Aller au contenu principal
TPE/PMESensibilisationFacteur humainFormation

7 négligences humaines derrière 90 % des incidents cyber en TPE

Pourquoi la technologie seule ne protège pas votre entreprise. Les 7 comportements humains les plus fréquents qui ouvrent la porte aux cyberattaques, et comment les corriger sans budget important.

Par Jean-Christophe Bork
Personne devant un écran d'ordinateur, illustration du facteur humain en cybersécurité

Vous avez un antivirus, un pare-feu, peut-être même une solution de sauvegarde. Pourtant, votre entreprise reste vulnérable — pas à cause d’une faille technique sophistiquée, mais à cause de comportements humains parfaitement ordinaires. L’ANSSI et Cybermalveillance.gouv.fr le répètent : le facteur humain est impliqué dans la grande majorité des incidents de sécurité. Voici les sept négligences les plus courantes et comment les adresser.

Pourquoi les outils ne suffisent pas

L’idée que la cybersécurité est avant tout une affaire de technologie est persistante. Investissez dans le bon firewall, le bon antivirus, et vous serez protégés. C’est faux.

La réalité est plus nuancée : les outils réduisent la surface d’attaque technique, mais ils ne peuvent pas se substituer à un comportement humain. Un employé qui clique sur un lien de phishing compromet un système informatique peu importe la qualité de l’antivirus installé sur son poste.

La bonne nouvelle : les comportements s’apprennent. Quelques heures de sensibilisation, bien faites, permettent d’ancrer des réflexes qui durent.

1. Cliquer sans vérifier — le phishing

Le phishing (hameçonnage) est la technique d’attaque la plus répandue. Un mail qui semble provenir de votre banque, de La Poste, d’un collègue ou d’un fournisseur vous invite à cliquer sur un lien ou à ouvrir une pièce jointe. La page ou le fichier est malveillant.

Ce qui se passe en pratique : sous la pression (un mail urgent demandant de “valider votre paiement” ou “confirmer votre identité”), on clique avant de vérifier. C’est humain.

Les réflexes à acquérir :

  • Vérifier l’adresse e-mail de l’expéditeur (pas seulement le nom affiché)
  • Survoler les liens avant de cliquer pour voir l’URL réelle
  • En cas de doute, contacter l’expéditeur par un autre canal
  • Ne jamais ouvrir une pièce jointe inattendue sans vérification

Pour signaler : signal-spam.fr pour les mails, le 33700 pour les SMS.

2. Réutiliser les mêmes mots de passe

“Mon mot de passe, c’est le nom de mon chien suivi de l’année de naissance de ma femme — personne ne peut deviner ça.” C’est vrai. Mais ce n’est pas le problème.

Le problème, c’est que si ce mot de passe est utilisé sur une douzaine de services différents, et que l’un de ces services est piraté (ce qui arrive constamment — les bases de données volées se revendent sur des forums criminels), l’attaquant peut l’essayer partout. C’est ce qu’on appelle le credential stuffing.

La solution : utiliser un gestionnaire de mots de passe (Bitwarden — gratuit et open source — est une excellente option). Il génère et stocke des mots de passe uniques et complexes pour chaque service. Vous n’avez à retenir qu’un seul mot de passe maître.

3. Ignorer les mises à jour

“J’ai cliqué sur ‘rappeler plus tard’ parce que j’étais au milieu d’un dossier” — qui ne l’a jamais fait ?

Les mises à jour de sécurité corrigent des vulnérabilités connues. Quand Microsoft publie un patch, cela signifie que la faille existe et qu’elle est désormais publique. Les attaquants ont généralement quelques semaines pour l’exploiter avant que la majorité des systèmes soient mis à jour — c’est la fenêtre d’opportunité qu’ils guettent.

Ce qu’il faut faire : activer les mises à jour automatiques. Sur Windows, c’est dans Paramètres > Windows Update. Les redémarrages sont certes contraignants, mais une faille non patchée est bien plus coûteuse.

