive et engageante pour qu’elle soit enfin adoptée.

Ce post-it jaune fluo collé sur le coin de l’écran, affichant fièrement un mot de passe complexe que vous avez vous-même imposé. Cette scène, vous la connaissez par cœur. En tant que RSSI ou DSI, c’est le symbole de votre frustration quotidienne. Vous avez déployé des outils, rédigé des politiques, organisé des formations annuelles obligatoires et envoyé des emails d’alerte aux titres alarmistes. Pourtant, les comportements à risque persistent : mots de passe réutilisés, sessions non verrouillées, clés USB trouvées sur le parking et aussitôt branchées « pour voir ».

La réaction instinctive est de blâmer l’utilisateur, de déplorer son « manque de conscience » ou son « indiscipline ». On durcit les règles, on augmente la fréquence des alertes, on envisage des sanctions. Et si le problème n’était pas l’utilisateur, mais notre approche ? Si, en ignorant les mécanismes fondamentaux du cerveau humain, nous avions nous-mêmes créé les conditions de notre échec ? La psychologie comportementale nous offre une nouvelle grille de lecture : le post-it n’est pas un acte de défiance, mais une stratégie d’adaptation face à une surcharge cognitive. L’ignorance des alertes n’est pas de l’inconscience, mais une habituation prévisible.

Cet article vous propose de changer de paradigme. Il ne s’agit plus de lutter contre la nature humaine, mais de commencer à travailler avec elle. En comprenant les biais cognitifs, les raccourcis mentaux et les motivations réelles de vos collaborateurs, vous découvrirez des leviers d’action bien plus puissants que la peur ou la contrainte. Nous allons décrypter pourquoi vos stratégies actuelles atteignent leurs limites et comment des approches basées sur l’ingénierie comportementale, la facilité d’usage et la ludification peuvent transformer durablement l’hygiène informatique de votre entreprise.

Pour naviguer au cœur de cette approche comportementale de la cybersécurité, cet article s’articule autour des problématiques que vous rencontrez au quotidien. Le sommaire ci-dessous vous guidera à travers les différentes facettes de cette nouvelle stratégie.

Sommaire : Guide comportemental pour une cybersécurité efficace

Pourquoi la peur ne fonctionne pas pour changer les habitudes de sécurité ?

La stratégie du « FUD » (Fear, Uncertainty, and Doubt) est un grand classique de la communication en cybersécurité. L’idée semble logique : en montrant les conséquences catastrophiques d’une fuite de données, on motivera les employés à être plus vigilants. Pourtant, les neurosciences nous montrent les limites de cette approche. Le cerveau humain fonctionne sur deux systèmes : un système rapide, intuitif et émotionnel, et un système lent, logique et réfléchi. Or, plus de 90 % de nos choix quotidiens sont gérés par le système rapide, celui qui cherche à économiser de l’énergie.

Face à un message anxiogène, la première réaction n’est pas une analyse rationnelle du risque, mais une réaction de stress. Si cette réaction est trop fréquente ou trop intense, elle conduit non pas à la vigilance, mais à l’évitement ou à la paralysie. L’employé ne se sent pas plus compétent, mais plus impuissant. Pire, le bombardement constant d’alertes et de messages alarmistes déclenche un biais d’habituation. Le cerveau apprend simplement à ignorer ces signaux pour préserver sa charge mentale.

À force de recevoir des alertes que l’on considère comme anodines, l’utilisateur finit par ne plus les prendre en compte, ce qui peut ouvrir la porte à des risques réels.

– Experts en psychologie de la sécurité, Strategico – La psychologie derrière les failles de sécurité informatique

La peur peut créer une prise de conscience initiale, mais elle ne construit aucune compétence durable. Pour ancrer un comportement, il faut remplacer l’émotion négative (peur) par un sentiment positif de maîtrise et de facilité. L’objectif n’est pas de faire en sorte que l’utilisateur ait peur de mal faire, mais qu’il trouve simple et gratifiant de bien faire.

Comment déployer un gestionnaire de mots de passe que les équipes adopteront vraiment ?

