2LRN4 security awareness platform
← Retour à la base de connaissances

Le problème d'adhésion

Pourquoi les programmes de sensibilisation à la sécurité et à la protection des données échouent rarement à cause de l'e-learning, mais par manque d'implication du management, et comment obtenir malgré tout son adhésion.

Récemment mis à jour

De l'analyse à l'action

Découvrez comment transformer ce sujet en un programme de sensibilisation concret avec formation, simulations de phishing et reporting management clair.

Réserver une démo Voir la page solution principale
Alain Rees
Fondateur & spécialiste de la sensibilisation à la sécurité · 2LRN4

En bref

  1. L'implication du management compte parmi les prédicteurs les plus forts et les plus systématiquement démontrés du comportement sécurisé des collaborateurs. C'est ce qui ressort d'une méta-analyse de 95 études empiriques, de plusieurs revues systématiques de la littérature et d'enquêtes menées auprès de professionnels expérimentés de l'awareness. Un programme de sensibilisation n'est donc pas un produit que l'on déploie, mais un projet de transformation dont le management constitue une composante porteuse.
  2. Cette implication agit en grande partie de façon indirecte, par la culture et l'exemplarité. Les collaborateurs se règlent sur ce que leurs responsables font, et non sur ce qu'ils disent. Un soutien symbolique, comme une annonce unique de la direction, change donc peu de choses, tandis qu'une participation visible, l'exemplarité et le pilotage y parviennent. Par ailleurs, le management gère l'occasion d'apprendre, à savoir le budget, le temps sur les heures de travail et la priorité. C'est précisément cette occasion qui fait défaut dès que la sensibilisation est ramenée à « simplement déployer un e-learning ».
  3. On ne convainc pas un management par la peur, mais par trois axes à la fois : l'obligation légale de diligence découlant de la directive NIS2 et de sa transposition nationale, qui rend l'organe de direction lui-même responsable et soumis à une obligation de formation ; une demande de comportement concrète et modeste plutôt qu'une vague demande d'adhésion ; et un reporting dans le langage des risques plutôt qu'en pourcentages d'achèvement.

Lorsqu'un programme de sensibilisation à la protection des données et à la sécurité échoue, on en cherche généralement la cause tout près du programme lui-même. Peut-être le e-learning était-il trop ennuyeux, la communication trop maigre, ou les collaborateurs trop occupés. Parfois la cause se situe effectivement dans le programme lui-même, par exemple lorsque la sécurité et la protection des données sont mises sur un même plan alors qu'elles appellent une approche différente, comme nous l'avons montré dans La différence entre sensibilisation à la sécurité et à la protection des données. Dans la pratique, tout cela est cependant souvent précédé d'autre chose : un management qui résume la sensibilisation à « ce n'est jamais que déployer un e-learning » et qui ne lui consacre ensuite pas plus de budget, de temps et d'attention qu'à n'importe quelle licence logicielle.

Ce rapport fait le point sur ce que dit la recherche scientifique à propos du rôle du management dans les programmes de sensibilisation, sur les raisons pour lesquelles ce rôle pèse si lourd, et sur la manière dont, en tant que professionnel, on parvient malgré tout à entraîner un management réticent.

Méthodologie

Type
Revue de la littérature fondée sur des travaux évalués par les pairs et sur la directive européenne NIS2.
Sources
Une méta-analyse de 95 études empiriques, trois revues systématiques de la littérature, une enquête de terrain auprès de professionnels de l'awareness et une étude sur la gouvernance menée par le MIT Sloan et la Bentley University.
Date de référence
Juin 2026.
Question principale
Dans quelle mesure l'implication du management détermine-t-elle la réussite ou l'échec d'un programme de sensibilisation à la protection des données et à la sécurité, et comment convaincre un management qui considère la sensibilisation comme le déploiement d'un e-learning ?

Sous-questions

  1. Qu'entend la recherche par implication du management, et quelles formes y distingue-t-on ?
  2. Quelle est la force du lien entre l'implication du management et le comportement sécurisé des collaborateurs, comparée à celle d'autres facteurs ?
  3. Par quel mécanisme le management influence-t-il ce comportement ?
  4. L'implication du management est-elle un facteur critique de succès pour le programme de sensibilisation lui-même ?
  5. Que se passe-t-il dans la pratique lorsque cette implication fait défaut ?
  6. Quelles formes d'implication ont un effet démontrable, et lesquelles restent symboliques ?
  7. Avec quels arguments et quelles mesures convainc-on un management réticent ?