4. Utiliser le Wi-Fi public sans protection

Dans un train, dans un café, dans la salle d’attente d’un client. Le Wi-Fi gratuit est pratique. Il peut aussi exposer vos communications à quiconque partage ce réseau et dispose des bons outils.

Les données en transit sur un réseau Wi-Fi non sécurisé peuvent être interceptées. Vos mots de passe, vos échanges de mails, vos connexions aux outils professionnels.

Les précautions : utiliser un VPN (réseau privé virtuel) sur les réseaux publics. Beaucoup de solutions professionnelles incluent un VPN. À défaut, limiter strictement les actions sensibles (connexion aux comptes bancaires, aux outils RH ou comptables) aux réseaux de confiance.

5. Négliger la séparation usage pro / usage perso

L’ordinateur professionnel pour les réseaux sociaux personnels. La messagerie personnelle Gmail pour envoyer des fichiers clients “parce que c’est plus simple”. Le téléphone perso connecté au serveur de fichiers de l’entreprise.

Ces pratiques mélangent des environnements avec des niveaux de sécurité très différents. Si le compte Gmail personnel est compromis, les fichiers clients qui y ont été envoyés le sont aussi.

Le principe : séparer strictement les usages professionnels et personnels. Sur les appareils de l’entreprise, une politique claire sur les applications autorisées.

6. Ne pas signaler les incidents par peur des conséquences

Un employé clique sur un lien suspect. Il s’en rend compte. Et il n’en dit rien par peur d’être réprimandé.

C’est l’une des négligences les plus coûteuses. Plus une réaction à incident est rapide, plus le dommage est limité. Un poste isolé dans les premières minutes après un clic suspect peut suffire à éviter la propagation d’un rançongiciel à tout le réseau.

Ce qu’une organisation doit mettre en place : une culture où les signalements sont encouragés et non punis. Un canal de signalement clair (“si tu as un doute, appelle ce numéro / envoie un mail à cette adresse”). Des réponses rapides qui montrent que les signalements sont pris au sérieux.

7. Accorder trop de confiance à l’urgence

L’ingénierie sociale exploite les émotions, en particulier l’urgence et l’autorité. “Je suis votre nouveau prestataire informatique, j’ai besoin de votre accès VPN pour corriger un problème urgent.” “Je suis le directeur, je suis en déplacement, j’ai besoin que tu vires d’urgence cette somme sur ce compte.”

Ces scénarios semblent grossiers sur le papier. Dans la réalité, sous pression, avec une demande qui semble légitime et urgente, les gens les exécutent.

Le réflexe à ancrer : toute demande urgente qui sort du cadre normal mérite une vérification par un autre canal. Rappeler le numéro habituel du prestataire (pas celui indiqué dans le mail), appeler le directeur sur son téléphone habituel. La vérification prend deux minutes. Une arnaque au président peut coûter plusieurs dizaines de milliers d’euros.

Comment corriger ces comportements

La sensibilisation n’est pas un événement ponctuel. Un seul séminaire ne suffit pas. Ce qui fonctionne :

  • Sessions courtes et régulières plutôt qu’une grande journée annuelle
  • Exemples concrets tirés de l’actualité (les cyberattaques sur les collectivités et les PME font régulièrement l’actualité)
  • Simulations de phishing pour tester les réflexes sans jugement et mesurer les progrès
  • Procédures claires : que faire quand on a un doute, qui contacter

Une demi-journée de sensibilisation bien construite, adaptée à votre public et à votre secteur d’activité, permet de couvrir les points essentiels et d’ancrer les réflexes de base.

Vous souhaitez organiser une session de sensibilisation pour vos équipes ou faire le point sur votre exposition au risque humain ? Contactez-moi pour un premier échange.

Sources : ANSSI, Panorama de la cybermenace 2023 ; Cybermalveillance.gouv.fr, Rapport d’activité 2023 ; CNIL, guides pratiques RGPD.