Un clic et tout bascule : pourquoi la cybersécurité est devenue l’affaire de tous

Lundi matin, 9h12. Kevin reçoit un email de son “Manager” :

Bonjour Kevin,

Peux-tu valider rapidement le document ci-dessous avant envoi au client ?

Le délai est très cours, j’ai besoin de ton retour avant 10h.

Tu trouveras le document ici : [Lien SharePoint]

Merci de me confirmer dès que c’est fais.

Bien à toi,

Thomas Martin

Manager

Il clique.

Quelques minutes plus tard, sans le savoir, Kevin vient d’ouvrir la porte à une cyberattaque.

Ce scénario, loin d’être exceptionnel, illustre une réalité : aujourd’hui, la cybersécurité se joue souvent dans des actes du quotidien.

Phishing, fuite de données, rançongiciels… ce jargon réservé, il y a seulement quelques années, au microcosme des experts IT, fait désormais partie de notre vocabulaire. Contre toute attente, la cybersécurité s’est invitée dans notre quotidien, à travers des gestes simples comme un clic, l’envoi d’un email ou le partage d’un fichier.

Cette réalité, a poussé de nombreuses entreprises comme la nôtre à aller plus loin : former systématiquement l’ensemble des équipes (internes, externes et partenaires).

Bienvenue dans le monde de l’ingénierie sociale

Depuis 2020, le paysage des cybermenaces a radicalement changé en France. L’adoption du télétravail, l’explosion des outils collaboratifs et l’usage massif du cloud ont multiplié les points d’entrée pour les attaquants.

La cybersécurité est une affaire de tous.Selon l’ANSSI (Agence nationale de la sécurité des systèmes d’information), les attaques par rançongiciel ont connu une hausse significative depuis la crise sanitaire. Les PME et ETI sont particulièrement ciblées. Pour cause, elles constituent des portes d’entrée vers des systèmes plus vastes.

De plus, contrairement aux idées reçues, ce ne sont pas les failles techniques qui posent problème, mais les comportements : plus de 80 % des cyberattaques exploitent le facteur humain. Les cybercriminels ne cherchent pas toujours à hacker des systèmes complexes. Ils préfèrent souvent… tromper les utilisateurs.

Un email qui semble provenir d’un manager, un lien “urgent” à cliquer, une demande inhabituelle mais crédible… Bienvenue dans le monde de l’ingénierie sociale.

Pourtant, la cybersécurité ne repose pas uniquement sur des outils, mais sur les décisions humaines du quotidien. Dans le monde professionnel, chaque salarié devient un maillon, volontaire ou non, de la sécurité globale.

La sensibilisation, un outil incontournable

Face à ces risques, ALDEMIA a adopté une démarche de sensibilisation qui ne concerne pas uniquement les salariés internes. Elle s’étend également aux sous-traitants et partenaires.

Pourquoi cette approche globale ? Parce que dans un environnement interconnecté, la sécurité d’un système dépend de tous ses acteurs.

Notre dispositif est structuré autour de plusieurs piliers :

  • Un guide de référence,
  • Une formation dédiée,
  • Un QCM de validation,
  • Et surtout une application concrète en mission.

La réalité du terrain

La cybersécurité, ce n’est pas une théorie abstraite, c’est une réalité opérationnelle, avec des situations à risque :

  1. Le phishing (ou hameçonnage) : Un grand classique et le premier vecteur d’attaque en entreprise. Un message crédible, souvent urgent, qui incite à cliquer ou à transmettre une information sensible.
  2. Les mots de passe et identités compromises : Un mot de passe réutilisé, un MFA validé trop vite… et un attaquant peut accéder à l’ensemble des systèmes comme un utilisateur légitime.
  3. Les erreurs de manipulation : Un fichier envoyé au mauvais destinataire, un lien de partage mal configuré… Parfois, il ne s’agit pas d’une attaque, mais simplement d’une erreur humaine — aux conséquences bien réelles.
  4. Le Shadow IT : Utiliser un outil non autorisé “parce que c’est plus pratique”. Un réflexe courant… et pourtant risqué, car ces outils échappent aux contrôles de sécurité.
  5. Les nouveaux risques liés à l’IA : Copier-coller du code ou des données dans un outil public, sans précaution… Une pratique de plus en plus fréquente, mais potentiellement critique en termes de confidentialité.

Un cadre réglementaire exigeant

Au-delà de l’enjeu technique ou organisationnel, la cybersécurité est aussi une obligation réglementaire.

Un clic sur le mauvais lien suffit pour activer un logiciel malveillant.En France et en Europe, plusieurs cadres renforcent les exigences :

  • Le RGPD, sur la protection des données personnelles,
  • La directive NIS2, qui impose une gestion renforcée des risques et des incidents,
  • Les recommandations de la CNIL et de l’ANSSI.

Pour les entreprises et leurs prestataires, les conséquences d’un incident peuvent être lourdes : des sanctions financières, des responsabilités contractuelles engagées, la perte de confiance des clients ou un impact réputationnel durable.

Dans ce contexte, la formation des collaborateurs n’est plus une option. C’est une nécessité.

La cybersécurité, une culture avant tout

Former, c’est bien. Mais créer une culture de la cybersécurité, c’est mieux.

Nous n’avons pas pour volonté de transformer chaque consultant en expert technique, mais de développer les bons réflexes, de comprendre les risques, de savoir réagir rapidement et d’adopter une posture responsable. Autrement dit : faire de la sécurité un réflexe au quotidien.

Car après réflexion, la cybersécurité repose sur des gestes simples : vérifier avant de cliquer, protéger ses accès, limiter les partages, signaler sans attendre.

Et demain ? Les menaces continueront d’évoluer au rythme des innovations technologiques. Mais l’homme reste maître de ses actes. La sécurité est une responsabilité collective. Former tous les collaborateurs, sans exception, n’est pas un luxe. C’est un prérequis pour travailler en confiance.

Et comme le rappelle notre RSSI : « Un doute signalé n’est jamais une erreur. Un incident ignoré peut en être une. »