01 · ConstatL'implication du management n'est pas une condition annexe, mais un facteur central

La recherche sur la question de savoir pourquoi les collaborateurs adoptent ou non un comportement sécurisé est abondante. La synthèse la plus complète est la méta-analyse de Cram, D'Arcy et Proudfoot (2019) parue dans MIS Quarterly, dans laquelle 95 études empiriques et 401 variables étudiées ont été ramenées à dix-sept catégories de facteurs prédisant le respect des politiques de sécurité. Le fil conducteur de cette étude et des revues ultérieures est que les facteurs déterminants ne sont pas techniques, mais organisationnels : l'attitude et les normes personnelles des collaborateurs, l'environnement social dans lequel ils travaillent et la culture organisationnelle. Fait remarquable, l'instrument classique de nombreux managers, la récompense et la sanction, se révèle justement être l'un des prédicteurs les plus faibles.

Une revue systématique de la littérature portant sur la période de 2001 à 2023 aboutit au même noyau : le soutien de la direction générale et la culture organisationnelle figurent, avec l'efficacité perçue des mesures, parmi les facteurs déterminants du comportement de conformité (García de Blanes-Sebastián et al., 2025). Et dans la revue de Khando et ses collègues (2021), qui s'est penchée spécifiquement sur les moyens d'accroître la sensibilisation des collaborateurs à la sécurité, la participation du management apparaît comme l'un des facteurs ayant l'effet le plus fort sur cette sensibilisation.

Si les managers ne sont pas impliqués, les autres membres de l'organisation ne le sont pas non plus.

Constat de Khando et ses collègues (2021)

Le même tableau se dessine lorsque l'on interroge non pas la littérature, mais les personnes qui construisent les programmes de sensibilisation. Alyami et ses collègues (2023, 2024) ont interviewé des professionnels expérimentés aux États-Unis, au Royaume-Uni, en Irlande et au Moyen-Orient, et en ont déduit onze facteurs critiques de succès pour l'efficacité des programmes de sécurité, d'éducation, de formation et d'awareness, organisés selon le cycle de vie d'un tel programme. Le soutien du management et la disponibilité des moyens les traversent comme une condition : sans cette base, les autres facteurs de succès, comme la personnalisation et l'évaluation continue, ne peuvent tout simplement pas voir le jour.

La conclusion de ce premier constat est dès lors claire. L'implication du management n'est pas, dans la recherche, un agrément souhaitable, mais l'un des facteurs centraux qui déterminent si un programme de sensibilisation modifie le comportement des collaborateurs.

De la participation du management au comportement sûr L'influence agit directement et via la culture Participation du management Culture de sécurité Attitude Norme sociale Contrôle perçu chez le collaborateur Comportement sûr effet direct effet indirect, via la culture Représentation conceptuelle. D'après Hu, Dinev, Hart et Cooke (2012), Decision Sciences.

Figure 1 De la participation du management au comportement sécurisé. La participation de la direction générale agit, à la fois directement et par l'intermédiaire de la culture de sécurité, sur l'attitude, la norme sociale et le contrôle perçu des collaborateurs, et donc sur leur comportement. D'après Hu, Dinev, Hart et Cooke (2012).

02 · ConstatL'implication agit par la culture et l'exemplarité, et non par le courriel d'annonce

Comment cette influence du management opère-t-elle alors précisément ? L'étude classique à ce sujet est celle de Hu, Dinev, Hart et Cooke (2012) parue dans Decision Sciences. Ils ont intégré le rôle de la direction générale et de la culture organisationnelle dans la théorie du comportement planifié et ont testé ce modèle au moyen d'enquêtes par questionnaire et de modèles d'équations structurelles. Résultat : la participation de la direction générale aux initiatives de sécurité a une influence à la fois directe et indirecte sur l'attitude des collaborateurs à l'égard de la conformité, sur la norme sociale qu'ils perçoivent et sur la mesure dans laquelle ils se sentent capables de bien agir. Une part importante de cette influence passe par la culture organisationnelle : le management façonne la culture, et la culture façonne le comportement.

