Barracuda full logo

Une intégration réussie : donner aux nouveaux employés les moyens de gagner en assurance en matière de sécurité

Thèmes:
27 janv. 2026
|

Instaurer une culture de sensibilisation à la cybersécurité dès le premier jour

Ce qu’il faut retenir

  • Les entreprises doivent donner la priorité à la sensibilisation à la cybersécurité dès le premier jour de l’intégration pour responsabiliser les employés et renforcer leur confiance en matière de sécurité.
  • L’erreur humaine est la principale cause des violations de données : 60 % d’entre elles impliquent un facteur humain et 90 % des organisations considèrent leurs employés comme leur principal risque en matière de cybersécurité.
  • La formation à la cybersécurité doit être incluse dans le processus d’intégration standard, plutôt que d’être reportée ou traitée comme une préoccupation secondaire.
  • Le personnel non formé est plus susceptible de commettre des erreurs, comme partager des données protégées ou se faire piéger par des attaques de social engineering, ce qui souligne la nécessité d’une formation précoce et complète en matière de sécurité.

Les humains restent la principale cause de violations de données. Selon le rapport 2025 de Verizon sur les enquêtes relatives aux violations de données, 60 % des violations de données signalées par les entreprises impliquaient un facteur humain. Comme l’indique un récent sondage de Gartner, le danger vient de l’intérieur : 90 % des personnes interrogées ont déclaré que les employés représentaient le plus grand risque de cybersécurité pour leur organisation.

Les cadres dirigeants tels que les DSI, les RSSI et les responsables de la sécurité étant désormais chargés, paradoxalement, de soutenir l’autonomie des employés tout en réduisant le risque total, une intégration efficace en matière de cybersécurité devient un enjeu critique. Voici comment les entreprises peuvent assurer la sécurité des données tout en aidant leurs employés à développer leurs compétences en matière de cybersécurité.

Intégration en matière de cybersécurité : les points à aborder

L’intégration des employés est principalement axée sur leur rôle : le personnel reçoit les ressources et la formation dont il a besoin pour bien exercer ses nouvelles fonctions. Certains éléments sont toutefois transversaux. Ainsi, tous les membres du personnel reçoivent des informations sur les avantages sociaux, les salaires, le pointage et les procédures opérationnelles quotidiennes.

La cybersécurité relève de cette catégorie générale, mais elle est souvent perçue comme un concept que le personnel « assimilera » au fil du temps ou qui sera abordé plus tard, lors d’une éventuelle formation annuelle de sensibilisation à la sécurité. Cette approche entraîne le problème mentionné précédemment : même avec les meilleures intentions, les employés non formés peuvent partager des données protégées par erreur ou tomber dans le piège d’un scams de social engineering

Pour réduire ces risques, la formation à la cybersécurité doit faire partie l’intégration. Si les spécificités diffèrent d’une société à l’autre, on retrouve quatre éléments récurrents :

Attentes en matière de mot de passe

Malgré l’adoption de l’authentification multifacteur (MFA), les mots de passe restent le principal point d’accès pour de nombreux comptes d’employés. Toutefois, ces mêmes mots de passe sont une source potentielle de failles de sécurité. À noter qu’en 2025, les deux mots de passe les plus courants étaient « 123456 » et « admin ».

En conséquence, il est important de se pencher sur les attentes en matière de mots de passe : le nombre de caractères, le nombre de symboles non alphabétiques ou de chiffres et la fréquence à laquelle les mots de passe doivent être modifiés. Idéalement, les entreprises devraient utiliser des logiciels de protection qui imposent, plutôt que de simplement suggérer, des changements de mots de passe réguliers, ou exiger que les employés utilisent un gestionnaire de mots de passe.

Échanges par email

Vient ensuite la messagerie électronique. Le social engineering et les tentatives de phishing restent monnaie courante et constituent souvent le premier point de compromission pour les acteurs malveillants. L’intégration devrait inclure une formation pratique qui permet d’identifier les éventuels signaux d’alerte, puis de donner aux employés la possibilité d’examiner des exemples et d’y réagir en temps réel.

Considérations relatives aux appareils mobiles

De nombreuses organisations attendent désormais de leurs employés qu’ils apportent leur propre appareil mobile ou qu’ils utilisent la technologie fournie par l’entreprise pour communiquer. Dans les deux cas, l’intégration devrait comprendre une discussion sur les logiciels de gestion de terminaux mobiles (MDM) déployés par l’entreprise pour assurer le suivi et la sécurité des appareils. Les équipes d’intégration devraient également fournir une liste d’applications approuvées qui sont autorisées sur les réseaux de l’entreprise. 

Communications d’incident

Il est également important d’aborder la question du signalement des incidents. Il faut savoir qu’au cours des 12 derniers mois, 57 % des entreprises ont été victimes d’une attaque par ransomware qui a abouti. Un signalement précoce peut aider à minimiser l’impact de ces attaques. Par conséquent, les nouveaux membres du personnel doivent être formés pour savoir quoi signaler, à quel moment le faire et auprès de qui effectuer ce signalement.

Les écueils à éviter lors de la formation en cybersécurité

Les violations de données coûtent cher : 4,4 millions de dollars en moyenne, selon le rapport 2025 d’IBM sur le coût des violations de données. Par conséquent, il est tentant pour les entreprises de miser gros sur la formation en cybersécurité dans l’espoir d’éviter un incident extrêmement coûteux causé par un employé.

