Thierry Happe (Netexplo) : « Il faut cultiver la lucidité des collaborateurs, pas leurs peurs »

À l’origine de l’Observatoire Netexplo, Thierry Happe s’attaque cette fois à la cybersécurité avec son Predictive Cyberlab. Face à la complexification des cyberattaques, il prône un changement radical : faire de chaque collaborateur un acteur engagé, capable d’anticiper et de réagir aux menaces. Son approche remplace la culpabilisation pour susciter plutôt intérêt, compréhension et action, au bureau comme dans la vie personnelle.

---

Entretien avec Thierry Happe, Président et fondateur du Predictive Cyberlab

---

Avec l’objectif de détecter les usages et les tendances émergentes autour du numérique, Thierry Happe a lancé puis dirigé pendant 15 ans l’Observatoire Netexplo en partenariat avec l’Unesco, 24 entreprises du CAC 40, et un réseau de 22 universités dans le monde. Après l’avoir cédé au groupe Les Echos en 2023, il crée Open C Future et lance fin 2024 le Predictive Cyberlab avec cette même philosophie, à savoir combattre les peurs autour de la technologie en suscitant au contraire de l’intérêt et des questionnements.

Comment votre Predictive Cyberlab entend-il de renouveler les approches autour de la cybersécurité ?

Il y a un écart grandissant entre les règles de sécurité prescrites dans les grands groupes et les pratiques réelles. Les RSSI ont plutôt bien fait leur travail sur la partie technique et la protection des SI, même si les attaques toujours plus sophistiquées ne permettent aucun relâchement. Mais aujourd’hui, 70 % des cyberattaques reposent sur l’ingénierie sociale, c’est-à-dire la manipulation des comportements.

Pour couvrir cette autre dimension, il faut des collaborateurs plus que sensibilisés, véritablement mis en action pour devenir des « cyber-acteurs ». Il leur faut comprendre et identifier les risques, être capables d’apporter des réponses, individuellement ou collectivement, par anticipation ou par réaction, pour créer une véritable résilience. Cela s’appelle la cybermaturité. Nous n’avons pas inventé le terme ; il a été développé, notamment au MIT, il y a quelques années. Et la cybermaturité, cela ne s’improvise pas : il faut la travailler et la développer.

Il faut donc des outils différents. Que proposez-vous ?

Concrètement, nous avons trois familles de livrables. La première, ce sont des séances dites de narrative design – c’est-à-dire une forme de design thinking centrée sur le récit – auxquelles les collaborateurs sont conviés. Le récit permet de faire bouger les gens. Si vous voulez une mise en action, il faut qu’ils puissent intégrer ces sujets dans leur manière de fonctionner et se les approprier. Aujourd’hui, ce n’est pas le cas : la « cyber » est vécue comme une contrainte, la cyber-fatigue est réelle. Et les campagnes de phishing avec leur logique culpabilisante ne sont pas forcément le meilleur outil pour faire évoluer les comportements. Nous avons donc choisi d’utiliser un film de fiction comme catalyseur, pour que les spectateurs imaginent à leur tour des scénarios, et se disent « voilà ce qui pourrait arriver chez nous ».

Le visionnage de ce film, par groupes d’environ 25 personnes, débouche sur la création d’un réseau de cyber-ambassadeurs ou de cyber-influenceurs, c’est aux entreprises de choisir le terme, qui ne seront surtout pas seulement des profils IT / cyber. Au contraire, tous les métiers sont représentés, sur tous les sites, en France et à l’étranger. Ces personnes vont jouer un rôle de relais. Nous les informons en priorité. Certaines ont déjà de l’appétence, d’autres découvrent le sujet et s’y intéressent progressivement.

Ce sont eux que nous avons invités à notre journée en présentiel en juin, où sont intervenus des experts, des entreprises, des représentants de la société civile, des hackers, pour explorer tous ces enjeux de la cybermaturité. Environ 400 personnes sont venues, majoritairement des cyber-ambassadeurs, dont certains confrontés pour la première fois à ces sujets, et notamment au rôle accélérateur des technologies. Les retours ont été très positifs parce que nous avons parlé un autre langage que celui des spécialistes. Le langage « cyber » n’est pas fait pour les non-initiés : si vous ne savez pas ce qu’est la MFA, si la terminologie vous paraît barbare, vous n’adhérez pas. Et si vous jouez sur l’angoisse et la culpabilité, vous n’embarquez personne.

Et le troisième livrable ?

