Nudge

Un nudge est une petite intervention pensée selon la logique de l’économie comportementale : modifier l’architecture du choix pour que l’action sûre devienne la plus facile, sans pour autant interdire l’action risquée. Richard Thaler et Cass Sunstein ont popularisé le terme dans Nudge (2008) pour décrire des interventions qui respectent l’autonomie tout en faisant évoluer les comportements à grande échelle.

En cybersécurité, le nudge est l’unité opérationnelle d’une approche centrée sur le comportement : un message bref et contextuel diffusé au moment précis où le comportement à risque survient, pas des semaines plus tard dans un module e-learning. Ses propriétés essentielles :

• Contextuel. Le nudge fait référence à l’action précise que la personne vient d’effectuer (« vous venez de partager Tarifs T4.docx en “toute personne disposant du lien” »), pas à un rappel de politique générique.
• Dans le bon canal. Il arrive là où le travail se fait — Slack, Teams, Outlook — pas dans un LMS séparé où il faut se connecter.
• Rapide. Agir prend quelques secondes. Ignorer n’a pas de pénalité immédiate ; au fil du temps, le réflexe sécurisé devient automatique.
• Personnalisé. Le même comportement à risque déclenche des nudges différents selon le rôle et l’historique. Le commercial en reçoit un, la paie un autre.

Bien faits, les nudges comblent l’écart savoir-comportement que la formation traditionnelle ne peut combler — parce que la formation tente d’installer un savoir une fois par an, tandis que les nudges travaillent sur le comportement à chaque occurrence. Mal faits, ils deviennent du bruit que le collaborateur apprend à ignorer.