Le mot-clé de cette étude est participation, et ce n'est pas un hasard. Les chercheurs établissent une distinction nette entre la participation active du management et un soutien à distance. Une direction qui approuve le programme et ne s'en préoccupe plus ensuite apporte un soutien. Une direction qui suit elle-même la formation la première, en parle lors des réunions d'équipe et y revient lors des entretiens trimestriels participe. Seule cette seconde forme modifie ce que les collaborateurs considèrent comme normal.

La recherche sur les styles de leadership le confirme. Guhr, Lebek et Breitner (2019) ont relié le modèle dit du leadership à spectre complet au comportement de sécurité des collaborateurs et ont constaté qu'un leadership inspirant et impliqué accroît non seulement la disposition à suivre les règles, mais aussi celle à contribuer activement, par exemple en signalant des incidents ou en interpellant des collègues. Le leadership passif, qui ne se met en mouvement qu'une fois que quelque chose tourne mal, ne produit pas ces effets. Et dans la revue d'Uchendu, Nurse, Bada et Furnell (2021) sur la construction d'une culture de sécurité, le soutien du management est décomposé en deux dimensions : l'importance que le management accorde à la sécurité et l'engagement qu'il y manifeste visiblement. Un soutien total et l'implication de la direction se révèlent tous deux nécessaires, car l'un ne fonctionne pas sans l'autre.

Pour la pratique, cela signifie que la traduction habituelle de l'implication du management, un courriel d'annonce au lancement de la campagne, ne donne presque rien. Les collaborateurs lisent ce courriel, observent ensuite le comportement de leur propre responsable et s'y conforment. Un directeur qui partage son mot de passe avec son assistant de direction en dit plus à l'organisation sur l'importance de la sécurité que dix campagnes réunies.

Quatre formes d'implication du management L'effet démontré se situe surtout dans les trois marches du haut 1 · Soutien mots et budget 2 · Participation participation active au programme 3 · Exemplarité appliquer soi-même la politique 4 · Governance piloter, surveiller, rendre compte symbolique effet structurel sur le comportement

Figure 2 Quatre formes d'implication du management, croissantes du symbolique au structurel : le soutien (paroles et budget), la participation (implication active), l'exemplarité (faire soi-même ce que la politique demande) et la governance (piloter, surveiller et rendre compte). La recherche montre que l'effet se situe surtout dans les trois échelons supérieurs.

03 · ExplicationLe management gère l'occasion, et elle ne s'achète pas chez un fournisseur

Pourquoi le rôle du management est-il alors si déterminant, alors qu'il ne développe ni ne dispense que rarement la formation lui-même ? La réponse devient visible dès que l'on place à côté le modèle COM-B issu des sciences du comportement (Michie, van Stralen et West, 2011). Le comportement sécurisé n'apparaît que lorsque trois éléments se rejoignent : la capacité (connaissances et compétences), la motivation (la volonté) et l'occasion (l'espace physique et social pour bien agir).

Un e-learning fournit la capacité et, s'il est bien conçu, une partie de la motivation. L'occasion, en revanche, un fournisseur ne peut pas la livrer, car elle est presque entièrement entre les mains du management. Le management détermine si les collaborateurs peuvent suivre la formation sur leurs heures de travail ou s'ils doivent y consacrer leurs soirées. Il détermine s'il existe un budget pour la répétition et la personnalisation, ou seulement pour une licence unique. Et il détermine si la sensibilisation est un point récurrent à l'ordre du jour des réunions d'équipe, ou une obligation annuelle que les chefs d'équipe expédient en un clic. Par la norme sociale et l'exemplarité évoquées au paragraphe précédent, il détermine en outre une bonne part de la motivation.

Le raisonnement « ce n'est jamais que déployer un e-learning » se met ainsi en place. Qui raisonne de la sorte n'achète, des trois conditions du changement de comportement, que la première et délaisse précisément les deux conditions que seule l'organisation elle-même peut fournir. Ce n'est pas un détail. La méta-analyse de Prümmer, van Steen et van den Berg (2024), que nous avons également citée dans notre rapport sur les simulations de phishing, montre que la formation ne modifie sensiblement le comportement que lorsqu'elle est active, répétée et adaptée au public cible. La répétition coûte du temps sur les heures de travail, la personnalisation coûte du budget et les formats actifs requièrent l'attention des responsables. Les formes de formation dont l'efficacité est démontrée sont donc précisément celles que l'on sabre en premier sans implication du management.

