17 juin 2026

Sensibilisation : comment (vraiment) engager vos utilisateurs M365 sur la sécurité des données

Vos utilisateurs partagent & configurent chaque jour dans Microsoft 365 et des milliers de permissions s'accumulent sans que personne ne les revoie. Et si la vraie faille de sécurité n'était pas un attaquant externe, mais un simple partage oublié depuis 18 mois ?

Le constat est sans appel : selon le Baromètre CESIN 2026, 60 % des RSSI placent la gestion des partages utilisateurs au rang de risque élevé. Une fuite de données sur trois trouve son origine non pas dans une attaque sophistiquée, mais dans un geste quotidien — un accès accordé sans date d'expiration, un lien partagé à un prestataire qui a depuis quitté le projet.

À l'heure où Copilot et les agents IA amplifient la portée de chaque permission existante, la dette d'accès accumulée dans vos environnements M365 n'est plus un risque théorique,  c'est une surface d'attaque active.

Pourtant, la réponse historique — e-learning, campagnes de phishing simulé, newsletters de bonnes pratiques — atteint un plafond structurel. Savoir n'est pas agir. Environ 70 % des incidents de sécurité restent liés au facteur humain, malgré des années d'investissement en sensibilisation. Le problème n'est pas un manque de conscience, c'est un manque de passage à l'acte.

Cet article explore une approche radicalement différente : la sensibilisation par l'action. Rendre le risque personnel, visible et corrigeable par l'utilisateur lui-même. Trois leviers concrets, des résultats clients mesurables — et une fenêtre d'action idéale avec le Cybermois d'octobre pour lancer votre première campagne

Au programme de cet article :

 

Contexte : une menace qui ne vient plus de l'extérieur

En 2025, la Shadow IA s'est imposée comme le premier comportement à risque déclaré par les équipes sécurité. Selon le Baromètre CESIN 2026, 60 % des RSSI jugent la gestion des partages utilisateurs à niveau de risque élevé. Plus parlant encore : une fuite de données sur trois trouve son origine dans un geste utilisateur, partage mal configuré, accès oublié, permission accordée sans expiration.

Dans Microsoft 365, plus de 2 milliards de fichiers sont créés chaque jour. Derrière chaque fichier : un collaborateur, un partage, une potentielle exposition. À l'ère des modèles d'IA capables d'exploiter en quelques secondes des années de permissions cumulées, la question n'est plus de savoir si vos données sont exposées, mais jusqu'où.

 

Le paradoxe que tout RSSI connaît : on sensibilise, mais rien ne change

Les modules e-learning, les campagnes de phishing simulé, les newsletters de bonnes pratiques, ces dispositifs ont leur utilité. Mais ils produisent un effet prévisible : un pic d'attention au lancement, puis un retour aux habitudes. Environ 70 % des incidents de sécurité restent liés au facteur humain, malgré des années d'efforts de sensibilisation.

Le problème est structurel : savoir n'est pas agir. Un collaborateur peut parfaitement comprendre qu'un partage externe non expiré est risqué, et ne jamais prendre le temps de le corriger. Parce que le risque est abstrait, parce qu'il ne concerne pas "ses" données dans son esprit, parce que l'action corrective lui semble hors de portée.

Ce découplage entre connaissance et comportement est exactement ce que les approches traditionnelles échouent à résoudre. Et dans un environnement M365 où la dette de partages et d'accès s'accumule silencieusement depuis des années, cette inertie devient un risque immédiat, pas seulement théorique.

Sensibilisation

 

Trois leviers pour passer de la sensibilisation à l'action

1. Rendre le risque personnel et visible

Le déclic ne vient pas d'une statistique globale, il vient du moment où un utilisateur voit que c'est lui qui partage un fichier sensible avec un externe depuis 18 mois, sans s'en souvenir. La prise de conscience est instantanée quand elle s'ancre dans la réalité de ses propres données.

Avec l'approche MyDataSecurity d'IDECSI, chaque collaborateur accède à un tableau de bord personnalisé de ses risques et expositions : partages externes actifs, droits accordés sur ses fichiers sensibles, guests dans ses groupes M365.

  • En moyenne, 7 à 10 points d'attention sont identifiés par utilisateur.
  • 1 partage externe sur 3 s'avère inactif, oublié, mais toujours ouvert.

 

2. Impliquer l'utilisateur dans la remédiation, pas seulement dans la prise de conscience

La différence clé entre sensibilisation classique et sensibilisation par l'action tient en une phrase : l'utilisateur ne reçoit pas un message sur les risques en général, il corrige ses propres risques, directement depuis l'interface.

