Conseils

Cybersécurité : 5 missions pour aider les collaborateurs à protéger l’entreprise

La donnée est partout. Elle circule dans les mails, s’empile dans les bases de données, s’imprime encore sur du papier. Et depuis quelques années, elle est devenue le carburant stratégique des entreprises, leur « nouveau pétrole ». Mais ce pétrole est inflammable : les cyberattaques se multiplient, les fuites aussi, et la réglementation impose désormais un haut niveau de vigilance.
4 min
12 septembre 2025par Paulina Jonquères d'Oriola

Comment former efficacement ses équipes à la sécurisation des données ? Comment s’assurer que chaque collaborateur adopte les bons réflexes ? Voilà bien des défis auxquels sont confrontés les entreprises aujourd’hui. Pierre Nicoli, DSI de Zenika, et Mehdi Hannaizi, consultant en cybersécurité, nous livrent leurs conseils pour sensibiliser et former les équipes en interne.

“Je suis trop petit pour intéresser un pirate. Mais c’est faux”

Si les sujets liés à la cybersécurité montent en puissance, c’est aussi parce que la réglementation se muscle à ce propos et impose aux entreprises de monter en compétences sur le sujet. “Avant le RGPD, on bricolait avec quelques lois CNIL, mais ce n’était pas très cadré. Avec le règlement européen, on a un cadre beaucoup plus solide”, explique Pierre Nicoli.

À cela s’ajoute une menace grandissante. Les ransomwares (rançongiciels en VF), les prises d’otages de données, les attaques automatisées... Et même si Zenika n’est pas directement concernée par les réglementations sectorielles les plus strictes, l’entreprise doit rassurer ses clients. “Il y a un transfert de responsabilité. On nous évalue sur notre posture de protection”, explique-t-il.

Mehdi Hannaizi partage ce constat, mais il observe un décalage persistant chez ses clients PME. “Beaucoup me disent : je suis trop petit pour intéresser un pirate. Mais c’est faux. Les attaquants ratissent large avec des outils automatiques. Pas besoin de viser une cible stratégique. Il suffit qu’elle soit vulnérable. Or, les pirates savent que ces entreprises déploient moins de moyens”.

Mission n°1 : Savoir ce qu’est une donnée

Mais avant de parler sécurité, encore faut-il commencer par définir l’objet à protéger. “En outre, qualifier une donnée est la première étape à franchir”, insiste Pierre Nicoli. Une adresse mail ? Personnelle. Un numéro de Sécurité sociale ? Sensible. Une confession religieuse ? Interdite à collecter en France. “Tout collaborateur doit être capable de faire la différence entre une donnée anodine, personnelle ou sensible, poursuit-il. Cette cartographie mentale est indispensable pour bâtir ensuite un référentiel commun : tel fichier Excel est-il anodin, confidentiel ou critique ?

Derrière cette classification se cache aussi un principe simple, mais souvent oublié : la frugalité  ! Le meilleur conseil, c’est de ne collecter que ce dont on a réellement besoin”, rappelle le DSI. Inutile de demander le sexe d’un passager pour un billet de train simple.

Mission 2 : Établir le registre de traitement des données

Où va la donnée, combien de temps, et qui y accède ? À ce sujet, un outil reste incontournable : le registre de traitement des données. “Chaque entreprise a l’obligation de le tenir à jour. Il permet de savoir, pour chaque usage, quelles données sont collectées, où elles sont stockées, combien de temps elles sont conservées et qui peut y accéder”, précise Pierre Nicoli.

Concrètement, cela signifie qu’un simple outil de gestion de notes de frais doit être décrit dans ce registre : quelles données personnelles sont demandées (nom, adresse, RIB), si elles sont sensibles ou non, où elles sont hébergées et à quelle échéance elles sont supprimées. “Cet exercice de cartographie donne une vision claire de ce que l’entreprise possède et oblige à se poser les bonnes questions”, poursuit-il.

👉 Intégrer le risque lié à l’intelligence artificielle

L’usage croissant de l’IA générative n’est pas sans poser de nouveaux défis. “Beaucoup de salariés envoient des documents internes sur ChatGPT pour gagner du temps. Mais on n’a aucune garantie sur la confidentialité. Même anonymiser ne suffit pas toujours”, alerte Mehdi Hannaizi .

Sa recommandation ? Déployer une IA en interne, même moins puissante, mais hébergée localement. “C’est souvent beaucoup plus simple et moins cher que ça n’en a l’air”, ajoute-t-il.

Mission 3 : Former sans terroriser

Si les failles de sécurité sont souvent humaines, nos deux intervenants conviennent qu’il ne faut jamais culpabiliser les collaborateurs. C’est le meilleur moyen d’adopter une approche collective du sujet. “Chez Zenika, jamais un salarié n’est réprimandé pour avoir signalé une alerte, même fausse. Je préfère cinquante faux positifs que rater un vrai incident parce que quelqu’un a eu peur de parler, avance Pierre Nicoli.

