2LRN4 security awareness platform
← Retour à la base de connaissances

Les premiers mois vulnérables

Pourquoi les premiers mois d'un emploi constituent une période vulnérable, sur toute l'étendue de la sensibilisation à la sécurité, et ce que la science dit du moment et de la forme de la première formation.

Récemment mis à jour

De l'analyse à l'action

Découvrez comment transformer ce sujet en un programme de sensibilisation concret avec formation, simulations de phishing et reporting management clair.

Réserver une démo Voir la page solution principale
Alain Rees
Fondateur & spécialiste de la sensibilisation à la sécurité · 2LRN4

En bref

  1. La sensibilisation à la sécurité englobe bien plus que le courriel et l'hameçonnage. Un questionnaire scientifiquement validé (le HAIS-Q) distingue sept domaines, de la gestion des mots de passe et du traitement de l'information jusqu'au signalement des incidents, et c'est précisément le nouveau collaborateur qui doit se frayer un chemin simultanément dans tous ces domaines (Parsons et al., 2014).
  2. Les premiers mois constituent indéniablement une période d'adaptation. Savoir ce que l'on attend de soi, avoir confiance en sa propre action et se familiariser avec l'organisation ne se construisent qu'au fil des semaines, voire des mois (Bauer et Erdogan, 2011). Cette méconnaissance rend les nouveaux venus vulnérables, car ils ne savent pas encore ce qui est normal, à qui ils peuvent se fier ni vers qui se tourner.
  3. La connaissance seule modifie peu les comportements. Ce sont avant tout la forme et le moment de la formation qui font la différence (Prümmer, van Steen et van den Berg, 2024 ; Murre et Dros, 2015). Dans le même temps, il existe étonnamment peu de preuves solides issues de recherches ayant suivi les nouveaux collaborateurs sur une longue durée, tandis que circulent des chiffres affirmés sans source vérifiable.

L'hameçonnage est un risque majeur et tenace, et il est légitime qu'il retienne autant l'attention. Dans un rapport précédent de cette série, Le Problème d'attention, nous avons montré ce que dit la science au sujet des simulations d'hameçonnage et de l'approche qui convient. La sensibilisation à la sécurité dépasse cependant le seul courriel, et nulle part cette ampleur ne se cristallise autant que durant la première période suivant l'entrée en fonction.

En peu de temps, un nouveau collaborateur configure des comptes et des appareils, apprend quelles données sont sensibles, utilise pour la première fois les systèmes de l'organisation, et doit entre-temps évaluer quels messages et quelles demandes sont normaux. Tout cela se produit alors que cette personne ne connaît pas encore les gens, les processus ni la façon de signaler quelque chose. La distance entre la date de prise de fonction et le moment où l'on se sent réellement à sa place forme une période durant laquelle le risque est plus élevé qu'ensuite. Ce rapport recense ce que montre la recherche scientifique au sujet de cette période, et quels enseignements en découlent pour le moment et la forme de la première formation.

Méthodologie

Type
Étude de la littérature fondée sur des recherches scientifiques (évaluées par les pairs) et des recommandations faisant autorité.
Sources
Un questionnaire scientifiquement validé sur la sensibilisation à la sécurité, des études de synthèse sur l'intégration des nouveaux collaborateurs et sur la formation, la courbe de l'oubli d'Ebbinghaus, ainsi que des chiffres de l'ENISA, d'Eurostat et du CBS.
Date de référence
Juin 2026.

01 · CADRELa sensibilisation dépasse l'hameçonnage

Qui pense à la sensibilisation à la sécurité songe rapidement à la reconnaissance d'un courriel suspect. C'est compréhensible, car l'hameçonnage est un risque réel et fréquent. Il ne constitue toutefois qu'un élément d'un ensemble plus vaste. Un collaborateur prend chaque jour de nombreuses petites décisions liées à la sécurité, et celles-ci vont bien au-delà de la boîte de réception.