Cette responsabilisation produit des résultats mesurables chez les clients IDECSI :

80 % des partages à risque identifiés sont corrigés par les utilisateurs eux-mêmes. Le taux de connexion moyen aux campagnes dépasse 55 %, bien au-delà des taux d'engagement observés sur les modules e-learning traditionnels.



3. Associer sécurité et nettoyage pour maximiser l'engagement

Autre aspect essentiel autour des données, c'est la gestion de la volumétrie et du stockage.

Comme pour le volet sécurité, les utilisateurs sont inviter à vérifier et supprimer leurs données obsolètes : fichiers anciens, versions inutiles, espaces collaboratifs inactifs, volumes oubliés sur OneDrive. Selon une étude IFOP 2024, 36 % des données stockées en entreprise sont estimées inutiles.

Résultat : un seul geste utilisateur produit deux bénéfices simultanés, moins de risque d'exposition et moins de stockage. Un argument qui parle aussi bien aux équipes sécurité qu'aux directions financières.

 

Déployer une campagne de sensibilisation par l'action

Ce que ça implique concrètement pour votre organisation

Déployer une campagne de sensibilisation par l'action sur M365 ne nécessite pas de refondre votre stratégie de cybersécurité. Le dispositif DETOX d'IDECSI est conçu comme un programme clé en main, structuré en trois phases sur 6 à 8 semaines : diagnostic du tenant pour identifier l'exposition réelle, mobilisation des utilisateurs via une campagne guidée, puis restitution avec mesure des gains obtenus.

Les bénéfices vont au-delà de la réduction du risque immédiat. Vous disposez de KPIs tangibles : nombre de partages révisés, volumes de données nettoyés, taux d'engagement utilisateur. Des indicateurs directement valorisables en COMEX ou lors de vos reportings de conformité.

Côté terrain, les retours clients confirment l'impact à grande échelle :

  • 36 000 corrections apportées par les utilisateurs dans un groupe bancaire de 40 000 collaborateurs,

  • 110 To de données nettoyées en 10 semaines dans un groupe énergie de 28 000 personnes,

  • 1 796 risques supprimés dès la première campagne dans une collectivité de 3 000 agents.

Au-delà des chiffres, ce qui change en profondeur, c'est la culture : des collaborateurs qui se sentent acteurs de la sécurité, pas seulement destinataires de règles.

Octobre approche : lancez votre campagne DETOX avant le Cybermois

Le Cybermois d'octobre est le moment idéal pour enclencher une démarche de sensibilisation par l'action, avec l'adhérence interne et la visibilité que l'événement génère naturellement.

Ce que révèle concrètement un bilan de santé des données sur un tenant M365 de taille intermédiaire

Imaginez 3 000 utilisateurs, une organisation publique ou une ETI. Avant toute campagne, le diagnostic DETOX produit une photographie réelle du tenant : combien de partages externes actifs, combien d'accès accordés à des personnes qui ont quitté l'organisation, combien de fichiers sensibles accessibles sans restriction. Les résultats sont rarement anodins.

Sur une collectivité de ce profil, IDECSI a identifié plus de 1 796 risques dès la première analyse, dont une part significative de partages oubliés datant de plusieurs années. Côté utilisateurs, la question posée lors du lancement de campagne est volontairement simple : "Selon vous, combien de points d'attention existent sur vos données ?" La majorité répond "aucun" ou "1 à 3". La réalité affichée sur leur tableau de bord personnel, entre 7 et 10 points en moyenne, crée un effet de surprise qui est précisément le déclencheur de l'action.

Ce bilan initial permet de cadrer le lancement de la campagne utilisateurs, et constitue aussi un outil de communication interne puissant : il permet de chiffrer le risque, de le rendre concret pour la direction générale, et de justifier l'investissement dans une démarche qui produit des résultats mesurables.

IDECSI propose une offre DETOX cybermois spécialement conçue pour accompagner les organisations qui souhaitent lancer ou renforcer leur campagne à cette occasion : diagnostic d'exposition aux risques data, campagne de remédiation utilisateur, kit de communication interne prêt à diffuser et résultats partageables auprès de la direction. 

Découvrez l'offre DETOX Cybermois et engagez vos utilisateurs sur leurs vraies données : 

CYBERMOIS 2026 V1

 

Articles récents

Architecture Copilot M365 : Fonctionnement Technique & Flux de Données (2026)

Microsoft Defender pour Office 365 : fonctionnalités et limites

Sécuriser les agents IA dans Microsoft 365 : bonnes pratiques 2026

Livre blanc - Prévenir les fuites de données

Accéder au guide

Protection des données, discutons de votre projet ?

 

Contactez-nous
video background