2LRN4 security awareness platform
← Retour à la base de connaissances

Le piège de la visibilité

Pourquoi la visibilité, à savoir les affiches, les mailings et les campagnes intranet, n'est pas la même chose qu'un programme de sensibilisation, et pourquoi plus de la même chose finit par miner l'attention.

Récemment mis à jour

De l'analyse à l'action

Découvrez comment transformer ce sujet en un programme de sensibilisation concret avec formation, simulations de phishing et reporting management clair.

Réserver une démo Voir la page solution principale
Alain Rees
Fondateur & spécialiste de la sensibilisation à la sécurité · 2LRN4

En bref

  1. La visibilité n'est pas un programme. Affiches, courriels et campagnes intranet sont des activités de sensibilisation, donc une seule couche d'un programme. Un programme est un cycle continu et piloté qui agit sur le comportement et la culture, et non un assemblage d'éléments isolés (NIST SP 800-50r1).
  2. Communiquer ne change souvent pas le comportement. Diffuser de l'information accroît surtout les connaissances. Que cela se traduise ou non en comportement dépend de la motivation et de l'occasion de bien faire. Les campagnes qui se contentent d'informer changent peu de choses (Bada, Sasse et Nurse, 2015 ; Michie, van Stralen et West, 2011).
  3. Trop de la même chose produit l'effet inverse. Par accoutumance, l'attention chute dès la deuxième exposition, et sous l'effet de la lassitude face aux messages, les gens finissent par ignorer le message, voire à s'y opposer. L'attention et la coopération forment une réserve limitée qu'il faut dépenser avec discernement (Anderson et al., 2015 ; So, Kim et Cohen, 2017 ; Beautement, Sasse et Wonham, 2008).

Beaucoup d'organisations ont le sentiment que leur awareness est au point. Des affiches sont apposées près de la machine à café, un courriel part chaque mois, et l'intranet héberge une campagne assortie de conseils pratiques. Le raisonnement sous-jacent paraît évident. On communique en effet beaucoup sur les comportements sûrs, d'où l'idée, vite admise, qu'il existe un programme d'awareness. Assimiler ainsi la visibilité à un programme est compréhensible, mais inexact.

Ce rapport examine deux questions sous-jacentes. La première est de savoir si une campagne de communication diffère fondamentalement d'un programme comportemental. La seconde est de savoir quand la communication perd son effet, c'est-à-dire à partir de quel point davantage de messages n'aide plus et finit même par produire l'effet inverse. Il fait le point sur ce que montre la recherche scientifique à ce sujet, et sur l'approche qui en découle.

Pour ces deux questions, il importe d'abord de bien préciser ce que nous entendons, dans ce rapport, par un programme. Un programme n'est pas une série d'éléments isolés, mais un ensemble continu et piloté, orienté vers le comportement. Il fixe au préalable le comportement qu'il veut atteindre, choisit les moyens adaptés, dont la formation, l'entraînement et la communication, mesure ensuite si ce comportement change réellement, et procède à des ajustements sur la base de cette mesure. C'est, autrement dit, un cycle qui s'entretient lui-même et qui poursuit un objectif. Une campagne s'y oppose en tant qu'élément ponctuel ou récurrent pris isolément, et elle peut constituer une composante précieuse d'un programme sans jamais se confondre avec lui.

Méthodologie

Type
Étude de la littérature fondée sur des travaux évalués par les pairs et des standards faisant autorité.
Sources
Études en neurosciences et de terrain, sciences de la communication, sciences du comportement et la directive NIST pour les programmes d'apprentissage.
Date de référence
Juin 2026.