Bada, Sasse et Nurse (2015) ont déjà décrit pourquoi les campagnes de sensibilisation ne modifient si souvent pas le comportement : elles diffusent de l'information sans changer l'environnement, elles sont ponctuelles au lieu d'être continues, et elles ne sont pas ancrées dans l'organisation. Chacun de ces trois facteurs d'échec découle au fond d'une décision, ou de son absence, au niveau du management.

Une nuance s'impose ici. La plupart des recherches dans ce domaine sont corrélationnelles : elles montrent des liens forts et constants, mais ne prouvent pas au sens strict que l'absence d'implication du management est la cause de l'échec. Ce qui est en revanche établi, c'est que l'implication du management compte parmi les prédicteurs les plus forts du succès, et que son absence sape précisément les mécanismes dont dépend le changement de comportement : la culture, la norme sociale et l'occasion d'apprendre. Pour la pratique, cette distinction est moins importante qu'il n'y paraît. La question n'est en effet pas de savoir qui est responsable lorsqu'un programme échoue, mais quelles conditions il faut réunir au préalable pour le faire réussir.

Qui fournit quoi ? Le modèle COM-B et le management Un e-learning fournit la capacité ; seule la direction peut fournir l'occasion Capacité pouvoir savoir et savoir-faire fourni par la formation et l'e-learning Motivation vouloir façonnée aussi par les normes et l'exemplarité en partie aux mains du management Occasion avoir l'espace temps de travail, budget, répétition et priorité presque entièrement aux mains du management Comportement sûr Représentation conceptuelle. D'après Michie, van Stralen et West (2011).

Figure 3 Le modèle COM-B avec le rôle du management. Le e-learning fournit la capacité. La motivation est en partie façonnée par les normes et l'exemplarité des responsables. L'occasion, c'est-à-dire le temps, le budget et la priorité, est presque entièrement entre les mains du management. D'après Michie, van Stralen et West (2011).

04 · ApprocheComment convaincre le management

Les constats précédents mènent à une conclusion inconfortable mais utile : convaincre le management n'est pas une activité annexe à côté du programme de sensibilisation, mais sa première phase. La recherche, complétée par une étude sur la gouvernance menée par le MIT Sloan et la Bentley University auprès de dirigeants et d'administrateurs (Proudfoot, Cram, Madnick et Coden, 2023), met en évidence cinq étapes.