L'instrument de mesure scientifiquement validé le plus utilisé dans ce domaine, le Human Aspects of Information Security Questionnaire (HAIS-Q), répartit cet ensemble plus large en sept domaines : la gestion des mots de passe, l'usage du courriel, l'usage d'internet, l'usage des réseaux sociaux, le travail mobile, le traitement de l'information et le signalement des incidents (Parsons et al., 2014). L'hameçonnage relève du domaine de l'usage du courriel et constitue ainsi l'un des sept, et non leur somme. La valeur de ce cadre tient à ce qu'il rend la sensibilisation mesurable sur toute son étendue, et cela s'avère efficace : qui obtient un score plus élevé au HAIS-Q se comporte mieux lors d'un test d'hameçonnage expérimental (Parsons et al., 2017).

Les sept domaines d'attention de la sensibilisation à la sécurité

La sensibilisation sur toute son étendue

Mots de passe
Des mots de passe robustes, sans réutilisation, partagés en toute sécurité.
Usage du courriel
Gérer les liens et les pièces jointes, évaluer les expéditeurs.
Usage d'internet
Télécharger en toute sécurité et privilégier les sites fiables.
Réseaux sociaux
Ce que l'on partage et ce que cela révèle du travail.
Travail mobile
Appareils, réseaux publics, travail en déplacement.
Traitement de l'information
Classer, stocker et partager les données.
Signalement des incidents
Signaler à temps quelque chose de suspect ou une erreur.

Figure 1 Les sept domaines d'attention de la sensibilisation à la sécurité selon le HAIS-Q. D'après Parsons et al. (2014).

02 · CONSTATLes premiers mois sont une période d'adaptation

Le caractère singulier du début d'un emploi est bien établi en psychologie organisationnelle. La recherche sur la manière dont les nouveaux collaborateurs s'intègrent et trouvent leurs marques montre que des éléments comme savoir ce que l'on attend de soi, avoir confiance en sa propre action et être accepté par ses collègues ne sont pas immédiatement présents, mais se construisent au fil des premiers mois de l'emploi (Bauer et Erdogan, 2011). Une vaste étude de synthèse qui récapitule de nombreuses recherches confirme cette image et souligne que ce sont précisément les expériences précoces qui déterminent à quel point une personne s'adapte finalement bien (Bauer et al., 2025).

Pour la sécurité, c'est surtout cette période initiale de méconnaissance qui est pertinente. Un collaborateur qui ne sait pas encore ce qui est d'usage dans l'organisation ne dispose pas du repère lui permettant de remarquer que quelque chose s'écarte de ce qui devrait être normal. Le même mécanisme intervient dans le respect de la politique de sécurité : les collaborateurs mieux intégrés et qui se sentent davantage liés à l'organisation respectent indéniablement mieux les règles (Ifinedo, 2014). Autrement dit, les premiers mois ne sont pas seulement une période d'apprentissage de la fonction elle-même, mais aussi de l'action sécurisée en son sein.

La période vulnérable diminue à mesure que l'on s'intègre

L'adaptation face au risque au cours des douze premiers mois

risque de sécurité adaptation mois 0 premiers mois mois 12

Figure 2 Représentation stylisée d'un schéma récurrent dans la littérature : l'intégration des nouveaux collaborateurs, comme savoir ce que l'on attend de soi et la confiance en soi, augmente au cours des premiers mois, tandis que le risque de sécurité est précisément le plus élevé durant cette période initiale avant de diminuer. D'après Bauer et al. (2007) et Bauer et Erdogan (2011).

03 · EXPLICATIONPourquoi la méconnaissance est un risque

La méconnaissance des premiers mois est précisément ce qu'un attaquant peut exploiter. Qui ne connaît pas encore la façon habituelle de procéder peut plus difficilement juger si une demande est légitime. Un nouveau collaborateur ignore souvent encore qui est habilité à approuver un paiement, comment les identifiants doivent être partagés, ou à quoi ressemble normalement un message de la direction. Ajoutez à cela qu'un nouveau venu souhaite faire bonne impression et réagit donc rapidement et serviablement, et l'on comprend pourquoi la tromperie a davantage de chances d'aboutir durant cette période.