Cet événement a marqué le début d’une communauté d’action pour anticiper collectivement les menaces et faire émerger des comportements plus efficaces face aux risques numériques. Car le dernier livrable, c’est un programme en ligne. Il n’est pas conçu comme une formation classique, mais à partir d’un film de fiction – toujours celui qui a servi d’introduction aux séances.

Ce film vise à embarquer totalement, nous avons mis les moyens dans ce but : des scénaristes réputés, notamment Thomas Bidegain et Yannick Muller, et les apports de notre conseil scientifique pluridisciplinaire. Nous sommes allés assez loin dans la démarche : les acteurs jouent même dans une sorte de making-of pour expliquer comment ils se sont fait piéger. Ils prolongent leurs rôles. Et il y a des « hackers », en fait des acteurs également, qui expliquent comment ils ont piégé les gens. Le film appelle des questions de personnes qui ne se les posaient pas forcément. Il est suivi de documentaires, puis d’une validation des acquis en conclusion qui débouche sur la certification Predictive Cyber Engagement.

Qui fait partie de ce conseil scientifique ?

Vous y trouvez des personnalités comme Guillaume Poupard. Quand il a quitté l’ANSSI, il m’avait confié que ce qui avait joué le plus positivement dans le développement de l’agence, n’était pas venu de l’ANSSI elle-même, mais de la diffusion par Canal+ de la série Le bureau des légendes, qui a permis à de jeunes talents de se projeter en « agents » de la tech, et qui se sont dits qu’ils avaient envie de passer par l’agence.

C’est l’imaginaire qui a joué dans cet exemple. Jusqu’alors, le sujet cyber avait été traité comme un sujet de management, par des techniciens RSSI ou des DRH. Personne n’avait porté un récit différent. L’image du type à capuche dans sa cave qui tape sur un clavier persiste depuis des années. La réalité est que cela touche tout le monde et que c’est bien plus sophistiqué. Il ne s’agit pas de dire que rien n’a été fait d’utile – au contraire – mais de sortir d’une approche anxiogène et culpabilisante pour aller vers un message impliquant, ancré dans la vie perso et pro. Le récit tisse nos vies : il donne du sens, capte l’attention, crée de l’émotion, offre des leçons et guide l’action.

Il y a d’autres profils étonnants dans ce conseil, comme des représentants des sciences humaines et sociales ?

Oui, par exemple, Francesca Musiani, directrice de recherche au CNRS, qui travaille spécifiquement sur la cybersécurité ; ou bien Serge Tisseron, psychiatre-psychologue, qui a beaucoup étudié l’empathie numérique, le harcèlement et les biais cognitifs. Il nous apporte son expertise à impliquer les gens par la vraie vie, pas uniquement via des consignes de management.

Nos partenaires du CNRS, de l’X, de Télécom Paris nous aident également pour travailler le scénario du film, le rendre crédible y compris pour un RSSI. Sinon, nous serions seulement vus comme des professionnels de la communication. Avec eux, nous validons aussi les dimensions ergonomiques du programme en ligne, et nous le traduisons en dix langues. Nous travaillons déjà avec Airbus, Crédit Agricole, Renault, des entreprises qui ont des sites dans plusieurs pays. Il est indispensable d’embarquer les collaborateurs dans toutes ces configurations, en tenant compte des nuances culturelles.

Avez-vous de nouveaux KPI pour mesurer le succès de cette démarche inédite ?

Tout à fait. Nous sommes obsédés par la mesure. Or celles qui existent sont insatisfaisantes. Il est certes facile de réaliser une campagne de phishing et de comptabiliser les personnes qui ont cliqué. Mais il y a des limites : au bout d’un moment, les gens se braquent. Quant aux QCM en ligne par exemple, ils sont loin de proposer une mise en situation réelle.

Nous travaillons donc actuellement sur d’autres approches, par exemple l’utilisation de l’IA générative pour des mises en situation de validation d’acquis, avec des interfaces vocales personnalisées par secteur et par métier. Nous avons identifié des start-up qui font des choses remarquables. Cela devrait permettre d’obtenir des KPI beaucoup plus précis. Nous n’en sommes qu’au début de l’histoire, mais à terme, nous devrions pouvoir délivrer des certificats moins « scolaires » que des QCM, et plus personnalisés par la mise en situation.

Vous avez proposé cette démarche gratuitement aux collectivités et aux hôpitaux. Pourquoi ce traitement de faveur ?

Ce n’est pas un traitement de faveur. J’ai eu la chance de créer plusieurs entreprises qui ont bien fonctionné et je suis reconnaissant à nos institutions. D’ailleurs, notre programme est placé sous le haut patronage du Sénat et le marrainage de la ministre chargée de l’IA et du Numérique.