01 · ConstatLa visibilité est une couche, pas un programme

La différence entre communiquer et un programme n'est pas un jeu de mots : elle figure dans la directive de référence du domaine. L'organisme américain de normalisation NIST distingue, dans sa directive révisée, trois niveaux d'apprentissage : la sensibilisation, la formation et l'éducation (NIST SP 800-50r1, 2024). La sensibilisation oriente l'attention des personnes sur un sujet, la formation leur enseigne une compétence qui leur permet d'accomplir une tâche, et l'éducation est la forme approfondie, souvent orientée vers la carrière. Affiches, courriels et campagnes intranet relèvent presque tous du premier niveau. Ils sollicitent l'attention, mais n'enseignent aucune compétence et ne pilotent par eux-mêmes aucun comportement.

Plus important encore est ce que la directive entend par un programme. La révision de 2024 décrit un programme d'apprentissage non comme une série d'éléments, mais comme un cycle piloté doté d'un cycle de vie : on fixe des objectifs, on adapte le contenu aux rôles et aux publics, on mesure l'effet, et on procède à des ajustements. Les campagnes de sensibilisation sont, au sein de ce cycle, l'un des éléments constitutifs, aux côtés de la formation par rôle, des exercices et des interventions ciblées. Assimiler une campagne à un programme est donc une erreur de catégorie, car on confond une couche avec l'ensemble.

Les sciences du comportement opèrent la même distinction par une autre voie. Le Behaviour Change Wheel, très utilisé, que nous mobilisons aussi dans Le paradoxe de la participation, distingue neuf types d'interventions permettant d'influencer le comportement, et l'information n'en est qu'une (Michie, van Stralen et West, 2011). Communiquer touche surtout les connaissances des personnes. Cela laisse largement intacts les autres leviers dont dépend le comportement, comme la motivation et l'occasion concrète. Qui se contente de communiquer n'actionne donc qu'un seul levier et laisse les huit autres inexploités.

La communication relève du niveau de la sensibilisation

Les trois niveaux d'apprentissage selon NIST SP 800-50r1

Sensibilisation affiches · courriels · campagnes intranet Formation par rôle · compétences Éducation plus de profondeur portée plus large

Figure 1 La communication relève du large niveau inférieur, qui oriente l'attention sur un sujet. Un programme englobe les trois niveaux au sein d'un cycle piloté. D'après NIST SP 800-50r1 (2024).

02 · ConstatCommuniquer ne change souvent pas le comportement

Que les campagnes ne modifient de loin pas toujours le comportement n'est pas un constat nouveau. Dans une étude très citée, Bada, Sasse et Nurse ont analysé pourquoi les campagnes de sensibilisation échouent si souvent à changer le comportement (Bada, Sasse et Nurse, 2015). Leur conclusion était claire. La connaissance et la conscience sont une condition nécessaire, mais ne suffisent pas à elles seules. Pour changer de comportement, les personnes doivent pouvoir comprendre et appliquer le conseil, et elles doivent en outre y être disposées. Cette disposition exige un changement d'attitude et d'intention, qui n'apparaît pas spontanément en diffusant davantage d'information.

C'est le fameux écart entre savoir et faire. Les gens savent qu'ils doivent utiliser un mot de passe robuste, qu'ils ne doivent pas cliquer sans réfléchir sur un lien, et qu'ils doivent enregistrer les données proprement, mais le comportement ne suit pas automatiquement le savoir. Le Behaviour Change Wheel explique pourquoi. Un comportement sûr n'apparaît que lorsque la connaissance et la compétence, la motivation et l'occasion de bien faire se rejoignent (Michie, van Stralen et West, 2011). Une campagne qui se borne à donner de l'information ne remplit tout au plus que la première case. La motivation et l'occasion restent alors intactes, et c'est précisément là que le comportement achoppe souvent.

Changer le comportement exige davantage que d'informer sur les risques et les comportements souhaités. Les personnes doivent pouvoir appliquer ce conseil, et elles doivent aussi y être disposées.

D'après Bada, Sasse et Nurse (2015)

03 · ExplicationQuand la communication produit l'effet inverse

La seconde question est de savoir quand la communication non seulement rapporte peu, mais produit carrément l'effet inverse. La recherche met en évidence deux mécanismes qui, ensemble, expliquent pourquoi davantage de la même chose mine l'attention : l'accoutumance et la lassitude face aux messages.

