Cybersécurité : pourquoi l’erreur humaine est un risque métier à part entière

Martin Kraemer, expert en cybersécurité chez KnowBe4, publie une tribune dans laquelle il remet en question une idée reçue tenace : l’erreur humaine serait un accident isolé. En réalité, c’est un risque structurel et le traiter comme tel est une question de maturité. Voici ce que l’on en retient.

Dans la grande majorité des incidents cyber, la défaillance ne vient ni d’une faille technologique ni d’un défaut de contrôle. Elle vient d’une action humaine, parfaitement compréhensible dans son contexte. Non pas parce que les collaborateurs sont négligents mais parce qu’ils évoluent sous pression, dans des environnements complexes, face à des attaques qui ciblent désormais leurs réflexes cognitifs plutôt que les systèmes eux-mêmes.

L’ingénierie sociale exploite des mécanismes universels : urgence, autorité, confiance, fatigue. Et avec l’essor de l’IA, ces attaques deviennent plus crédibles, plus ciblées et plus difficiles à détecter même pour des utilisateurs sensibilisés. Exiger une vigilance parfaite en permanence n’est donc ni réaliste, ni responsable.

Pendant longtemps, la réponse organisationnelle au facteur humain s’est résumée à des formations annuelles de sensibilisation. Cette approche a pourtant montré ses limites. Des modules génériques, déconnectés des rôles professionnels, rarement évalués au-delà du taux d’achèvement ce n’est pas ainsi que les comportements changent durablement.

Le problème n’est pas que les collaborateurs ignorent quoi faire. C’est que, dans une situation réelle, sous stress et face à un message crédible, les connaissances théoriques ne suffisent pas à guider le bon comportement. C’est précisément là que se crée une zone aveugle majeure dans la posture de sécurité des organisations.

Gérer le facteur humain en cybersécurité ne consiste pas à « mieux former ». Il s’agit de changer de paradigme. Concrètement, cela implique d’identifier les situations à risque, de comprendre les comportements, de mesurer leur évolution et d’agir de manière ciblée et continue.

Tous les collaborateurs ne sont par ailleurs pas exposés de la même manière. Certains contextes génèrent davantage d’erreurs que d’autres. La sécurité doit donc s’adapter aux usages réels et non l’inverse. Cela suppose également de disposer d’indicateurs exploitables pour piloter ce risque dans le temps et rendre compte de son évolution à la direction.

Un autre enseignement clé concerne la culture de sécurité ce que font les collaborateurs lorsqu’ils pensent que personne ne les observe. Lorsqu’elle repose sur la sanction, les incidents sont sous-déclarés, les signaux faibles ignorés et les erreurs se répètent.

À l’inverse, une culture de sécurité mature repose sur la clarté des règles, la simplicité des mécanismes de signalement et un climat de confiance. Lorsque les collaborateurs s’identifient à la mission cybersécurité de leur organisation, ils deviennent des capteurs de risque et non une surface d’attaque passive. Le rôle du RSSI pas de surveiller, mais rendre les comportements sécurisés possibles et compatibles avec les contraintes opérationnelles.

La tribune de Martin Kraemer pose un constat que beaucoup d’organisations tardent encore à intégrer : l’erreur humaine arrivera. Le vrai enjeu n’est donc pas uniquement de la prévenir c’est de la détecter rapidement. C’est précisément cette capacité d’apprentissage continu qui distingue une organisation conforme d’une organisation résiliente. Traiter le facteur humain comme un risque mesurable et pilotable n’est pas un aveu de faiblesse c’est un signe de maturité.