  1. Commencez par l'obligation de diligence et non par la menace.Les images effrayantes de pirates produisent peu d'effet sur un organe de direction ; la prise de conscience de sa propre responsabilité, beaucoup plus. La directive NIS2 et sa transposition nationale placent la responsabilité des mesures de gestion expressément sur l'organe de direction : il doit approuver les mesures, superviser leur exécution et peut, en cas de négligence, voir sa responsabilité personnelle engagée. Les dirigeants sont en outre tenus de suivre eux-mêmes une formation et sont censés proposer à leurs collaborateurs une formation comparable (Directive (UE) 2022/2555, article 20). La sensibilisation n'est dès lors pas une proposition émanant du CISO, mais une mission légale de l'organe de direction que le CISO vient appuyer. Cela change complètement le ton de la conversation.
  2. Ne demandez pas l'adhésion, mais un comportement.« Nous comptons sur le soutien de la direction » suscite des hochements de tête approbateurs et ne change rien. Demandez plutôt trois ou quatre comportements concrets et modestes qui, ensemble, font bel et bien la différence : le management suit la formation lui-même et le premier, en parle dans un message ou une réunion qui lui est propre, inscrit durablement le sujet à son propre ordre du jour et interroge régulièrement les responsables sur l'avancement au sein de leurs équipes. Ce sont là les formes de participation et d'exemplarité dont la recherche démontre l'effet (Hu et al., 2012 ; Khando et al., 2021), et elles ne coûtent à un dirigeant que quelques heures par an tout au plus.
  3. Faites de l'occasion une composante explicite de la décision.Ne soumettez pas au management l'achat d'un e-learning, mais une décision à trois composantes : le contenu (le programme), l'occasion (du temps d'apprentissage sur les heures de travail, un rythme de répétition et une marge pour la personnalisation par public cible) et le rôle propre du management (les comportements de l'étape 2). Qui ne fait approuver que la première composante organise l'échec des deux autres. Rendez à cette occasion le coût de l'occasion visible en heures par collaborateur et par an, afin que l'organe de direction sache sur quoi il décide réellement.
  4. Faites votre reporting dans le langage des risques et non en pourcentages d'achèvement.L'étude sur la gouvernance montre que les dirigeants peinent avec la cybersécurité parce que l'information qu'ils reçoivent est trop technique ou trop superficielle (Proudfoot et al., 2023). Un pourcentage d'achèvement du e-learning ne dit rien à un organe de direction et renforce au contraire l'image de la sensibilisation comme un produit à cocher. Faites plutôt votre reporting sur des indicateurs qui touchent au comportement et au risque, comme le comportement de signalement des messages suspects, les résultats par groupe à risque et les risques résiduels que l'organe de direction accepte. La sensibilisation devient ainsi une composante du dialogue sur les risques dans lequel un organe de direction se sent à l'aise, et qu'il doit aussi piloter au titre de NIS2 et de sa transposition nationale.
  5. Servez-vous de la science comme d'un levier.À « ce n'est jamais que déployer un e-learning », il existe une réponse brève et honnête : cela a déjà été tenté et étudié, et ce n'est pas ainsi que cela fonctionne. Une information ponctuelle et passive ne modifie guère le comportement ; les programmes assortis de répétition, de personnalisation et d'une implication visible du management le font (Prümmer et al., 2024 ; Bada et al., 2015 ; Cram et al., 2019). L'organe de direction qui opte pour le e-learning nu choisit donc en toute connaissance de cause la variante dont l'efficacité limitée est démontrée. Peu d'organes de direction souhaitent retrouver ce choix noir sur blanc dans le procès-verbal.
L'itinéraire de persuasion Cinq étapes pour faire du management un acteur plutôt qu'un spectateur 1 Devoir de vigilance NIS2 : la direction est elle-même responsable et tenue de se former 2 Demander un comportement pas l'adhésion, mais trois ou quatre comportements concrets et modestes 3 Décision complète contenu, occasion et le rôle propre du management en une proposition 4 Langage du risque signalements et risques résiduels au lieu de taux d'achèvement 5 Science l'e-learning seul est la variante dont l'effet limité est démontré Convaincre le management n'est pas une activité annexe du programme. C'est la première phase du programme.

Figure 4 La route de persuasion en cinq étapes : de l'obligation légale de diligence, en passant par une demande de comportement concrète et une décision complète, vers un reporting dans le langage des risques, étayé par l'état des connaissances scientifiques.

05 · ConclusionPas le e-learning, mais l'écho qu'il rencontre

Dans notre rapport sur les simulations de phishing, la conclusion était que le problème ne réside pas chez le collaborateur. La conclusion du présent rapport en est le miroir : le problème ne réside généralement pas non plus dans le e-learning. Un programme de sensibilisation ne modifie le comportement que lorsque connaissances, motivation et occasion se rejoignent. De ces trois éléments, le fournisseur ne livre que les connaissances et, tout au plus, une partie de la motivation. Le reste doit venir de l'organisation elle-même, et c'est l'écho que le programme y rencontre : le responsable qui en parle ou non, le temps qui y est consacré ou non, et le directeur qui fait ou non lui-même ce que la politique demande.

La recherche scientifique est étonnamment unanime à ce sujet. L'implication du management compte parmi les prédicteurs les plus forts du comportement sécurisé, elle agit par la culture et l'exemplarité plutôt que par des annonces, et son absence explique pourquoi tant de programmes dégénèrent en une obligation annuelle à expédier en un clic. Pour le professionnel, cela signifie que la conversation avec le management n'est pas un travail préparatoire, mais le cœur du métier. Et depuis la directive NIS2 et sa transposition nationale, ce professionnel aborde cette conversation plus solidement que jamais : la question n'est plus de savoir si l'organe de direction veut s'impliquer dans la sensibilisation, mais s'il veut accomplir sa mission légale avec l'approche dont l'efficacité est démontrée.

