Démarche de diffusion de la culture cybersécurité par les minorités actives

Savez-vous quel le pourcentage de population à embarquer pour que le changement commence ?

100%, 80%, 60%, 30% ?

Non, les recherches en dynamique sociale montrent un tout autre résultat. Le point de bascule se situe en réalité entre 15% et 20%.

Beaucoup d’organisations investissent sans obtenir un véritable changement culturel. La participation plafonne, les comportements évoluent lentement, et la sensibilisation reste souvent perçue comme une obligation réglementaire davantage que comme un levier stratégique.

Et si le problème n’était pas l’effort consenti, mais le modèle implicite sur lequel il repose ?

Car la plupart des démarches actuelles partagent le même postulat : pour transformer les comportements, il faudrait embarquer tout le monde.

C’est précisément ce que ces recherches mettent en cause : les transformations collectives ne commencent pas par la majorité.

Elles commencent par une minorité active.

Une minorité cohérente, visible, persistante, suffisamment connectée de 15 à 20% du groupe pour entraîner les autres.

Cette idée, largement étudiée dans d’autres domaines — diffusion de l’innovation, transitions sociales, propagation des normes — mérite d’être appliquée en cybersécurité.

Car si cette hypothèse est juste, alors une stratégie de culture cyber n’a pas d’abord pour objectif de convaincre 100 % des collaborateurs.

Elle doit d’abord identifier les bons 15 %.

Les relais.

Les “éclaireurs”.

Les managers de proximité, les influenceurs informels, les collaborateurs que l’on écoute, ceux dont les comportements font norme sans qu’on le dise.

Le sujet n’est plus seulement de diffuser des messages.

Il devient de structurer une dynamique sociale.

Car cela déplace la sensibilisation du registre de la conformité vers celui de la transformation culturelle.

La mise en œuvre d’une telle démarche qui, plutôt que de chercher à mobiliser immédiatement tout le corps social, vise à créer un noyau actif capable de déplacer progressivement la norme commune, permet de répondre aux frustrations que rencontrent nombre de RSSI dans leurs opérations de sensibilisation :

• Faible participation ;
• Faible impact sur les comportements et la réduction du risque humain.

La démarche proposée s’appuie sur les étapes suivantes :

• Identification de la population d’éclaireurs ;
• Développement de cette population
• Mobilisation et animation de cette population.

La culture cybersécurité se propage par contagion sociale.

Dans les organisations les plus importantes 15 à 20% de la population peut signifier des dizaines voire des centaines d’individus.

Il faut donc disposer d’une solution permettant d’automatiser et d’industrialiser le processus.

Si l’objectif est vraiment d’obtenir des résultats dans le développement de la culture cybersécurité et la réduction des incidents cyber d’origine humaine, la quête de la modalité magique est vaine. Car dans un monde où la sécurité dépend de plus en plus des comportements, la vraie rupture ne viendra peut-être pas d’une technologie supplémentaire.

Mais d’une meilleure compréhension de la manière dont les humains changent ensemble.

Pour découvrir notre démarche plus en détail, demandez-votre livre blanc gratuit : ICI