Ligne de base comportementale
Lecture pré-intervention de ce que font réellement les collaborateurs dans le SaaS, l'identité et la messagerie — référence pour mesurer tout changement de comportement ultérieur.
Une ligne de base comportementale est la lecture de ce que font réellement les collaborateurs dans l’environnement numérique avant toute intervention — le référentiel auquel tout changement ultérieur sera comparé. C’est l’étape fondamentale et peu glamour de la gestion du risque humain, que la plupart des programmes hérités sautent, et dont l’absence rend statistiquement vides la majorité des affirmations du type « le taux de clic a baissé ».
Une ligne de base répond à quatre questions sur la population telle qu’elle est aujourd’hui, avant nudges et avant formation :
- Combien de comportements à risque pour 100 utilisateurs actifs par semaine ? Partages publics Drive/SharePoint, octrois OAuth à des applications non vérifiées, validations de push MFA non justifiées, occurrences de réutilisation de mot de passe, temps passé sur un mail suspect — le taux brut.
- Où le risque se concentre-t-il ? Quelles équipes, départements, rôles ou bandes de séniorité portent l’essentiel du poids ? La direction commerciale et la direction financière scorent typiquement différemment de l’ingénierie, mais la forme réelle varie d’une organisation à l’autre.
- Comment le risque se déplace-t-il dans le calendrier de travail ? Fin de trimestre, signature de deal, vendredi après-midi, retour de congés — le risque n’est pas plat dans le temps, et la ligne de base en capte le rythme.
- Quel est le taux d’auto-correction ? Certains comportements se corrigent seuls (le partage est révoqué le lendemain). La ligne de base distingue auto-correction et correction induite par l’intervention.
Une ligne de base bien construite présente quelques propriétés :
- Silencieuse. Aucun nudge ne se déclenche pendant la fenêtre de baseline. Intervenir pollue le référentiel.
- Assez longue pour être statistique. 21 à 30 jours est le minimum opérationnel pour couvrir un cycle de travail complet. En deçà, on mesure du bruit.
- Imputée. Par équipe, par département — pas un seul chiffre global.
- Stockée comme preuve comportementale. Chaque observation de la baseline est elle-même un enregistrement auditable, pas un agrégat dérivé.
- Re-mesurée périodiquement. Les comportements dérivent avec les embauches, le turnover, les changements d’outillage. Une baseline gelée au jour zéro cesse d’être utile au bout d’un an.
Sans ligne de base, chaque KPI comportemental est un chiffre sans signe — un taux de clic de 12 % peut être excellent ou catastrophique selon le point de départ. Avec elle, le RSSI peut répondre à la question la plus difficile du comité exécutif — le programme a-t-il réellement réduit le risque ? — de la seule manière qui résiste à un auditeur : en référençant l’état pré-intervention.
Engarde (engarde.cc) exécute cette ligne de base sur les 30 premiers jours de chaque déploiement. La plateforme observe et enregistre, sans envoyer de nudge — pour que l’après ait un avant crédible auquel se comparer.
Termes liés
- KPI comportementalIndicateur ancré sur ce que les collaborateurs font réellement dans le temps, plutôt que sur les complétions e-learning ou le taux de clic d'un test de phishing.
- Preuve comportementaleArtefact d'audit attestant qu'un comportement risqué a été détecté, qu'un nudge a été envoyé et que le comportement a été corrigé — de plus en plus demandé à la place d'un certificat de complétion.
- Gestion du risque humain (HRM)Catégorie définie par Gartner qui remplace la formation à la sensibilisation par des contrôles comportementaux, mesurables et déclenchés au moment du risque.
- Écart savoir-comportementÉcart documenté entre ce que les collaborateurs savent en matière de cybersécurité et ce qu'ils font réellement au moment de la décision.
- NudgePetite intervention contextuelle qui oriente une personne vers le choix le plus sûr sans restreindre sa liberté — l'unité de travail de la cybersécurité comportementale.