Il s'agit là de bien plus que du seul courriel. La tromperie peut tout aussi bien se produire par téléphone, par message ou en personne, et touche simultanément plusieurs des sept domaines d'attention. Le partage non sécurisé d'un mot de passe lors de la première connexion touche la gestion des accès, la mauvaise évaluation d'une demande de données touche le traitement de l'information, et l'ignorance de l'endroit où signaler quelque chose de suspect touche le signalement des incidents. La recherche sur la résistance à la manipulation sociale montre qu'une sensibilisation à la sécurité plus élevée est corrélée à une probabilité accrue qu'une personne résiste à une telle tentative (Grassegger et Nedbal, 2021). Pour qui vient d'arriver, cette sensibilisation sur toute son étendue est encore en construction.

Ce qui manque à un nouveau collaborateur, ce n'est pas tant la connaissance que quelque chose peut être dangereux, mais le repère permettant de voir qu'une demande s'écarte de ce qui est normal.

D'après la recherche sur l'intégration des nouveaux collaborateurs et sur la sensibilisation à la sécurité

04 · EXPLICATIONLa connaissance ne suffit pas, surtout au début

Il est tentant de combattre cette vulnérabilité en transmettant le plus tôt possible le plus de connaissances possible. La science nuance ce constat. Une étude de synthèse qui récapitule les résultats de nombreuses recherches montre que l'effet des formations sur la connaissance et l'attitude est important, mais que l'effet moyen sur le comportement effectif reste faible (Prümmer, van Steen et van den Berg, 2024). Cette différence n'est pas un hasard. Un modèle reconnu de changement de comportement, le Behaviour Change Wheel, décrit que le comportement ne change que lorsque la connaissance et la compétence, la motivation et l'occasion de bien agir se rejoignent (Michie, van Stralen et West, 2011).

C'est précisément cette dernière condition, l'occasion, qui fait défaut chez un nouveau collaborateur. On peut savoir qu'un mot de passe ne doit jamais être demandé par téléphone, mais sans connaissance des processus habituels, il est difficile d'évaluer si une demande concrète est suspecte. Une intégration qui ne transmet que des connaissances ne remplit donc qu'une seule des trois conditions. L'information passive qui se contente de diffuser des renseignements ne modifie d'ailleurs guère le comportement (Bada, Sasse et Nurse, 2015), tandis que des formes actives, répétées et adaptées au contexte ont, elles, un effet (Prümmer, van Steen et van den Berg, 2024).

À cela s'ajoute le facteur temps. Les connaissances transmises en une seule fois s'estompent rapidement : la courbe de l'oubli, décrite en 1885 par le psychologue allemand Hermann Ebbinghaus et confirmée par des recherches répétées (Murre et Dros, 2015), montre qu'une grande partie de la matière nouvellement apprise s'efface déjà en quelques jours à quelques semaines en l'absence de répétition. Une formation unique le premier jour de travail n'est donc pas suffisante, aussi bien intentionnée soit-elle. Ce que suggère la littérature, c'est une formation qui commence tôt, courte et répétée, et qui ne se contente pas de transmettre des connaissances mais aide aussi à connaître la façon de procéder de l'organisation et à savoir où l'on peut signaler quelque chose.

05 · CONCLUSIONTôt, large et axé sur le comportement

La période de l'intégration s'explique aisément. Les premiers mois sont une période d'adaptation durant laquelle un collaborateur ne connaît pas encore l'organisation, et cette méconnaissance constitue, sur toute l'étendue de la sensibilisation à la sécurité, une vulnérabilité que les attaquants peuvent exploiter. La littérature ne plaide pas pour une simple transmission accrue de connaissances, mais pour une formation qui commence tôt, qui porte sur toute l'étendue au lieu du seul hameçonnage, et qui est axée sur le comportement en étant courte, répétée et ancrée dans le contexte du travail. Tout aussi important, l'organisation doit donner au nouveau venu l'occasion d'agir en toute sécurité, en rendant claires dès le début la façon de procéder, les habilitations et la manière de signaler quelque chose.

Dans le même temps, la modestie est de mise. Le fondement de cette période provient en grande partie de recherches connexes, sur l'intégration des nouveaux collaborateurs, sur le comportement et sur l'effacement des connaissances, et bien moins d'études ayant mesuré directement et sur une longue durée le cyberrisque des toutes premières semaines. Les chiffres affirmés qui circulent à ce sujet dans les publications professionnelles ne se rattachent guère à des recherches vérifiables. Il y a là une lacune manifeste, qui pourrait être comblée en suivant les nouveaux collaborateurs sur une longue durée dès leur premier jour de travail, à l'aide de données comportementales anonymisées.