Le gestionnaire de mots de passe est la réponse technique évidente au problème du post-it. Il centralise, sécurise et génère des mots de passe robustes. Pourtant, les chiffres montrent une réalité décevante : seulement 34 % des entreprises utilisaient des gestionnaires de mots de passe en 2022. L’échec est rarement technique ; il est presque toujours comportemental. Imposer un outil, aussi performant soit-il, sans penser à son adoption, c’est garantir son contournement.

La clé du succès réside dans la réduction de la friction à l’adoption. L’expérience utilisateur doit être radicalement plus simple que la méthode précédente (le post-it ou le recyclage de mots de passe). Cela passe par des critères de choix précis : intégration native dans les navigateurs, remplissage automatique fluide, partage sécurisé et intuitif au sein des équipes, et surtout, un processus d’onboarding simple et accompagné.

Plutôt qu’un déploiement de masse impersonnel, l’approche comportementaliste privilégie une stratégie humaine. Identifiez des « champions de la sécurité » dans chaque département, des ambassadeurs qui seront formés en priorité et qui deviendront les référents pour leurs collègues. Organisez de petits ateliers pratiques plutôt que de grandes formations théoriques.

Comme le suggère cette approche collaborative, le but est de montrer que l’outil n’est pas une contrainte de plus, mais un véritable service rendu à l’employé pour lui simplifier la vie et réduire sa charge mentale. Le meilleur gestionnaire de mots de passe n’est pas celui qui a le plus de fonctionnalités, mais celui que vos équipes utiliseront sans même y penser.

Verrouillage session à 5 ou 15 minutes : quel impact sur la productivité vs sécurité ?

Le débat sur le délai de verrouillage automatique des sessions est un microcosme de la tension entre sécurité et productivité. Un délai court (5 minutes) semble plus sûr, mais il exaspère les utilisateurs qui doivent se ré-authentifier sans cesse, les incitant parfois à chercher des solutions de contournement (comme les « mouse jigglers »). Un délai long (15 minutes) préserve la fluidité du travail mais augmente la fenêtre d’opportunité pour un accès physique non autorisé. Tenter d’imposer une règle unique et rigide à toute l’entreprise est une erreur.

L’approche comportementale et basée sur le risque suggère de sortir de ce faux dilemme en segmentant la politique de sécurité. Tous les utilisateurs n’ont pas le même niveau d’accès aux données critiques, ni le même environnement de travail. Un comptable manipulant des données financières dans un open space n’a pas le même profil de risque qu’un développeur travaillant dans un bureau fermé. La solution est donc de créer une politique de verrouillage adaptative, basée sur des profils de risque clairs.

Cette approche nuancée est non seulement plus efficace en termes de sécurité, mais elle est aussi plus facile à « vendre » aux équipes. En expliquant la logique derrière les différentes règles, vous transformez une contrainte arbitraire en une mesure de protection comprise et justifiée. Cela démontre que la sécurité n’est pas aveugle, mais qu’elle s’adapte intelligemment aux réalités du terrain.

Plan d’action : déployer un verrouillage intelligent

  1. Définir les profils de risque : Identifier les groupes d’utilisateurs (ex: haute sensibilité comme la direction/RH, moyenne comme le marketing, standard).
  2. Adapter les délais : Associer un délai de verrouillage spécifique à chaque profil (ex: 5 min pour le profil haut, 10-15 min pour les autres).
  3. Renforcer l’authentification : Exiger une authentification plus forte (MFA) pour les profils les plus sensibles après le verrouillage.
  4. Explorer les alternatives : Envisager des technologies comme le verrouillage dynamique (Dynamic Lock) qui lie la session à la proximité du smartphone ou d’un badge de l’utilisateur.
  5. Documenter et communiquer : Inscrire cette politique dans le registre de sécurité et expliquer clairement la logique aux collaborateurs pour garantir l’adhésion.

Le risque de la clé USB trouvée sur le parking : un classique toujours efficace

L’attaque par clé USB « perdue » semble tout droit sortie d’un manuel de cybersécurité des années 2000. On pourrait la croire désuète, mais c’est une erreur. Cette technique d’ingénierie sociale reste redoutablement efficace car elle joue sur un des biais les plus puissants : la curiosité. Loin d’être en déclin, cette menace se perfectionne. Des études récentes montrent que les menaces conçues pour les exploits USB sont passées de 37 % à 52 % entre 2021 et 2022, preuve d’un intérêt renouvelé des attaquants pour ce vecteur.

