2LRN4 security awareness platform
← Retour à la base de connaissances

Le paradoxe de la participation

Pourquoi la formation obligatoire en sécurité et protection des données accroît la participation sans changer le comportement, et l'approche qui marche vraiment.

Récemment mis à jour

De l'analyse à l'action

Découvrez comment transformer ce sujet en un programme de sensibilisation concret avec formation, simulations de phishing et reporting management clair.

Réserver une démo Voir la page solution principale
Alain Rees
Fondateur & spécialiste de la sensibilisation à la sécurité · 2LRN4

En bref

  1. Une obligation augmente de façon fiable le nombre de collaborateurs qui terminent la formation, mais le taux d'achèvement mesure une activité et non un résultat. Le gain que les organisations célèbrent, un achèvement de près de cent pour cent, n'est pas le gain qu'elles recherchent, à savoir un comportement plus sûr.
  2. Le volontariat n'est pas pour autant une solution de rechange. Sans obligation, la participation reste si faible qu'il n'y a presque rien à changer. L'opposition entre devoir et vouloir est donc une fausse opposition : l'obligation procure la portée indispensable, mais n'accomplit pas le travail de fond.
  3. Que la participation imposée se traduise ou non en comportement dépend du type de motivation que l'obligation suscite. Ce type, c'est la conception de la formation qui le détermine, et non l'obligation elle-même. Une obligation qui soutient l'autonomie, la compétence et le lien social du collaborateur le pousse vers un choix propre, tandis qu'une obligation purement contrôlante favorise la résistance, la fatigue et la mise à distance des règles par le raisonnement.

Méthodologie

Type
Revue de littérature fondée sur des travaux évalués par les pairs et des standards faisant autorité.
Sources
Une méta-analyse de 69 études, des études de terrain à grande échelle, ainsi que des travaux empiriques issus des sciences du comportement et de la sécurité de l'information, parmi lesquels la théorie de l'autodétermination, la théorie de la réactance, et la recherche sur la fatigue de sécurité et la neutralisation.
Date de référence
Juin 2026.

01 · ConstatLa participation augmente, le résultat ne suit pas

Une obligation est un moyen efficace de mettre les chiffres au beau fixe. Qui rend obligatoire le module annuel en ligne et l'assortit d'un rappel et d'une date limite voit presque toujours le taux d'achèvement grimper vers cent pour cent. Le malaise tient seulement à ce que ce taux d'achèvement mesure autre chose que la finalité du programme. L'achèvement montre que la formation a eu lieu, non que le comportement du collaborateur a changé. C'est une mesure d'activité, alors que le programme vise un résultat.

Cette distinction n'est pas un jeu de mots, car les chiffres la confirment. La méta-analyse de 69 études menée par l'université de Leyde montre que la formation a un effet important sur les connaissances et l'attitude des collaborateurs, mais que l'effet moyen sur le comportement réel est faible (Prümmer, van Steen et van den Berg, 2024). Un collaborateur peut donc parcourir le module en entier, réussir le quiz et savoir manifestement davantage, sans que son comportement change au moment décisif. L'achèvement est réel, le changement de comportement reste absent. C'est précisément dans cet écart que tombe l'organisation qui rapporte cent pour cent d'achèvement et en déduit que le programme fonctionne.

Cet écart entre savoir et faire n'est pas une particularité de la formation de sensibilisation à la sécurité, mais un fait bien connu des sciences du comportement. Le Behaviour Change Wheel montre clairement que la connaissance est une condition du comportement, mais qu'elle ne suffit pas à elle seule. Outre la capacité, il faut aussi la motivation à bien agir et l'occasion de le faire (Michie, van Stralen et West, 2011). Une obligation touche surtout à la première condition, la transmission des connaissances, et laisse la motivation et l'occasion en grande partie intactes. Voilà qui explique d'emblée pourquoi la participation peut augmenter alors que le résultat reste à l'arrêt.

Effet important sur les connaissances, effet faible sur le comportement

Taille d'effet (d de Cohen) de la formation de sensibilisation à la sécurité

Figure 1 Un effet important sur les connaissances et l'attitude face à un effet moyen faible sur le comportement. Le taux d'achèvement s'approche de la colonne de gauche, tandis que le programme vise la colonne de droite. Source : Prümmer, van Steen et van den Berg (2024). Le d de Cohen est une mesure standardisée de la force d'un effet, où environ 0,2 est faible, 0,5 moyen et 0,8 important.

