Spécial - Create a Company Culture That Takes Cybersecurity Seriously - Parce que... c'est l'épisode 0x686!
Description
Parce que… c’est l’épisode 0x686!
Shameless plug
- 25 et 26 février 2026 - SéQCure 2026
- 31 mars au 2 avril 2026 - Forum INCYBER - Europe 2026
- 14 au 17 avril 2026 - Botconf 2026
- 28 et 29 avril 2026 - Cybereco Cyberconférence 2026
- 9 au 17 mai 2026 - NorthSec 2026
- 3 au 5 juin 2026 - SSTIC 2026
- 19 septembre 2026 - Bsides Montréal
Description
Introduction
Ce podcast entre Benoît Gagnon et son hôte explore un sujet fondamental mais souvent négligé : la culture de sécurité en entreprise. S’appuyant sur un article paru dans le Harvard Business Review en juin 2025, la discussion met en lumière pourquoi les initiatives de cybersécurité échouent fréquemment, non pas par manque d’outils, mais par absence d’une culture organisationnelle appropriée.
Les trois piliers d’une culture de sécurité efficace
L’article du HBR identifie trois axes essentiels pour bâtir une culture de sécurité robuste : Connect, Reduce Uncertainty et Inspire Action. Ces trois dimensions forment le socle sur lequel repose toute transformation culturelle en matière de cybersécurité.
1. Connect : La communication comme fondement
La communication représente le premier et peut-être le plus crucial des défis. Les professionnels de la cybersécurité souffrent souvent d’un vocabulaire hermétique qui crée une barrière avec le reste de l’organisation. Benoît souligne que la communication doit être adaptée au niveau de l’interlocuteur - on ne parle pas de la même manière à un exécutif qu’à quelqu’un “dans le shop”.
Plus problématique encore, la culture du “shaming” domine trop souvent en cybersécurité. Plutôt que d’adopter une approche bienveillante et pédagogique, les équipes de sécurité ont tendance à pointer du doigt les erreurs, créant ainsi une atmosphère de méfiance plutôt que d’adhésion. L’article encourage plutôt à construire la réciprocité - reconnaître qu’on a besoin des autres départements et leur donner les moyens d’agir (l’empowerment).
La communication doit également être bidirectionnelle et adaptée horizontalement. Parler aux RH, aux opérations, au département TI ou au business requiert des approches différentes. La sécurité n’est pas là pour elle-même, mais au service de l’entreprise et de ses actifs. Cette perspective change radicalement la dynamique : il ne s’agit plus d’imposer des règles, mais de protéger ce qui compte pour l’organisation.
2. Reduce Uncertainty : Clarifier les rôles et responsabilités
L’incertitude organisationnelle constitue un obstacle majeur à l’adoption d’une culture de sécurité. Dans de nombreuses entreprises, les responsabilités en matière de cybersécurité restent floues. Qui fait quoi ? Quel est le périmètre de chacun ? Ces questions sans réponse créent un vide que personne ne cherche à combler.
Benoît illustre ce point avec son expérience chez Ubisoft, où des ambassadeurs de sécurité étaient intégrés directement aux équipes projet. Ces personnes participaient aux réunions, offraient des conseils proactifs et, surtout, devenaient le “go-to” pour toute question de sécurité. Cette présence humaine et constante créait des relations et des réflexes, transformant la sécurité d’une contrainte abstraite en un soutien concret.
La notion de “besoin de comprendre” (need to know) versus l’accès universel dans le monde des affaires illustre également ce défi. En sécurité gouvernementale, les niveaux d’accès sont strictement contrôlés ; dans le secteur privé, cette discipline est souvent absente. Clarifier qui a accès à quoi et pourquoi fait partie intégrante de la réduction d’incertitude.
Un autre aspect crucial : lorsqu’on assigne de nouvelles responsabilités de sécurité aux employés, il faut ajuster leurs charges de travail existantes. On ne peut pas simplement ajouter des tâches de sécurité et s’attendre à ce que la productivité reste constante. Cette reconnaissance réaliste des coûts de la sécurité permet d’éviter la résistance et le burnout.
3. Inspire Action : Le leadership authentique
Le leadership représente le troisième pilier, et sans doute le plus puissant. Un leader doit démontrer par l’exemple qu’il cherche constamment à s’améliorer. Si le gestionnaire ne fait pas l’effort de se perfectionner, comment peut-il demander aux autres de changer leurs habitudes ?
L’authenticité s’avère cruciale. Les employés possèdent un détecteur de “corporate bullshit” très sensible. Ils savent instantanément si un message vient du cœur ou s’il s’agit simplement d’une directive descendante sans conviction. Un leader qui croit véritablement en l’importance de la sécurité et qui sait articuler le “pourquoi” - pas seulement le “quoi” - obtiendra infiniment plus d’adhésion.
Le podcast fait référence à la célèbre distinction de Daniel Kahneman entre le Système 1 (pensée rapide, automatique) et le Système 2 (pensée lente, délibérée). La sécurité exige souvent qu’on active le Système 2, ce qui demande de l’énergie cognitive. L’objectif d’une bonne culture de sécurité est de transformer progressivement ces comportements du Système 2 vers le Système 1, pour qu’ils deviennent des réflexes automatiques.
Les leçons de l’expérience
L’exemple de Microsoft illustre parfaitement ces principes. À la fin des années 1990, Microsoft était la risée de l’industrie pour sa sécurité médiocre. Un virage culturel majeur a transformé l’entreprise en modèle à suivre dans les années 2000. Cependant, avec le temps, cette culture s’est effritée lorsque la sécurité a perdu son statut de priorité business. Les incidents récents ont forcé Microsoft à revigorer cette culture, démontrant qu’une culture de sécurité n’est jamais acquise définitivement - elle demande un entretien constant.
Les pièges à éviter
Plusieurs obstacles récurrents menacent l’établissement d’une culture de sécurité :
Le manque de sens : Demander aux gens d’agir sans expliquer le pourquoi génère de la résistance. L’analogie du creusage de trou résume bien le problème : sans comprendre qu’on plante un arbre, on creuse n’importe où.
La tour d’ivoire : Les décisions prises “en haut” sans consultation des personnes sur le terrain mènent à des processus déconnectés de la réalité opérationnelle.
L’absence de rétroaction : Lorsque les employés soulèvent des préoccupations et ne reçoivent aucun feedback, ils cessent rapidement de contribuer.
La stagnation managériale : Les gestionnaires qui n’ont pas ouvert un livre depuis leur MBA de 1995 et qui ignorent les nouvelles approches de management créent un handicap organisationnel majeur.
Conclusion
La culture de sécurité en entreprise ne se décrète pas, elle se construit patiemment, avec persistance. Comme l’exprime bien l’adage cité dans le podcast : “Les bœufs sont là, mais la terre est patiente.” Il faut accepter que les changements culturels prennent du temps et éviter de changer constamment de stratégie, ce qui ne ferait qu’étourdir les employés.
Au final, tout repose sur une vérité simple : une organisation, ce sont des humains réunis pour un projet commun. La technologie, les processus et les outils ont leur place, mais sans l’adhésion humaine, sans la compréhension et sans un leadership authentique, aucune initiative de sécurité ne peut véritablement réussir. La culture de sécurité n’est pas un projet IT - c’est un projet humain.
Notes
- À venir
Collaborateurs
Crédits
- Montage par Intrasecure inc
- Locaux virtuels par Riverside.fm
United States
