Lorsque Jinan Budge, analyste Forrester spécialisée dans la sécurité et les risques, se penche sur les pratiques de formation des entreprises dans ses domaines de prédilection, ses constats rappellent des travers fréquemment rencontrés un peu partout dans les organisations. À savoir, quand la méthode prend le pas sur la finalité initiale…
Toutes les grandes organisations en sont victimes à des degrés divers. Il s'agit d'un effet presque automatique de leur tendance à la robotisation du travail, conjuguée à une hiérarchisation parfois extrême et, aussi, la préférence de nombreux collaborateurs pour les tâches routinières. Une fois ces conditions réunies, en peu de temps, les procédures en vigueur ne sont plus appliquées que pour elles-mêmes, y compris au fil de leurs nécessaires ajustements, jusqu'à perdre de vue l'objectif qu'elles visaient.
En matière de sécurité, de telles dérives sont inquiétantes. Sur le plan éducatif, notamment, Jinan décrit ainsi les cas nombreux dans lesquels les exigences réglementaires qui touchent certains secteurs (dont le secteur financier, naturellement) sont remplies par la mise en place de cursus basiques, aux formats standardisés, répétés à l'identique lors de chaque itération… et qui servent essentiellement à pouvoir opposer aux éventuels auditeurs la « bonne » case cochée sur leur formulaire de conformité.
L'analyste estime que ces démarches mécanisées sont généralement complétées d'une second approche pédagogique, plus rationnelle et mieux adaptée aux besoins réels, dont elle s'inquiète alors simplement du dédoublement des efforts qu'elle engendre. Pour ma part, je crois qu'il existe bien des entreprises qui se contentent de satisfaire leurs obligations légales, souvent à minima, et ne s'inquiètent plus guère d'assurer l'infusion d'une profonde culture de sécurité chez tous les employés, pourtant indispensable.
Pour ces acteurs, au moins dans la banque et l'assurance, la première étape consistera donc à prendre conscience du véritable défi à relever : la protection des infrastructures, de l'activité, des données des clients, de la réputation… relève d'une responsabilité collective et de l'engagement de chaque salarié. Des programmes de formation opérationnels, alignés non plus uniquement sur les règles édictées par les autorités mais avant tout sur la défense face aux risques du quotidien, constituent la priorité immédiate.
Viennent ensuite les possibilités d'optimisation qu'autorisent les technologies disponibles aujourd'hui. Les parcours d'apprentissage devraient ainsi être personnalisés, non seulement en fonction du rôle et de la position de l'individu dans l'organisation mais également par rapport à ses comportements et leur évolution. Pour ce faire, il faut abandonner les évaluations à base de tests des connaissances acquises et plutôt exploiter les données captées sur le terrain, par exemple dans les usages des outils informatiques (tout en respectant les impératifs de confidentialité, bien sûr).
Il devrait être envisageable de concilier une vision pragmatique de la sensibilisation aux enjeux de sécurité avec les contraintes, parfois trop bureaucratiques et trop attachées aux détails, des régulateurs. Dans tous les cas, les efforts requis, bien qu'ils paraissent lourds, valent certainement d'être consentis car ils permettront d'éviter des catastrophes que la seule focalisation sur la conformité administrative ne suffira jamais à écarter.