Psybersafe Blog

Votre programme de conformité est une bibliothèque. Personne ne le lit.

mars 2026· 9 min read

NIS2 s'en moque.

Il est 16 h 46 un vendredi quand quelqu'un transfère un tableur intitulé Analyse des écarts NIS2 FINALE v7 VRAIMENT FINALE. Nous faisons ce que tout adulte sensé ferait : nous le parcourons, hochons gravement la tête et nous promettons de « le regarder sérieusement » la semaine prochaine.

C'est précisément le moment où un programme de conformité cesse d'être une réglementation pour devenir un problème de psychologie.

Car le point délicat, ce n'est pas le tableur. C'est le lundi matin. C'est Sharon, à la comptabilité, qui valide une facture pendant que Teams sonne. C'est votre responsable des opérations qui essaie de livrer un projet client pendant que quelqu'un demande, encore, « Tu peux juste réinitialiser mon mot de passe sur Été2026 ? Je suis pressé. »

Si cette phrase vous agace, tant mieux. Agacé, c'est éveillé. Et éveillé, c'est le bon état d'esprit pour éviter le piège le plus courant en matière de conformité : traiter les gens comme un problème de distribution de politiques.

La conformité commence dans la cuisine, pas dans le dossier du conseil

Quand les organisations ressentent une pression réglementaire, elles réagissent souvent comme la plupart d'entre nous face à un garage en désordre. Nous achetons des boîtes de rangement.

C'est ainsi que l'on se retrouve avec des politiques que personne ne lit, des diapositives de formation dont personne ne se souvient et un « processus » qui n'existe principalement que sous la forme d'un dossier intitulé Nouveau processus (final).

Soyons clairs : ce n'est pas un plaidoyer contre les politiques. C'est un plaidoyer contre l'illusion.

Un document peut clarifier les attentes. Il peut vous protéger juridiquement. Il peut prouver que vous avez essayé. Mais il ne rend pas la bonne action plus facile à accomplir. Et en matière de conformité, c'est le « facile » qui l'emporte. Non pas parce que les gens sont négligents, mais parce qu'ils sont occupés. Ils essaient de faire un travail correct, rapidement, avec les outils et le temps dont ils disposent réellement.

C'est là que la « culture » cesse d'être une expression vague pour devenir très concrète. La culture, ce ne sont pas des affiches et des slogans. La culture, c'est ce que les gens font quand ils sont fatigués, quand on les interrompt, quand personne ne regarde.

Si vous voulez une conformité qui survive à un lundi stressant, concevez-la pour cette journée stressante. Pas pour la réunion d'audit annuelle où tout le monde se souvient soudain de ce que dit la politique.

Pourquoi la formation d'une journée et les cases à cocher continuent d'échouer

La plupart des organisations ne cherchent pas à bâtir une conformité « pour la forme ». Cela arrive parce que la pression du temps nous pousse à produire la preuve la plus rapide possible.

Nous faisons donc les choses qui ont l'air sensées : diffuser des politiques, organiser une formation annuelle, ajouter un quiz, enregistrer les présences. Ces actions créent des artefacts, et les artefacts donnent une impression de progrès. Ils font très bien dans un dossier.

Mais les artefacts ne sont pas des résultats. Une politique signée n'équivaut pas à une habitude changée. Un module terminé n'équivaut pas à une décision plus sûre sous pression.

Un test utile : quand le moment à risque survient, les gens font-ils ce qu'il faut par défaut, ou doivent-ils se souvenir qu'un PDF existe ?

Si la réponse est « ils doivent s'en souvenir », vous n'avez pas construit un programme de conformité. Vous avez construit une bibliothèque.

Le modèle COM-B en une minute

L'un des cadres les plus utiles pour comprendre pourquoi le changement de comportement réussit ou échoue est le modèle COM-B, développé par Michie et al. (2011). Il dit que le comportement se produit quand les gens réunissent trois éléments :

Le modèle COM-B

La plupart des campagnes de conformité se concentrent presque entièrement sur la Capacité. On bombarde les gens d'informations, on impose un module, on envoie une politique par e-mail. Le quiz est ajouté parce qu'un quiz a l'air d'être une preuve.

Mais la réussite de la conformité dépend tout autant de l'Opportunité et de la Motivation.

Prenez n'importe quel comportement dicté par une politique : signaler des incidents, faire remonter une préoccupation, contester un fournisseur, refuser une demande risquée venant d'un supérieur. Pour que ce comportement se produise de façon fiable, les gens ont besoin :

S'il en manque un seul, le comportement échoue. Pas en théorie. En pratique, le jour où cela compte.

Voilà pourquoi « nous les avons formés » n'équivaut pas à « ils le font ». Et voilà pourquoi une équipe conformité devrait s'inquiéter en entendant : « On s'occupera du volet culturel après avoir finalisé le corpus de politiques. » Ce n'est pas le corpus de politiques qui prévient les défaillances. Ce sont les habitudes.

NIS2, exemple parfait d'un problème de conformité plus large

NIS2 est un cas d'étude utile, non parce qu'il est unique, mais parce qu'il rend le schéma évident. Il est facile de le traiter comme un projet avec une date de début et de fin, une liste à cocher et un dossier à remplir.