Le premier mécanisme est l'accoutumance, et il est plus profond qu'une question de motivation. Dans une série d'études cérébrales, Anderson et ses collègues ont mis en image, par IRM fonctionnelle, la manière dont le cerveau réagit à des avertissements de sécurité répétés (Anderson et al., 2015). L'activité dans les zones de traitement visuel chutait fortement dès la deuxième exposition, et baissait davantage à chaque répétition suivante. Une étude de suivi sur le terrain a confirmé ce constat. Dans une expérience de terrain de trois semaines, la mesure dans laquelle les personnes donnaient suite aux avertissements diminuait nettement à mesure que ceux-ci revenaient plus fréquemment (Vance et al., 2018). Le message qui conserve toujours la même forme est, jusque dans le cerveau, de moins en moins enregistré. Fait notable, les avertissements qui changeaient de forme à chaque fois résistaient bien mieux à cet effet. La variation maintient l'attention, tandis que la répétition de l'identique la fait au contraire se relâcher.

L'attention se relâche à force de répéter l'identique

Réponse à un avertissement selon le nombre d'expositions

élevé faible attention / réponse 1re 2e 3e 4e 5e exposition forme variable forme identique

Figure 2 Une représentation conceptuelle. À force de répéter exactement le même message, la réponse chute fortement dès la deuxième exposition. Un message qui change de forme à chaque fois retient mieux l'attention. D'après Anderson et al. (2015) et Vance et al. (2018).

Le second mécanisme est la lassitude face aux messages, une notion issue des sciences de la communication. So, Kim et Cohen ont cartographié la manière dont les gens réagissent lorsqu'ils sont exposés de façon prolongée à des messages portant sur le même sujet (So, Kim et Cohen, 2017). Il s'agit alors d'un état d'épuisement né de la surabondance, de la répétition et de la monotonie, qui conduit les gens à ignorer le message. Des recherches ultérieures ont montré que la lassitude face aux messages mine la force de persuasion par deux voies : par la résistance active, où les gens s'opposent au message, et par le décrochage passif, où ils cessent simplement d'y prêter attention (Kim et So, 2018). Le plus préoccupant est que la surabondance ne se contente pas d'annuler l'effet, mais peut rendre l'action souhaitée encore moins probable que si rien n'avait été communiqué. Des effets comparables ont été décrits dans l'information sur le climat et la santé, où trop de messages identiques abaissait au contraire la disposition à participer.

Dans le contexte de la sécurité, ce phénomène a reçu un nom propre. Des chercheurs du NIST ont rencontré, lors d'entretiens, ce qu'ils appellent la lassitude de sécurité, une fatigue et une réticence à continuer de s'occuper de sécurité (Stanton et al., 2016). Les gens se sentaient assaillis d'avertissements du type fais attention à ceci et à cela, et y réagissaient par la résignation, un sentiment de perte de contrôle, la minimisation des risques et l'évitement des décisions. Les chercheurs recommandent donc de réduire autant que possible le nombre de décisions de sécurité que l'on demande aux personnes.

Ces mécanismes convergent vers une idée économique sobre, le budget de conformité. Beautement, Sasse et Wonham ont montré que les gens ne suivent les règles de sécurité que jusqu'à un certain point, au-delà duquel la disposition décroît (Beautement, Sasse et Wonham, 2008). Il existe, autrement dit, une quantité limitée d'attention et de coopération disponible, et au-delà de cette limite, chaque exigence supplémentaire devient plus nuisible qu'utile. Chaque affiche et chaque courriel prélève une part de ce budget. Qui continue d'émettre sans compter ce coût épuise sa réserve et ne garde rien pour le moment où cela compte vraiment.