Le problème ? Cela peut produire l’effet opposé à celui recherché. Voici quelques-uns des écueils les plus courants en matière de formation à la cybersécurité.

1. Des directives excessivement complexes

De manière générale, les employés ne sont pas des experts en informatique. Les directives destinées au personnel technique expérimenté peuvent nuire aux efforts de formation, car elles supposent des connaissances spécialisées et laissent les nouvelles recrues dans le flou. 

2. Des attentes peu claires

Les politiques de sécurité ne sont efficaces que si elles s’accompagnent d’attentes claires : si l’événement « X » se produit, prenez la mesure « Y ». Si vous faites le choix « A », la conséquence sera « B ». Sans ces attentes, les employés ne savent pas si les politiques sont des règles strictes ou simplement des suggestions de sécurité, ce qui ouvre la voie à une compromission potentielle.

3. Aucune option pour poser des questions

Quelle que soit la qualité de votre formation, le personnel aura toujours des questions. Celles-ci surviennent souvent après coup, par exemple lorsque les employés s’installent pour commencer leur première journée. Si les membres du personnel ne disposent d’aucune option pour obtenir des renseignements, c’est-à-dire aucun contact clair pour poser des questions, ils peuvent commettre des erreurs de sécurité par inadvertance.

Quatre étapes pour mettre le personnel à niveau

On ne règle pas la question de la cybersécurité une fois pour toutes. Il s’agit d’un processus itératif qui évolue en même temps que les employés au fur et à mesure qu’ils acquièrent de l’expérience dans leurs fonctions. Pour mettre le personnel à niveau et l’aider à rester sur la bonne voie, commencez par ces quatre étapes.

Étape 1 : Abordez les enjeux majeurs

Traitez les principales menaces dès le départ. Qu’il s’agisse de ransomwares, de phishing ou d’attaques par force brute, concentrez-vous sur les failles de sécurité qui peuvent engendrer d’importants préjudices financiers et opérationnels. Insistez sur les risques et donnez des instructions claires pour éviter les expositions accidentelles.

Étape 2 : reliez les actions aux résultats

Ensuite, établissez un lien entre les actions possibles et les résultats directs. Par exemple, si les politiques de sécurité stipulent que le partage non autorisé de données peut entraîner une formation supplémentaire après la première infraction et des mesures disciplinaires en cas de récidive, il convient de le préciser.

Étape 3 : prévoyez du temps pour les questions-réponses

Évitez de traiter la formation à la sécurité dans l’urgence pour ensuite laisser les employés repartir à leurs tâches. Prenez plutôt le temps de répondre à leurs questions. En fonction de leur degré de familiarité avec les systèmes et les processus de sécurité de l’entreprise, les membres du personnel peuvent avoir besoin d’une révision des politiques de base ou avoir des questions plus approfondies. Répondre à ces questions réduit les risques de compromission accidentelle.

Étape 4 : ajustez les autorisations d’accès en fonction du poste de l’employé

Cette étape d’intégration incombe aux cadres dirigeants et aux équipes informatiques. L’accès aux ressources de l’entreprise devrait toujours être limité en fonction du rôle de l’employé. Les solutions de gestion des identités et des accès (IAM) peuvent contribuer à rationaliser la gestion et à repérer les risques éventuels.

Cap sur la sécurité : l’importance d’une intégration efficace en matière de cybersécurité

L’intégration basée sur les rôles aide les nouveaux employés à exceller dans leurs fonctions. L’intégration en cybersécurité, quant à elle, réduit le risque que représentent les nouvelles recrues pour les données, les réseaux et les opérations de l’entreprise.

La meilleure approche ? Aidez les employés à gagner en assurance en leur offrant une formation complète qui soit à leur portée, qui explique clairement les causes et les conséquences, qui prévoit du temps pour les questions et qui propose un processus clair pour les demandes d’information et le signalement d’incidents.

Combattez les menaces grâce à une formation de sensibilisation à la sécurité
Billets associés :
Qu’est-ce que la gravité des données et pourquoi est-ce important ?
Qu’est-ce que la gravité des données et pourquoi est-ce important ?
 Email Threat Radar – Janvier 2026
Email Threat Radar – Janvier 2026
 Commencez l’année en beauté : 10 questions essentielles que toute équipe informatique devrait se poser
Commencez l’année en beauté : 10 questions essentielles que toute équipe informatique devrait se poser
 Mois de la sensibilisation à la cybersécurité : maintenez vos logiciels à jour
Mois de la sensibilisation à la cybersécurité : maintenez vos logiciels à jour
Rechercher dans le blog

Rapport 2025 sur les violations de la sécurité des e-mails

Principales conclusions concernant l’expérience et l’impact des failles de sécurité des e-mails sur les organisations du monde entier

Recevez le rapport d'enquête

S’abonner au blog de Barracuda.

Inscrivez-vous pour recevoir des informations sur les menaces, des commentaires sur le secteur et bien plus encore.

Rapport d’informations de 2025 sur les clients des fournisseurs de services managés 

Panorama mondial sur les besoins et attentes des organisations vis-à-vis de leurs fournissuers de services managés en cybersécurité

Recevez le rapport d'enquête

Abonnez-vous pour recevoir les nouvelles à connaître sur les menaces, des commentaires sur notre domaine d’activité et bien plus encore.

Recevez directement dans votre boîte de réception toutes les dernières nouvelles, avec nos actualités sur les recherches et nos analyses.