Limites

  • Ce rapport est une étude de la littérature qui récapitule des recherches existantes, et ne contient aucune recherche propre nouvelle.
  • Le fondement de cette période initiale est en grande partie indirect : il s'appuie sur des recherches relatives à l'intégration des nouveaux collaborateurs, au comportement et à l'effacement des connaissances, et moins sur des mesures du cyberrisque durant les toutes premières semaines.
  • Un questionnaire comme le HAIS-Q mesure la sensibilisation, ce qui est différent d'un décompte d'incidents réels.
  • Les études citées ont été menées dans des organisations et des pays variés, de sorte que les effets peuvent différer selon l'environnement.

Sources

  1. Bada, M., Sasse, A. M., et Nurse, J. R. C. (2015). Cyber Security Awareness Campaigns: Why do they fail to change behaviour? International Conference on Cyber Security for Sustainable Society. arxiv.org/abs/1901.02672
  2. Bauer, T. N., et Erdogan, B. (2011). Organizational socialization: The effective onboarding of new employees. In APA Handbook of Industrial and Organizational Psychology. researchgate.net/publication/285000696
  3. Bauer, T. N., Erdogan, B., Ellis, A. M., et al. (2025). New Horizons for Newcomer Organizational Socialization: A Review, Meta-Analysis, and Future Research Directions. Journal of Management. doi 10.1177/01492063241277168
  4. Ebbinghaus, H. (1885). Über das Gedächtnis: Untersuchungen zur experimentellen Psychologie. La recherche originale sur la courbe de l'oubli, répliquée plus d'un siècle plus tard par Murre et Dros (2015).
  5. Grassegger, T., et Nedbal, D. (2021). The Role of Employees' Information Security Awareness on the Intention to Resist Social Engineering. Procedia Computer Science, 181, 59-66. doi.org/10.1016/j.procs.2021.01.103
  6. Ifinedo, P. (2014). Information systems security policy compliance: an empirical study of the effects of socialisation, influence, and cognition. Information & Management, 51(1), 69-79. academia.edu/20387560
  7. Michie, S., van Stralen, M. M., et West, R. (2011). The behaviour change wheel: a new method for characterising and designing behaviour change interventions. Implementation Science, 6:42. doi.org/10.1186/1748-5908-6-42
  8. Murre, J. M. J., et Dros, J. (2015). Replication and Analysis of Ebbinghaus' Forgetting Curve. PLOS ONE, 10(7), e0120644. Université d'Amsterdam. doi.org/10.1371/journal.pone.0120644
  9. Parsons, K., McCormac, A., Butavicius, M., Pattinson, M., et Jerram, C. (2014). Determining employee awareness using the Human Aspects of Information Security Questionnaire (HAIS-Q). Computers & Security, 42, 165-176. sciencedirect.com/.../S0167404813001235
  10. Parsons, K., Calic, D., Pattinson, M., et al. (2017). The HAIS-Q: Two further validation studies. Computers & Security, 66, 40-51. doi.org/10.1016/j.cose.2017.01.004
  11. Prümmer, J., van Steen, T., et van den Berg, B. (2024). Assessing the effect of cybersecurity training on end-users: A meta-analysis. Computers & Security, 150, 104206. doi.org/10.1016/j.cose.2024.104206
  12. ENISA (2024). Reframing Cybersecurity Awareness Raising: exploring the human factor. European Union Agency for Cybersecurity. enisa.europa.eu
  13. Eurostat (2024). ICT security in enterprises (enquête 2024, incidents en 2023). ec.europa.eu/eurostat
  14. CBS (2023). Bijna 6 op 10 baanwisselaars korter dan twee jaar in dienst. Centraal Bureau voor de Statistiek. cbs.nl
  15. NCSC-NL. Recommandations sur la réponse aux incidents et le signalement des incidents. ncsc.nl
Étape suivante

Utilisez cet article comme base puis voyez comment 2LRN4 traduit ce sujet en segmentation d'audiences, formation et reporting.

Réserver une démo Télécharger le guide Plus d'articles