02 · ConstatPourquoi le volontariat n'est pas une issue

La réaction qui vient à l'esprit face à ce qui précède consiste à abandonner la contrainte et à miser sur le volontariat, dans l'idée que celui qui participe de son plein gré apprend aussi avec plus de motivation. Le problème est que ce raisonnement bute sur un fait simple : sans obligation, presque personne ne participe. Une vaste étude de terrain a montré qu'une formation volontaire et non obligatoire touchait trop peu de collaborateurs pour produire un effet mesurable (Lain, Kostiainen et Čapkun, 2022). Ce que personne ne fait ne peut changer le comportement de personne.

L'opposition entre devoir et vouloir apparaît dès lors sous un autre jour. C'est une fausse opposition. Le volontariat touche trop peu de personnes pour pouvoir faire bouger quoi que ce soit, et une obligation procure justement la portée nécessaire pour pouvoir, tout simplement, travailler au changement de comportement. En ce sens, l'obligation n'est pas un mal à éviter, mais un socle dont on a besoin. Le véritable problème ne tient pas à la question de savoir si l'on impose ou non, mais à la supposition tacite qui se cache souvent derrière, à savoir que l'obligation accomplit le travail. Dès que la participation est imposée, l'organisation considère la mission comme accomplie, alors que le travail de fond ne fait alors que commencer.

La bonne question n'est donc pas de savoir si la formation doit être obligatoire, mais ce qu'une obligation produit sur la motivation du collaborateur, et à quelles conditions la participation imposée se traduit en un comportement différent.

03 · ExplicationCe qu'une obligation produit sur la motivation

Pour comprendre pourquoi telle formation obligatoire laisse une empreinte durable et telle autre non, la théorie de l'autodétermination (self-determination theory) de Deci et Ryan offre un cadre utile (Ryan et Deci, 2000). Cette théorie ne distingue pas la motivation simplement en beaucoup ou en peu, mais en types. D'un côté se trouve le comportement entièrement imposé de l'extérieur, par exemple parce qu'une sanction suivrait sinon. De l'autre se trouve le comportement que le collaborateur vit comme son propre choix, parce qu'il s'accorde à ce qui compte pour lui. Entre les deux s'étend une transition graduelle que la théorie nomme intériorisation : le processus par lequel ce qui était d'abord imposé finit lentement par devenir l'affaire du collaborateur lui-même.

La théorie désigne trois besoins psychologiques qui nourrissent cette intériorisation. Le premier est l'autonomie, le sentiment d'agir de son propre gré plutôt que sous la contrainte. Le deuxième est la compétence, le sentiment d'en être capable et que ses efforts mènent quelque part. Le troisième est le lien social, le sentiment de faire partie d'un ensemble plus vaste dans lequel le comportement a du sens. La recherche sur le respect des politiques de sécurité confirme que ces trois besoins influencent positivement l'intention de conformité, et que les collaborateurs suivent la politique le plus durablement lorsqu'ils la vivent comme leur propre choix (Alzahrani et Johnson, 2019).

On voit ici aussi pourquoi la contrainte est une arme à double tranchant. Une obligation peut au contraire saper l'autonomie du collaborateur, et alors se déclenche le mécanisme que la psychologie appelle réactance : une restriction perçue de sa propre liberté suscite une résistance, et cette résistance se dirige contre précisément le comportement qui a été imposé (Wall, Palvia et Lowry, 2013). Le collaborateur termine bien le module, puisqu'il le faut, mais le type de motivation qui le sous-tend demeure entièrement externe. Dès que la pression disparaît, le comportement retombe lui aussi. C'est le cœur du paradoxe : l'obligation achète la participation, mais le type de motivation qu'elle suscite détermine s'il reste quelque chose une fois le générique passé.

Le continuum de la motivation : de l'imposé au choix propre

D'après la théorie de l'autodétermination (Ryan et Deci, 2000)

Figure 2 Le continuum de la motivation, du comportement entièrement imposé au comportement que le collaborateur vit comme son propre choix. Une obligation place le collaborateur à gauche, et seule une conception qui soutient les trois besoins psychologiques le déplace vers la droite. D'après Ryan et Deci (2000).

04 · ExplicationLes effets secondaires d'une approche purement contrôlante

Lorsqu'une obligation est conçue comme un pur instrument de contrôle, c'est-à-dire comme une liste de modules à cocher avec une sanction à la clé, des effets secondaires apparaissent qui minent le programme. Le premier est la fatigue de sécurité, connue dans la littérature sous le nom de security fatigue. Des chercheurs de l'institut américain de normalisation NIST ont décrit comment les collaborateurs, accablés d'exigences de sécurité, développent un sentiment de résignation et de perte de contrôle, qui les conduit à éviter les décisions et à ignorer les conseils (Stanton, Theofanos, Prettyman et Furman, 2016). Une obligation qui exige chaque année la même chose de tout le monde nourrit précisément cette fatigue au lieu de la vigilance.