Communiquer davantage aide, jusqu'à produire l'effet inverse

Effet sur le comportement selon la quantité de communication

effet sur le comportement quantité de communication optimum la visibilité paie accoutumance · lassitude · résistance

Figure 3 Une représentation conceptuelle. Jusqu'à un certain point, communiquer accroît l'effet sur le comportement. Au-delà de ce point, l'accoutumance, la lassitude face aux messages et la résistance prennent le dessus, et l'effet décline de nouveau. D'après So, Kim et Cohen (2017), Stanton et al. (2016) et Beautement, Sasse et Wonham (2008).

04 · ApprocheDe la campagne au programme

Si communiquer n'est qu'un levier et non un programme, et si trop de la même chose finit par produire l'effet inverse, il en découle une autre manière de travailler. L'essentiel est de traiter la communication comme une composante d'un programme qui pilote le comportement, et non comme le programme lui-même.

  1. Traitez la communication comme un levier au sein d'un cycle piloté.Donnez au programme un cycle de vie plutôt qu'un calendrier d'éléments isolés : fixez des objectifs, adaptez le contenu aux rôles et aux publics, mesurez l'effet et procédez à des ajustements (NIST SP 800-50r1, 2024). Une campagne est alors un instrument au sein de ce cycle, et non son aboutissement.
  2. Concevez pour le comportement plutôt que pour la visibilité.Pour chaque intervention, demandez-vous quelle composante du comportement vous influencez. Un message touche tout au plus la connaissance, alors que le comportement requiert aussi la motivation et l'occasion (Michie, van Stralen et West, 2011). Veillez donc à ce que le comportement sûr ne soit pas seulement connu, mais aussi attrayant et facile à adopter.
  3. Variez la forme pour contrer l'accoutumance.Ne répétez pas sans fin la même affiche ou le même courriel, car c'est précisément cela qui relâche l'attention. Variez la forme, le canal et l'angle, afin que le message soit à chaque fois de nouveau remarqué (Anderson et al., 2015 ; Vance et al., 2018).
  4. Respectez le budget d'attention et de conformité.Optez pour des messages moins nombreux mais plus ciblés et bien synchronisés, et limitez le nombre de décisions que vous demandez aux personnes (Stanton et al., 2016 ; Beautement, Sasse et Wonham, 2008). Chaque message superflu prélève une part d'une réserve qu'il vaut mieux garder pour le moment où cela compte.
  5. Mesurez le comportement et l'effet plutôt que le nombre d'éléments.Ne comptez pas combien d'affiches ont été apposées ou combien de courriels sont partis, mais regardez ce que les gens font réellement, comme le signalement de messages suspects. Le fait qu'une telle compétence, reconnaître le phishing, ne s'améliore pas d'elle-même par la seule exposition, nous l'avons développé dans Le Problème d'attention. Au titre de la directive NIS2, veiller à un comportement résilient relève en outre de la responsabilité de l'organe de direction, et embarquer cette direction est une tâche à part entière, comme nous l'avons montré dans Le problème d'adhésion. Cette responsabilité s'étaye mieux par des chiffres de comportement que par un décompte de communications.

Et la campagne elle-même ?

La communication n'est pas inutile, bien au contraire. La visibilité est nécessaire pour mettre un sujet sur la carte, pour donner le ton et pour rappeler aux gens que le comportement sûr compte. La critique de ce rapport vise une seule manière de travailler, à savoir la campagne tenue pour le programme tout entier, qui répète sans fin la même chose, et que l'on évalue au nombre d'éléments plutôt qu'au comportement qui en résulte. Lorsque vous employez la communication autrement, donc comme un levier conscient au sein d'un programme conçu pour le comportement, elle demeure un instrument précieux et indispensable.

05 · ConclusionLa visibilité est un début, pas un programme

Une campagne de communication est quelque chose de fondamentalement différent d'un programme comportemental. La visibilité oriente l'attention, mais elle n'enseigne aucune compétence et ne pilote par elle-même aucun comportement. Un programme combine cette visibilité avec la formation, avec une attention à la motivation et à l'occasion, avec la mesure et avec l'ajustement, et il le fait comme un cycle piloté plutôt que comme une série d'éléments isolés. Qui assimile les deux confond une couche avec l'ensemble.