Limites

  • Ce rapport est une revue de la littérature qui synthétise des travaux scientifiques existants et ne contient pas de recherche propre inédite.
  • La plupart des travaux cités sont corrélationnels et mesurent en partie des intentions comportementales plutôt que des comportements observés ; des liens forts et constants sont ainsi démontrés, mais non une preuve strictement causale.
  • La recherche sur l'implication du management porte en grande partie sur le respect des politiques de sécurité au sens large ; les études qui testent spécifiquement l'échec des programmes de sensibilisation au regard de facteurs liés au management sont plus rares.
  • Les études citées ont été menées dans des pays et des secteurs variés, de sorte que les effets peuvent différer selon l'organisation et la culture.

Sources

  1. Alyami, A., Sammon, D., Neville, K., et Mahony, C. (2023). The critical success factors for Security Education, Training and Awareness (SETA) program effectiveness: a lifecycle model. Information Technology & People, 36(8), 94–125. emerald.com/itp/article/36/8/94
  2. Alyami, A., Sammon, D., Neville, K., et Mahony, C. (2024). Critical success factors for Security Education, Training and Awareness (SETA) programme effectiveness: an empirical comparison of practitioner perspectives. Information and Computer Security, 32(1), 53–73. doi.org/10.1108/ICS-08-2022-0133
  3. Bada, M., Sasse, A. M., et Nurse, J. R. C. (2015). Cyber Security Awareness Campaigns: Why do they fail to change behaviour? International Conference on Cyber Security for Sustainable Society. arxiv.org/abs/1901.02672
  4. Cram, W. A., D'Arcy, J., et Proudfoot, J. G. (2019). Seeing the Forest and the Trees: A Meta-Analysis of the Antecedents to Information Security Policy Compliance. MIS Quarterly, 43(2), 525–554. doi.org/10.25300/MISQ/2019/15117
  5. Union européenne (2022). Richtlijn (EU) 2022/2555 betreffende maatregelen voor een hoog gezamenlijk niveau van cyberbeveiliging in de Unie (NIS2-richtlijn), artikel 20. eur-lex.europa.eu/eli/dir/2022/2555
  6. García de Blanes-Sebastián, M., et al. (2025). Factors influencing employee compliance with information security policies: a systematic literature review of behavioral and technological aspects in cybersecurity. Future Business Journal, 11, 28. doi.org/10.1186/s43093-025-00452-7
  7. Guhr, N., Lebek, B., et Breitner, M. H. (2019). The impact of leadership on employees' intended information security behaviour: An examination of the full-range leadership theory. Information Systems Journal, 29(2), 340–362. doi.org/10.1111/isj.12202
  8. Hu, Q., Dinev, T., Hart, P., et Cooke, D. (2012). Managing Employee Compliance with Information Security Policies: The Critical Role of Top Management and Organizational Culture. Decision Sciences, 43(4), 615–660. doi.org/10.1111/j.1540-5915.2012.00361.x
  9. Khando, K., Gao, S., Islam, S. M., et Salman, A. (2021). Enhancing employees information security awareness in private and public organisations: A systematic literature review. Computers & Security, 106, 102267. doi.org/10.1016/j.cose.2021.102267
  10. Michie, S., van Stralen, M. M., et West, R. (2011). The behaviour change wheel: a new method for characterising and designing behaviour change interventions. Implementation Science, 6:42. doi.org/10.1186/1748-5908-6-42
  11. Proudfoot, J. G., Cram, W. A., Madnick, S., et Coden, M. (2023). The Importance of Board Member Actions for Cybersecurity Governance and Risk Management. MIS Quarterly Executive, 22(4), 235–250. aisel.aisnet.org/misqe/vol22/iss4/6
  12. Prümmer, J., van Steen, T., et van den Berg, B. (2024). Assessing the effect of cybersecurity training on end-users: A meta-analysis. Computers & Security, 150, 104206. doi.org/10.1016/j.cose.2024.104206
  13. Uchendu, B., Nurse, J. R. C., Bada, M., et Furnell, S. (2021). Developing a cyber security culture: Current practices and future needs. Computers & Security, 109, 102387. arxiv.org/abs/2106.14701
Étape suivante

Utilisez cet article comme base puis voyez comment 2LRN4 traduit ce sujet en segmentation d'audiences, formation et reporting.

Réserver une démo Télécharger le guide Plus d'articles