Le deuxième effet secondaire est plus subtil et se nomme neutralisation. C'est le phénomène par lequel une personne se justifie une infraction avant de la commettre, par exemple en se disant que pour cette seule fois cela ne fait pas de mal ou que la règle n'est de toute façon pas prévue pour cette situation (Sykes et Matza, 1957). Dans la sécurité de l'information, la neutralisation s'est révélée un prédicteur important de la transgression délibérée des politiques de sécurité (Moody, Siponen et Pahnila, 2018). Le lien avec la contrainte et la fatigue est direct, car la recherche montre que la probabilité d'un tel raisonnement de mise à distance augmente à mesure que le stress et l'épuisement liés à la sécurité s'intensifient (D'Arcy et Teh, 2019). Un programme qui s'appuie surtout sur la pression et la répétition n'engendre donc pas seulement de la fatigue, mais offre aussi au collaborateur la marge mentale pour contourner malgré tout les règles.

Une nuance importante s'impose toutefois ici, car les preuves concernant la contrainte et les sanctions sont mitigées et non univoques. Une partie de la recherche constate qu'une menace de sanction perçue augmente au contraire l'intention de conformité, tandis qu'une autre partie ne trouve aucun lien, voire un lien inverse. Une analyse de référence de la littérature sur la dissuasion conclut dès lors que les résultats se contredisent et dépendent fortement du contexte (D'Arcy et Herath, 2011). La bonne conclusion n'est donc pas que la contrainte est toujours contre-productive, mais que la motivation que la contrainte suscite est fragile, et qu'une conception purement contrôlante a des effets secondaires qui minent le changement de comportement visé.

Une idée fréquemment entendue mérite ici une remarque à part. L'idée que les collaborateurs se croient vaccinés après avoir terminé leur module obligatoire et, de ce fait, deviennent justement moins vigilants est séduisante et non invraisemblable, mais elle manque pour l'instant d'un fondement solide dans la recherche en sécurité. Elle s'appuie sur le phénomène psychologique plus large de la licence morale (moral licensing), qui n'est pas encore solidement démontré dans ce contexte précis. Nous la retenons donc comme hypothèse et non comme constat, et les mécanismes bien étayés de fatigue de sécurité et de neutralisation soutiennent suffisamment le raisonnement sur ce point.

05 · ApprocheConcevoir une obligation pour que la participation devienne comportement

Si l'obligation fournit le socle et que la conception fait la différence, alors la tâche se situe dans cette conception. La recherche met en évidence plusieurs choix qui aident la participation imposée à basculer en une motivation que le collaborateur vit comme son propre choix.

  1. Expliquez le pourquoi, pas seulement le quoi.Une obligation qui se borne à prescrire ce qui doit être fait ne soutient pas l'autonomie. Une explication qui fait comprendre pourquoi le comportement compte, précisément pour ce collaborateur et cette organisation, aide à intérioriser la règle externe pour en faire une conviction propre (Ryan et Deci, 2000).
  2. Donnez du choix là où c'est possible.L'obligation porte sur le fait même de la participation, mais laisse de la latitude dans le comment et le quand. Une certaine maîtrise du moment, du rythme ou de l'ordre restaure une part de l'autonomie sans que la portée soit compromise.
  3. Rendez-le pertinent selon le rôle.Un module obligatoire unique pour toute l'organisation ignore que les risques et le contexte varient d'une fonction à l'autre. Un contenu qui colle au travail quotidien renforce à la fois le sentiment de compétence et la pertinence perçue, et avec eux la motivation à appliquer ce qui a été appris.
  4. Bâtissez de la compétence plutôt que de la seule connaissance.Un entraînement court, répété et ajusté à la pratique fonctionne mieux qu'un long module annuel, parce qu'il donne le sentiment d'en être capable et maintient la matière vivante sans épuiser le collaborateur.
  5. Pilotez sur le comportement, pas sur l'achèvement.Tant que l'organisation prend le taux d'achèvement pour étalon, elle optimise le mauvais résultat. Des indicateurs qui s'approchent du comportement réel, comme le signalement de messages suspects ou le traitement correct des données, gardent en vue ce que le programme vise vraiment.

Le fil conducteur de ces choix est que l'obligation sert à faire entrer les gens, et la conception à les faire bouger. Un programme qui s'appuie seulement sur l'obligation laisse la motivation externe et donc volatile. Un programme qui soutient les trois besoins psychologiques donne à la participation imposée une chance de se muer en un comportement qui tient bon même lorsque plus personne ne regarde.