Dans cette logique, chaque incident devient une occasion d’apprentissage. Un ordinateur oublié dans un train ? Une fuite de données. Un fichier envoyé au mauvais destinataire ? Un rappel utile. “L’erreur humaine est la cause la plus fréquente. Mais chaque erreur a de la valeur”, souligne le DSI.

👉 Former à quel rythme ?

Pour Pierre Nicoli, c’est dans la répétition que l’information s’ancre durablement : modules en ligne intégrés à l’onboarding, campagnes de faux mails de phishing, rappels réguliers via la charte informatique...

De son côté, Mehdi Hannaizi a lui-aussi son avis sur la question : “Les demi-journées de sensibilisation, je trouve que cela manque d’efficacité. Ceux qui avaient compris continuent de comprendre, ceux qui n’avaient pas compris décrochent. Le plus difficile, c’est d’accrocher ceux qui ne se sentent pas concernés”.

Son credo : des micro-sessions ultra-concrètes, et adaptées à chaque niveau. “Par exemple, on envoie un faux mail crédible, les salariés tombent dans le panneau, puis on leur montre immédiatement ce qui aurait dû les alerter. C’est plus réaliste d’une campagne de faux-phishing qui n’arriverait jamais dans la vraie vie”.

Mission 4 : Écouter les résistances

Au-delà du format et de la fréquence, nos deux interlocuteurs s’accordent sur un point : si la sécurité complique trop le quotidien, elle sera contournée. “Quand on impose des règles trop rigides, les gens trouvent des astuces pour passer outre, observe Mehdi Hannaizi.

Il prend l’exemple des dépôts de fichiers avec permissions par groupe. “Au début, ça crispe, parce que chacun avait l’habitude d’aller piocher où il voulait. Si on ne les écoute pas, ils trouvent des méthodes de contournement”. La solution ? Introduire la sécurité de manière progressive, expliquer les bénéfices, simplifier les outils et faire beaucoup d’allers-retours avec les équipes.

Et puis, pour réussir la sensibilisation, les collaborateurs ne doivent pas être bombardés d’informations. Il faut aller à l’essentiel, surtout pour les publics les plus récalcitrants. “La sécurité repose d’abord sur le bon sens. Ne stockez pas plus que nécessaire. Et surtout, utilisez les outils fournis par l’entreprise. Dès qu’on passe par une clé USB personnelle ou une messagerie privée, on perd le contrôle”, relève Pierre Nicoli.

👉 Le rôle clé des managers

La sécurité ne peut pas venir seulement d’en haut. “Il faut que la direction montre l’exemple, mais aussi qu’il y ait des référents à tous les étages”, insiste Mehdi Hannaizi. Pierre Nicoli acquiesce : “La sécurité est une responsabilité collective. Sans sensibilisation humaine, il n’y a pas de sécurité, peu importe la sophistication des outils”.

Former, un coût… ou un investissement ?

Reste enfin la question budgétaire. Former, sensibiliser, déployer des outils : cela représente un investissement non négligeable. Mais, comme le rappelle Mehdi Hannaizi, ne pas le faire coûte infiniment plus cher. “Il y a ce qui se voit et ce qui ne se voit pas. La facture d’une sensibilisation est visible. Le coût d’une cyberattaque est invisible… jusqu’au jour où il explose.

De plus, les pertes financières directes ne sont que la partie émergée de l’iceberg. Derrière, il y a la réputation, la confiance des clients, l’avance technologique. “Reconstruire après une attaque, c’est repartir de zéro”, prévient le consultant.

Et puis, comme le rappelle Pierre Nicoli, il existe toute une documentation gratuite accessible (CNIL et ANSSI) pour sensibiliser à moindre coût. “Ce qui est important, c’est que les entreprises respectent les standards de leur marché. C’est ce qu’on appelle le principe de “l’état de l’art” : se protéger de façon proportionnelle aux enjeux de l’entreprise”, pointe-t-il.

La donnée est précieuse, fragile et convoitée. La protéger n’est pas l’affaire d’un service informatique isolé, mais celle de toute l’entreprise. Et pour que cette culture infuse, encore faut-il que chaque collaborateur la comprenne, l’adopte et la fasse vivre au quotidien.

Paulina Jonquères d'Oriola

Journaliste

Journaliste et experte Future of work (ça claque non ?), je mitonne des articles pour la crème de la crème des médias [...]

La newsletter qui va vous faire aimer parler boulot.

Chaque semaine dans votre boite mail.

Pourquoi ces informations ? Swile traite ces informations afin de vous envoyer sa newsletter. Vous pouvez vous désabonner à tout moment via le lien présent dans chacun de nos emails. Pour en savoir plus sur la gestion de vos données personnelles et pour exercer vos droits, vous pouvez consulter notre politique de confidentialité