Les clés modernes ne se contentent plus de déposer un simple malware. Elles peuvent utiliser des techniques comme le « BadUSB », où le périphérique se fait passer pour un clavier (Human Interface Device) et injecte une série de commandes malveillantes dès son branchement, contournant ainsi de nombreuses protections logicielles.

Étude de cas : l’attaque BadUSB du groupe FIN7

En 2022, le FBI a alerté sur une campagne du groupe cybercriminel FIN7. Ils envoyaient par la poste des colis contenant de faux bons d’achat et une clé USB piégée. Une fois branchée, la clé se comportait comme un clavier, exécutait automatiquement des scripts pour installer une porte dérobée, menant in fine au déploiement de ransomwares comme REvil sur les réseaux d’entreprises ciblées dans les secteurs de la défense et de l’assurance. Cette attaque illustre parfaitement comment la curiosité et l’appât du gain sont exploités pour initier une compromission technique avancée.

Face à ce risque, la réponse purement technique (bloquer les ports USB) est souvent contre-productive, pénalisant les usages légitimes. La sensibilisation est cruciale, non pas en disant « ne le faites pas », mais en expliquant le mécanisme du « comment ça marche » via des démonstrations ou des études de cas comme celle-ci. L’objectif est de transformer la curiosité de l’utilisateur en une saine méfiance.

Quand organiser des « Security Days » ludiques plutôt que des formations PowerPoint ennuyeuses ?

La réponse est : toujours. La formation annuelle obligatoire sous format PowerPoint est l’un des rituels les moins efficaces de la culture d’entreprise. Le format est passif, le contenu souvent générique, et les participants cliquent frénétiquement pour arriver au questionnaire final, sans réelle assimilation. Comme le confirment les experts, les modules intégrant des éléments psychologiques et des études de cas sont souvent associés à de meilleurs changements de comportement. Il est temps de remplacer l’obligation ennuyeuse par l’engagement volontaire via la ludification (ou gamification).

Un « Security Day » n’est pas une formation, c’est un événement. L’objectif n’est pas de cocher une case de conformité, mais de créer une expérience mémorable et positive associée à la sécurité. En mettant les employés en situation active, en stimulant la compétition amicale et la collaboration, vous ancrez les réflexes de sécurité bien plus profondément qu’avec n’importe quel diaporama. L’information n’est plus « descendante » (du RSSI vers l’employé), mais « découverte » par l’employé lui-même.

Le succès de tels événements repose sur la créativité et l’interaction. Il s’agit de transformer des concepts abstraits en défis concrets. Le retour sur investissement n’est pas seulement une réduction des clics sur les campagnes de phishing, c’est un changement culturel : la sécurité n’est plus perçue comme un frein, mais comme un jeu d’équipe intelligent où chacun a un rôle à jouer.

Checklist d’audit : comment concevoir un Security Day réellement impactant ?

  1. Définir des objectifs mesurables : Au lieu de viser « la sensibilisation », fixez un objectif chiffré (ex: « réduire de 30% le taux de clics sur les phishing simulés en 3 mois »).
  2. Varier les formats : Combinez différents ateliers (escape game, live hacking, concours du meilleur phishing) pour toucher tous les profils d’apprentissage.
  3. Impliquer les managers : Faites des managers les animateurs ou les capitaines d’équipe pour montrer l’exemple et renforcer le message.
  4. Créer des ambassadeurs : Identifiez les participants les plus enthousiastes et proposez-leur de devenir des « champions de sécurité » volontaires pour leur département.
  5. Assurer le suivi : Ne laissez pas l’événement être une parenthèse. Communiquez sur les résultats, récompensez les meilleures équipes et lancez des micro-défis tout au long de l’année.

Le piège du Wifi public qui a permis le vol de 10 000 mots de passe

Pour le collaborateur nomade, le Wifi public d’un hôtel, d’un aéroport ou d’un café est une ressource précieuse. C’est aussi un terrain de jeu pour les attaquants. Le risque principal n’est pas tant que quelqu’un « écoute » le trafic (le HTTPS protège la plupart des connexions), mais plutôt les attaques de type « Man-in-the-Middle » via de faux points d’accès. Un attaquant peut facilement créer un réseau Wifi avec un nom crédible (« Wifi_Aeroport_Gratuit ») et intercepter tout le trafic des utilisateurs qui s’y connectent. Il peut alors présenter de fausses pages de connexion pour dérober des identifiants ou rediriger vers des sites malveillants.