Et la communication perd son effet dès que la répétition relâche l'attention et que la lassitude prend le dessus. Par accoutumance, la réponse chute dès la deuxième exposition, sous l'effet de la lassitude face aux messages, la répétition peut même produire l'effet inverse, et le budget d'attention et de conformité est, par nature, limité. La bonne question n'est donc pas de savoir si l'on a beaucoup communiqué, mais si le comportement et la culture ont durablement changé. La visibilité en est un début, et non un programme.

Limites

  • Ce rapport est une étude de la littérature qui résume des travaux scientifiques existants, et ne comporte aucune recherche propre nouvelle.
  • Une partie des preuves sur l'accoutumance a été mesurée sur des avertissements de sécurité à l'écran. La transposition aux affiches, courriels et campagnes intranet repose sur le mécanisme sous-jacent et non sur une mesure directe dans ces canaux.
  • Les recherches sur la lassitude face aux messages proviennent en grande partie de l'information sur la santé et le climat. Les mécanismes sont largement confirmés, mais les valeurs seuils précises peuvent varier selon le contexte et le public.

Sources

  1. Anderson, B. B., Kirwan, C. B., Jenkins, J. L., Eargle, D., Howard, S., et Vance, A. (2015). How Polymorphic Warnings Reduce Habituation in the Brain: Insights from an fMRI Study. Proceedings of the 33rd Annual ACM Conference on Human Factors in Computing Systems (CHI '15), 2883–2892. doi.org/10.1145/2702123.2702322
  2. Bada, M., Sasse, A. M., et Nurse, J. R. C. (2015). Cyber Security Awareness Campaigns: Why do they fail to change behaviour? International Conference on Cyber Security for Sustainable Society. arxiv.org/abs/1901.02672
  3. Beautement, A., Sasse, M. A., et Wonham, M. (2008). The Compliance Budget: Managing Security Behaviour in Organisations. Proceedings of the 2008 New Security Paradigms Workshop (NSPW '08), 47–58. doi.org/10.1145/1595676.1595684
  4. Kim, S., et So, J. (2018). How Message Fatigue toward Health Messages Leads to Ineffective Persuasive Outcomes: Examining the Mediating Roles of Reactance and Inattention. Journal of Health Communication, 23(1), 109–116. doi.org/10.1080/10810730.2017.1414900
  5. Michie, S., van Stralen, M. M., et West, R. (2011). The behaviour change wheel: A new method for characterising and designing behaviour change interventions. Implementation Science, 6, 42. doi.org/10.1186/1748-5908-6-42
  6. National Institute of Standards and Technology (2024). Building a Cybersecurity and Privacy Learning Program. NIST Special Publication 800-50r1. doi.org/10.6028/NIST.SP.800-50r1
  7. So, J., Kim, S., et Cohen, H. (2017). Message fatigue: Conceptual definition, operationalization, and correlates. Communication Monographs, 84(1), 5–29. doi.org/10.1080/03637751.2016.1250429
  8. Stanton, B., Theofanos, M. F., Prettyman, S. S., et Furman, S. (2016). Security Fatigue. IT Professional, 18(5), 26–32. doi.org/10.1109/MITP.2016.84
  9. Vance, A., Jenkins, J. L., Anderson, B. B., Bjornn, D. K., et Kirwan, C. B. (2018). Tuning Out Security Warnings: A Longitudinal Examination of Habituation Through fMRI, Eye Tracking, and Field Experiments. MIS Quarterly, 42(2), 355–380. doi.org/10.25300/MISQ/2018/14124
Étape suivante

Utilisez cet article comme base puis voyez comment 2LRN4 traduit ce sujet en segmentation d'audiences, formation et reporting.

Réserver une démo Télécharger le guide Plus d'articles