Attitude vs. comportement : pourquoi la sensibilisation à la cybersécurité doit intégrer les deux
Date de publication :
- janvier 15, 2026
Dans la sensibilisation à la CYBERSÉCURITÉ, deux notions sont souvent utilisées de manière interchangeable : l’attitude et le comportement. Elles sont liées, mais elles ne sont pas identiques. Les confondre est l’une des principales raisons pour lesquelles de nombreux programmes de sensibilisation n’aboutissent pas à une réduction durable des risques.
Qu’est-ce que l’attitude face au risque ?
L’attitude décrit la manière dont les personnes pensent et ressentent un sujet. En cybersécurité, cela inclut notamment :
- La perception du niveau de risque lié au phishing ou à l’ingénierie sociale
- Le fait de se sentir (ou non) personnellement responsable de la sécurité
- La conviction que l’adoption de bonnes pratiques vaut (ou non) l’effort
L’attitude se construit principalement grâce à l’information, la communication et la formation. Les programmes de sensibilisation traditionnels se concentrent fortement sur ce niveau : politiques, vidéos, modules e-learning et explications de « ce qui pourrait mal tourner ».
Les études confirment que la formation peut effectivement influencer l’attitude. Les employés déclarent souvent une meilleure sensibilisation, un sens accru des responsabilités et une compréhension renforcée après des actions de formation.
Qu’est-ce que le comportement (sécurisé) ?
- Le comportement, c’est ce que les personnes font réellement dans des situations concrètes :
- Cliquent-elles sur un lien suspect ?
- Signalent-elles un e-mail de phishing ?
- Font-elles une pause lorsqu’un message semble étrange — ou agissent-elles sous l’impulsion ?
Le comportement ne se mesure pas à travers des sondages ou des intentions. Il n’est observable qu’à travers des situations réalistes et des actions concrètes.
Cette distinction est essentielle. Plusieurs études montrent qu’une amélioration de l’attitude ne se traduit pas automatiquement par un comportement plus sûr, en particulier en situation de pression temporelle, de stress ou de surcharge cognitive. Les mêmes études indiquent que l’attitude et le comportement en cybersécurité sont corrélés (mais qu’il ne s’agit pas d’un lien de causalité).
Pourquoi l’attitude seule ne suffit pas
La psychologie et les sciences comportementales décrivent ce qu’on appelle le fossé attitude–comportement : les individus agissent souvent à l’encontre de ce qu’ils savent pourtant être la bonne décision. Ce n’est pas irrationnel — c’est humain. Les habitudes, les raccourcis mentaux (heuristiques) et les signaux contextuels dominent la prise de décision, en particulier dans des environnements numériques rapides.
Des recherches récentes en cybersécurité confirment cet effet. Les formations « normatives » améliorent la façon dont les employés perçoivent les risques cyber, mais ont un impact faible et inconstant sur leurs réactions lorsqu’ils sont confrontés à de véritables attaques.
Pourquoi le comportement, sans attitude, échoue aussi
À l’inverse, un changement de comportement sans évolution de l’attitude reste fragile. Des exercices répétés, sans explication, peuvent sembler arbitraires ou même punitifs. Les employés peuvent apprendre à « réussir le test » sans comprendre pourquoi cela compte réellement.
Résultat : des améliorations à court terme qui disparaissent rapidement dès que les exercices s’arrêtent — un schéma largement observé dans les programmes de sensibilisation.
Un changement durable (et une vraie sensibilisation) nécessitent les deux
Les preuves sont claires : un changement comportemental durable repose sur deux approches complémentaires :
- Développement de l’attitude La formation, la communication et l’explication renforcent la perception du risque, le sens des responsabilités et la compréhension du contexte.
- Mise en situation comportementale Des simulations réalistes et l’expérience « sur le terrain » transforment cet état d’esprit en actions concrètes — notamment lorsqu’elles reflètent les techniques d’attaque modernes, pilotées par l’IA.
Les recherches de CYBERDISE sur le spear phishing basé sur l’IA le montrent clairement. La formation agit principalement sur l’attitude. Les simulations d’attaque réalistes et personnalisées influencent surtout le comportement. Seule la combinaison des deux permet une réduction des risques mesurable et durable.
En résumé
L’attitude et le comportement sont deux construits distincts. Tous deux représentent des facteurs de risque humains, mais ils diffèrent fondamentalement dans la manière dont ils se forment, se mesurent et se transforment.
À retenir pour les responsables sécurité
Cela s’applique tout particulièrement à la région DACH : si votre programme de sensibilisation mesure le succès uniquement via la complétion des cours ou les résultats aux quiz, vous mesurez l’attitude — pas le risque. S’il repose uniquement sur des simulations sans contexte d’apprentissage, les améliorations ne dureront pas.
Une sensibilisation cybersécurité efficace considère l’attitude et le comportement comme deux dimensions distinctes, nécessaires et complémentaires. Les aligner n’est pas un simple « plus » : c’est le socle d’une culture de sécurité résiliente.
Sources
- Towards Diagnosing and Mitigating Behavioral Cyber Risks, Pugnetti et al., 2024 https://cyberdise-awareness.com/wp-content/uploads/2026/01/Towards_Diagnosing_and_Mitigating_Behavioral_Cyber.pdf
- Improving Cyber Risk Behavior through AI-Enabled Spearphishing, Pugnetti & Stacho, 2025 https://cyberdise-awareness.com/wp-content/uploads/2025/09/2025-AISP-Leveraging-AI-enabled-spearphishing-to-enhance-cybersecurity-09.25-1.pdf
Nous sommes impatients de partager avec vous d’autres informations, actualités et mises à jour sur la cybersécurité dans les prochains numéros de cette newsletter. Toutefois, si vous ne trouvez pas cela utile, nous sommes désolés de vous voir partir. Veuillez cliquer sur le bouton de désabonnement ci-dessous.