Interdire totalement l’usage des Wifi publics est irréaliste. L’approche comportementale consiste à fournir aux employés un modèle mental simple pour évaluer le risque et prendre la bonne décision. Plutôt qu’une longue liste d’interdits, un arbre de décision simple est bien plus efficace. Il responsabilise l’utilisateur en lui donnant les clés pour faire le bon choix en fonction du contexte.

L’idée maîtresse à transmettre est le concept de « Zéro Confiance Individuel » : en dehors des réseaux de l’entreprise (locaux ou VPN), tout réseau est par défaut considéré comme hostile. Cet arbre de décision doit devenir un réflexe :

  • Vais-je manipuler des données d’entreprise ou des identifiants sensibles ? Si la réponse est oui, la seule option sécurisée est d’utiliser le partage de connexion 4G/5G de son téléphone professionnel. Ce réseau est directement géré par l’opérateur et beaucoup plus difficile à intercepter.
  • Ai-je seulement besoin de consulter des informations publiques (actualités, sites non sensibles) ? Si la réponse est oui, le Wifi public peut être une option, mais avec une règle d’or : ne jamais, sous aucun prétexte, saisir le moindre identifiant (professionnel ou même personnel) sur ce réseau.

Cette distinction simple, basée sur l’action à réaliser, est plus facile à retenir et à appliquer qu’une interdiction générale. Elle transforme l’utilisateur d’un maillon faible potentiel en un gestionnaire de risque de première ligne.

Pourquoi harceler l’utilisateur de notifications push finit par le faire valider l’intrusion ?

L’authentification multifacteur (MFA) est l’une des barrières de sécurité les plus efficaces. Cependant, les attaquants, suivant le principe de moindre effort, ne cherchent plus à la casser techniquement, mais à l’exploiter psychologiquement. La technique du « MFA Fatigue » ou « Push Bombing » en est la parfaite illustration. Le scénario est simple : un attaquant, qui a déjà obtenu le couple identifiant/mot de passe (souvent grâce à la réutilisation des mots de passe, que 49 % des employés pratiquent pour leurs applications professionnelles), tente de se connecter. L’utilisateur reçoit alors une notification push sur son smartphone lui demandant de valider la connexion.

L’utilisateur refuse une première fois. L’attaquant insiste. Et encore. Et encore. Au milieu de la nuit, ou pendant une réunion importante, l’utilisateur, excédé par ce flot de notifications et pensant à un bug, finit par cliquer sur « Valider » juste pour que cela s’arrête. L’attaquant a gagné. Il n’a pas vaincu la technologie, il a vaincu l’humain en exploitant un biais de surcharge cognitive et de fatigue décisionnelle.

Cette attaque démontre que toute sécurité qui repose sur une simple validation passive de l’utilisateur est fondamentalement fragile. La solution est de passer à des méthodes MFA qui exigent une action intentionnelle et contextuelle, rendant le « bombardement » inefficace. Voici une hiérarchie de solutions résistantes à la fatigue :

  • Number Matching : C’est la solution la plus simple et efficace. L’application d’authentification affiche un numéro que l’utilisateur doit reporter sur l’interface de connexion. Cela force l’utilisateur à regarder les deux écrans et à effectuer une action délibérée, impossible à faire par erreur.
  • Technologies FIDO2 / Passkeys : Ces méthodes (clés de sécurité physiques, authentification biométrique du terminal) reposent sur une cryptographie asymétrique et nécessitent une action physique (toucher un capteur, insérer une clé). Elles sont intrinsèquement résistantes au phishing et à la fatigue.

Le simple push de notification « Accepter/Refuser » doit désormais être considéré comme obsolète et dangereux. Il faut former les utilisateurs à reconnaître la tactique de la « MFA Fatigue » et leur donner des outils qui les protègent d’eux-mêmes.