06 · ConclusionL'obligation détermine la participation, la conception détermine le changement

Le paradoxe de la participation se résume en peu de mots. Une obligation augmente de façon fiable la participation, mais la participation n'est pas le but. Le but, c'est un comportement différent, et celui-ci ne découle pas de lui-même de l'achèvement d'un module. Le volontariat n'est pas une issue, car il touche trop peu de personnes pour pouvoir changer quoi que ce soit. L'obligation détermine ainsi qui est présent dans la salle, tandis que la conception de la formation détermine si quelque chose change.

L'opposition entre devoir et vouloir est donc fausse. Il ne s'agit pas de devoir ou de vouloir, mais de devoir et de vouloir, reliés par le processus d'intériorisation. Une obligation qui soutient l'autonomie, la compétence et le lien social du collaborateur se sert de la contrainte comme d'un point de départ et non d'un point d'arrivée, et donne à la participation imposée une chance de devenir un choix propre. Une obligation qui se contente de contrôler produit de la présence, avec la fatigue et le raisonnement de contournement pour effets secondaires. Le gain ne réside pas dans un taux d'achèvement plus élevé, mais dans la question de savoir si cet achèvement se traduit en comportement, et cela n'est pas affaire d'obligation plus stricte, mais d'une meilleure conception.

Limites

  • Ce rapport est une revue de littérature qui synthétise des travaux scientifiques existants, et ne contient pas de recherche propre nouvelle.
  • Les études citées ont été menées dans des organisations et des contextes variés, de sorte que les effets peuvent différer d'un environnement à l'autre.
  • Les preuves concernant l'effet de la contrainte et des sanctions sont mitigées, et ce rapport synthétise cette dispersion au lieu de la résoudre.
  • Ce que l'on appelle l'effet de vaccination est retenu dans ce rapport comme hypothèse et non comme constat, car un fondement direct fait pour l'instant défaut dans la recherche en sécurité.

Sources

  1. Alzahrani, A., et Johnson, C. (2019). AHP-based Security Decision Making: How Intention and Intrinsic Motivation Affect Policy Compliance. International Journal of Advanced Computer Science and Applications, 10(6). dx.doi.org/10.14569/IJACSA.2019.0100601
  2. D'Arcy, J., et Herath, T. (2011). A review and analysis of deterrence theory in the IS security literature: making sense of the disparate findings. European Journal of Information Systems, 20(6), 643-658. doi.org/10.1057/ejis.2011.23
  3. D'Arcy, J., et Teh, P. L. (2019). Predicting employee information security policy compliance on a daily basis: The interplay of security-related stress, emotions, and neutralization. Information & Management, 56(7), 103151. doi.org/10.1016/j.im.2019.02.006
  4. Lain, D., Kostiainen, K., et Čapkun, S. (2022). Phishing in Organizations: Findings from a Large-Scale and Long-Term Study. IEEE Symposium on Security and Privacy, 842-859. arxiv.org/abs/2112.07498
  5. Michie, S., van Stralen, M. M., et West, R. (2011). The behaviour change wheel: a new method for characterising and designing behaviour change interventions. Implementation Science, 6:42. doi.org/10.1186/1748-5908-6-42
  6. Moody, G. D., Siponen, M., et Pahnila, S. (2018). Toward a unified model of information security policy compliance. MIS Quarterly, 42(1), 285-311. doi.org/10.25300/MISQ/2018/13853
  7. Prümmer, J., van Steen, T., et van den Berg, B. (2024). Assessing the effect of cybersecurity training on end-users: A meta-analysis. Computers & Security, 150, 104206. doi.org/10.1016/j.cose.2024.104206
  8. Ryan, R. M., et Deci, E. L. (2000). Self-determination theory and the facilitation of intrinsic motivation, social development, and well-being. American Psychologist, 55(1), 68-78. doi.org/10.1037/0003-066X.55.1.68
  9. Stanton, B., Theofanos, M. F., Prettyman, S. S., et Furman, S. (2016). Security Fatigue. IT Professional, 18(5), 26-32. doi.org/10.1109/MITP.2016.84
  10. Sykes, G. M., et Matza, D. (1957). Techniques of Neutralization: A Theory of Delinquency. American Sociological Review, 22(6), 664-670. doi.org/10.2307/2089195
  11. Wall, J. D., Palvia, P., et Lowry, P. B. (2013). Control-Related Motivations and Information Security Policy Compliance: The Role of Autonomy and Efficacy. Journal of Information Privacy & Security, 9(4), 52-79. doi.org/10.1080/15536548.2013.10845690
Étape suivante

Utilisez cet article comme base puis voyez comment 2LRN4 traduit ce sujet en segmentation d'audiences, formation et reporting.

Réserver une démo Télécharger le guide Plus d'articles