Les organisations qui réussiront avec NIS2 ne seront pas celles à la plus belle documentation. Ce seront celles où les comportements de gestion des risques se produisent réellement quand personne ne regarde.

NIS2 est un projet de changement de comportement déguisé en projet de conformité.

Il en va de même pour la plupart des régimes de conformité modernes. La norme écrite est la partie visible. Le comportement vécu est la partie protectrice.

Et si vous êtes au Royaume-Uni, ne croyez pas être à l'écart. Si vous fournissez des services à des organisations réglementées dans l'UE, ou si vous faites partie de leur chaîne d'approvisionnement, ces clients peuvent exiger de vous des garanties de niveau NIS2, où que vous soyez établi. Le périmètre n'est pas qu'une question de géographie.

Une note pratique sur le périmètre : NIS2 est une directive européenne, et les directives sont transposées en droit national. Les détails varient d'un pays à l'autre, et « sommes-nous concernés » n'est pas une question à trancher d'après un post LinkedIn. Consultez les orientations de votre autorité nationale. Le centre national de cybersécurité irlandais publie une FAQ NIS2 en langage clair, et la Commission européenne propose des informations de fond sur la directive. Une seule page ne répondra pas à tout pour toutes les organisations, mais les deux rendent un point incontournable : ce n'est pas un exercice de paperasse. Les autorités s'intéressent à la gestion des risques, à la responsabilité et à la capacité des organisations à réagir quand quelque chose tourne vraiment mal.

Ce qui nous ramène, encore, au comportement.

Si votre organisation « a un processus » mais que personne ne sait quoi faire quand quelque chose cloche, que faire remonter l'information paraît risqué ou gênant, et que chacun suppose que quelqu'un d'autre s'en chargera, le processus est décoratif. Et si le plan est d'y remédier plus tard, vous venez de décrire la conformité de dernière minute.

Pour les PME comme pour les grandes organisations : faites de la bonne action l'action facile

Beaucoup de conseils en conformité divisent le monde entre petites et grandes organisations, comme si le comportement humain changeait selon l'effectif. Ce n'est pas le cas. Les gens restent obstinément humains, quelle que soit la taille.

Les petites organisations peinent généralement par manque de moyens. Il n'y a pas d'armée de la conformité. Il y a Sharon, un responsable des opérations et quelqu'un qui « s'y connaît en informatique ». La victoire n'est pas de tout faire. La victoire, c'est d'adopter quelques comportements de façon constante, avec le moins de complications possible.

Les grandes organisations peinent souvent sur les passages de relais. Les contrôles existent, mais les failles vivent entre les équipes, les fournisseurs et les exceptions « juste pour cette fois ». La victoire n'est pas une politique de plus. La victoire, c'est de retirer les frictions du chemin sûr et les récompenses du chemin dangereux.

Dans tous les cas, le levier est le même : faire de la bonne action la voie de moindre résistance.

Si la voie sécurisée est plus difficile, plus lente ou socialement plus risquée que le contournement, les gens contourneront. Non par malveillance, mais par humanité. Si vous voulez que la conformité survive au contact du réel, concentrez-vous moins sur le fait de dire aux gens quoi faire, et davantage sur la suppression des raisons qui les en empêchent.

Si le mythe du « nous sommes trop petits pour compter » circule dans votre organisation, cet article de Psybersafe vaut le détour : Le mythe de la PME.

Un plan simple en 30-60-90 jours pour tout changement de conformité ou de politique

On ne décrète pas une culture. On peut, en revanche, la construire par petites étapes sensées. Voici un plan qui respecte le fait que vous avez encore une entreprise à faire tourner.

30 premiers jours : choisissez deux comportements et rendez-les visibles

Choisissez deux comportements qui réduisent rapidement le risque et apparaissent dans le travail quotidien. Par exemple, « marquez une pause et vérifiez avant de modifier des coordonnées de paiement », ou « signalez les messages suspects via un seul canal ». Définissez en une phrase ce qu'est un « bon » comportement pour chacun. Puis facilitez-le : un canal évident, un bouton, une courte phrase que les managers peuvent utiliser quand quelqu'un fait remonter une alerte (« Merci, c'est exactement ce que nous voulons »).

60 jours suivants : répétez, renforcez et supprimez un point de friction

Proposez de courtes formations mensuelles correspondant aux situations réelles que vivent les gens. Assez courtes pour que personne n'ait à bloquer une demi-journée, et assez précises pour que chacun s'y reconnaisse. Puis choisissez un point de friction et corrigez-le : peut-être que faire remonter une alerte est compliqué, que la responsabilité n'est pas claire, ou que les gens craignent de passer pour des idiots. Les petites corrections s'additionnent.

À 90 jours : ancrez les repères et les normes pour que le comportement tienne sans pression constante

Créez des rappels qui guident le comportement automatiquement. Un rappel au moment de l'action. Une ligne standard dans l'intégration des nouveaux. Des managers qui incarnent l'habitude à voix haute. Les gens commencent à copier ce à quoi ressemble la « normalité ». C'est ainsi que la culture se diffuse, discrètement.

Don't miss what actually changes behaviour

Every blog as it lands, plus tips, tricks and behavioural science you won't find anywhere else.

Join over 500 people getting safer, one issue at a time.

No spam. Unsubscribe any time.

Found this useful? Share it with a colleague. And if someone shared it with you, sign up above and get the next one yourself.