À retenir

  • L’erreur humaine en cybersécurité est souvent le symptôme d’un design de sécurité inadapté à la psychologie humaine, et non la cause première.
  • La facilité d’adoption et d’usage d’un outil de sécurité (comme un gestionnaire de mots de passe) prime sur la complexité de ses fonctionnalités.
  • Passer de la formation-sanction à la sensibilisation-ludification (Security Days) est essentiel pour créer un engagement durable et changer les comportements.

Pourquoi le SMS n’est plus une double authentification sécurisée face au SIM Swapping ?

Pendant des années, recevoir un code par SMS a été la norme pour l’authentification à double facteur. Cette méthode est aujourd’hui considérée comme dangereusement obsolète. Son principal défaut n’est pas le SMS lui-même, mais le support sur lequel il repose : la carte SIM. Si un attaquant parvient à obtenir les identifiants d’un utilisateur, ce qui arrive dans environ 22 % des violations de données selon le rapport DBIR de Verizon, sa prochaine étape sera de prendre le contrôle de son numéro de téléphone.

La technique du SIM Swapping consiste, via l’ingénierie sociale, à convaincre l’opérateur téléphonique de la victime de transférer son numéro de téléphone sur une nouvelle carte SIM contrôlée par l’attaquant. Une fois cette opération réussie, l’attaquant reçoit tous les appels et SMS de la victime, y compris les fameux codes de double authentification. Pour l’utilisateur, tout s’arrête brusquement : son téléphone perd le réseau. Pour l’attaquant, toutes les portes s’ouvrent.

Il est donc impératif d’abandonner le SMS comme méthode de MFA pour tous les comptes sensibles. Une hiérarchie claire des méthodes d’authentification doit être établie et communiquée.

Hiérarchie des méthodes d’authentification multifacteurs
Niveau Méthode MFA Sécurité Résistance au phishing Usage recommandé
🥇 Or Clés de sécurité physiques (FIDO2) / Passkeys Très élevée Excellente Comptes critiques, direction, finance
🥈 Argent Applications d’authentification (TOTP) Élevée Bonne Tous les comptes professionnels
🥉 Bronze Push avec validation numérique (Number Matching) Moyenne à élevée Moyenne Comptes secondaires avec supervision
❌ À proscrire SMS et email Faible Très faible Aucun – vulnérable au SIM Swapping

Au-delà du risque technique, il y a désormais un enjeu de responsabilité. Laisser en place une authentification par SMS pour des accès critiques pourrait être lourd de conséquences, non seulement techniques, mais aussi légales et financières.

S’appuyer sur le SMS comme seule méthode de MFA pourrait être considéré comme une négligence manifeste lors d’une analyse post-sinistre par un assureur, avec un impact potentiel sur l’indemnisation.

– Experts en cyber-assurance, Analyse des clauses de cyber-assurance et exclusions

Pour transformer durablement votre culture sécurité, l’étape suivante consiste à auditer vos processus non pas sous un angle technique, mais sous l’angle du comportement utilisateur. Évaluez dès maintenant la friction de chaque mesure et identifiez où la simplicité peut devenir votre meilleur allié.

Rédigé par Karim Belkacem, Consultant Senior en cybersécurité et auditeur certifié CISSP avec une expertise pointue en tests d'intrusion (Pentest). Fort de 10 ans d'expérience opérationnelle au sein de SOC (Security Operations Centers), il intervient sur la sécurisation des infrastructures cloud et la réponse immédiate aux attaques par ransomware. Il forme également les équipes techniques aux meilleures pratiques de DevSecOps et d'hygiène numérique.
Que faire dans les 72h si votre base de données clients est exfiltrée ?
Fraîchement publiés
Correctifs logiciels : comment prioriser les mises à jour sans casser la production ?
Pourquoi le SMS n’est plus une double authentification sécurisée face au SIM Swapping ?
Gestion des accès logiques : comment fermer la porte aux anciens salariés en 1 clic ?
Comment piloter une roadmap R&D ambitieuse sans exploser la dette technique ?
Sécuriser votre CIR : les 5 justificatifs techniques que l’administration exige lors d’un contrôle
Articles similaires
Comment l’analyse forensic peut sauver votre responsabilité après une intrusion ?
Ransomware : payer ou ne pas payer la rançon, que dit la loi française ?
Comment un audit de sécurité peut réduire votre prime d’assurance cyber jusqu’à 20 % ?
Que faire dans les 72h si votre base de données clients est exfiltrée ?