Mon objectif est de soutenir les plus vulnérables aujourd’hui : hôpitaux, collectivités territoriales, certaines écoles. Aussi, à côté de l’entreprise qui pilote le Predictive Cyberlab [Open C Future, NDLR], nous avons créé l’association loi 1901 Predictive Cyber for Society, non profitable, pour mettre gratuitement à disposition ce que nous développons, via les régions et leurs partenaires. Nous avons aussi décidé de mettre gracieusement à disposition le programme aux sous-traitants des grands comptes qui le financent, par exemple chez Safran, via le GIFAS, pour les PME de l’aéronautique et du spatial, bien plus vulnérables que leurs donneurs d’ordres.

N’est-ce pas une erreur de laisser croire aux collaborateurs que tout est sous contrôle, au risque de réveils difficiles quand une cyberattaque survient. Ne faut-il pas rompre avec la croyance des dirigeants que la confiance fait le business ?

Je partage en partie votre constat. On a surjoué la technologie avec les bons firewalls, les bons systèmes, etc., alors que les deux tiers des attaques reposent sur l’ingénierie sociale. Il n’y a pas besoin de « défoncer la porte » ni de craquer le SI lorsque quelqu’un vous ouvre l’accès.

L’idée que les pros de l’IT vont tout gérer n’est d’ailleurs plus si répandue. Nous avons mené une enquête IFOP l’an dernier auprès d’un échantillon représentatif en entreprise de 2 000 personnes.
À la question : « Selon vous, qui devrait être principalement responsable de la protection contre les cybermenaces ? », ils ne sont plus que 31 % à citer les professionnels (RSSI, responsables IT), mais 48 % à estimer que la responsabilité est à partager entre les pros de la tech et chacun d’entre eux, et enfin 21 % à penser que c’est à chacun de se protéger.

Sans doute que la forte médiatisation des risques pesant sur la sphère personnelle a contribué à une prise de conscience collective. Il faut en tirer parti pour transformer chaque collaborateur en un véritable acteur de la cybersécurité : capable d’identifier les menaces, de connaître les premières mesures à adopter, et surtout, d’avoir le réflexe d’alerter – même en cas d’erreur. Car en cybersécurité, comme dans le mythe de Sisyphe, l’effort est sans fin : il n’y a jamais de « sécurité totale », jamais de moment où tout serait définitivement « under control ».

Nous assistons à un véritable changement de paradigme : nous passons d’un modèle centré uniquement sur la technologie à une approche qui reconnaît enfin le rôle clé de l’humain – non pas comme une faiblesse, mais comme une partie de la solution. Les individus commencent à se sentir concernés dès lors que leur vie personnelle est touchée : usurpation d’identité, vol de données bancaires, arnaques en ligne… Pour les mobiliser, il faut leur donner des repères simples et les aider à comprendre les techniques utilisées par les attaquants. La situation est déjà complexe, et elle le sera encore plus avec l’évolution de l’IA. C’est pourquoi il est essentiel de préparer chacun à devenir un cyber-acteur – car, au fond, chacun a un intérêt direct à se protéger.

Face au risque, deux attitudes extrêmes coexistent : la paranoïa ou l’insouciance. La plupart des gens, cependant, cherchent un équilibre. Votre démarche permet surtout de les responsabiliser sans les angoisser…

Oui, nous en faisons des acteurs positifs. Il faut sortir de la peur et de la culpabilité, montrer l’intérêt personnel et professionnel de comprendre le sujet. Il faut faire de la cybersécurité un sujet de vie, pas d’angoisse. Les outils comme l’IA générative ne sont ni bons ni mauvais, tout dépend de ce qu’on en fait. Mais de comprendre les attaques possibles aide à se préparer. Le but n’est pas de faire peur, mais de rendre les gens lucides.

Propos recueillis par FRANÇOIS JEANNE / Photos MAŸLIS DEVAUX

À LIRE AUSSI :

Secu

Anticiper et innover pour ne plus subir, le Graal de la cybersécurité

François Jeanne

24 Nov

À LIRE AUSSI :

Secu

Move to cloud et essor de l’IA : la plateformisation de la cyber s’accélère

Alain Clapaud

26 Nov

À LIRE AUSSI :

Secu

La convergence IT/OT bute à la porte du SOC

Laurent Delattre

1 Déc

À LIRE AUSSI :

Cloud

NIS 2, le chantier n°1 des RSSI pour 2026

Alain Clapaud

2 Déc