Preuve comportementale
Artefact d'audit attestant qu'un comportement risqué a été détecté, qu'un nudge a été envoyé et que le comportement a été corrigé — de plus en plus demandé à la place d'un certificat de complétion.
La preuve comportementale est l’artefact d’audit qui documente trois choses dans un seul enregistrement : un comportement risqué a été détecté, une intervention a été envoyée au collaborateur, et le comportement a été corrigé (ou non — et l’étape suivante a été journalisée). C’est l’unité de preuve que l’auditeur moderne — au titre de NIS2, SOC 2, DORA et de l’Article 32 du RGPD — demande de plus en plus en lieu et place des certificats de complétion de formation.
Le glissement de l’artefact est à la fois réglementaire et statistique. L’Article 32 §1 b) du RGPD exige « la capacité à garantir la confidentialité, l’intégrité, la disponibilité et la résilience constantes des systèmes et services de traitement » — formule qu’une attestation de visionnage de vidéo ne satisfait pas crédiblement. L’Article 21 §2 g) de NIS2 mentionne explicitement les pratiques de base en matière de cyberhygiène et de formation à la cybersécurité, mais les lignes directrices d’application de la Commission européenne poussent constamment vers la démonstration d’efficacité, pas vers le papier. SOC 2 CC1.4 demande la preuve que le personnel « démontre » sa compétence — au présent, pas « a suivi une formation en mars ».
Un enregistrement complet de preuve comportementale porte :
- Un signal. L’événement observé, avec horodatage, contexte SaaS et la propriété risquée (par ex. « fichier Drive partagé en toute-personne-disposant-du-lien »).
- Un sujet. Le collaborateur (avec la pseudonymisation approuvée par le DPO).
- Une intervention. Le texte du nudge, le canal et l’horodatage de livraison.
- Une réponse. Ce que le collaborateur a fait ensuite, avec le temps écoulé — a corrigé le partage, l’a ignoré, a escaladé à l’équipe sécurité.
- Un rattachement au contrôle. Quelle clause de référentiel cette preuve adresse (NIS2 art. 21, RGPD art. 32, SOC 2 CC1.4, ISO 27001 A.6.3, etc.).
La preuve comportementale est ce qui rend un KPI comportemental défendable. Sans les enregistrements sous-jacents, le KPI n’est qu’un chiffre sur une slide ; avec eux, chaque point de la courbe se résout en une observation auditable. C’est aussi ce qui répond à la question la plus difficile du comité exécutif — prouvez que votre programme de sensibilisation a changé quelque chose — sans invoquer la foi.
Engarde (engarde.cc) est construit autour de cet artefact : le modèle de données du produit est l’enregistrement de preuve comportementale, et les tableaux de bord, KPI et rapports en sont autant de vues.
Termes liés
- Gestion du risque humain (HRM)Catégorie définie par Gartner qui remplace la formation à la sensibilisation par des contrôles comportementaux, mesurables et déclenchés au moment du risque.
- KPI comportementalIndicateur ancré sur ce que les collaborateurs font réellement dans le temps, plutôt que sur les complétions e-learning ou le taux de clic d'un test de phishing.
- Ligne de base comportementaleLecture pré-intervention de ce que font réellement les collaborateurs dans le SaaS, l'identité et la messagerie — référence pour mesurer tout changement de comportement ultérieur.
- RGPD article 32Article du RGPD qui impose aux responsables et sous-traitants des mesures techniques et organisationnelles appropriées — lu de plus en plus comme incluant les contrôles comportementaux.
- SOC 2Cadre d'attestation AICPA fondé sur cinq Trust Services Criteria — devenu le passage obligé pour vendre une SaaS B2B en Amérique du Nord.