On m'a demandé un jour de choisir.
"Tu fais de la cybersécurité ou de la communication ?
Les deux, ça fait désordre sur un CV."
J'ai refusé de choisir.
Pas par entêtement. Parce que j'avais compris quelque chose que vingt ans de terrain m'avaient appris :
Ces deux domaines ne sont pas parallèles.
Ils parlent du même objet.
La confiance.
Ce que les attaquants savent mieux que nous
Voici une statistique que j'utilise dans chaque formation : selon le rapport Verizon Data Breach Investigations, plus de 80% des incidents de cybersécurité impliquent un facteur humain. Pas une faille technique. Pas un bug dans le code. Un être humain qui a cliqué, qui a répondu, qui a fait confiance.
Les attaquants le savent depuis toujours. Kevin Mitnick, considéré comme le meilleur hacker de sa génération, l'écrivait dès 2002 dans "The Art of Deception" : la technologie n'est pas le maillon faible. L'humain l'est. Et l'humain est vulnérable non pas parce qu'il est stupide — mais parce qu'il est humain. Parce qu'il est câblé pour faire confiance.
Un email de phishing bien construit n'exploite pas une faille informatique. Il exploite des mécanismes cognitifs universels : l'autorité ("votre directeur vous demande"), l'urgence ("dans les 24 heures"), la familiarité (le logo connu, le ton habituel), la réciprocité (un cadeau apparent avant la demande). Ce sont les mêmes leviers que Robert Cialdini décrit dans "Influence" — les principes de persuasion que les commerciaux, les politiciens et les manipulateurs utilisent depuis toujours.
La cybersécurité et la communication parlent du même objet : la fabrication et l'exploitation de la confiance.
Hacker la communication — au sens propre
Le mot "hacker" a été confisqué par l'imaginaire du cybercriminel en sweat à capuche. Sa signification originale est plus riche : un hacker est quelqu'un qui comprend un système en profondeur — assez pour en trouver les failles, les contournements, les usages imprévus.
Dans ce sens, un bon communicant est un hacker. Il comprend les systèmes de sens, les codes sociaux, les attentes implicites — assez pour les naviguer, les décoder, parfois les détourner. Et un bon professionnel de la sécurité est aussi un hacker de la communication — il comprend comment les messages se construisent, comment la confiance s'installe, comment elle peut être abusée.
Ces trois niveaux permettent de rendre l'idée concrète — et opérationnelle.
Il y a trois niveaux où communication et sécurité se croisent, et chacun mérite d'être examiné séparément.
Niveau 1 — Individu à individu : l'ingénierie sociale
C'est le niveau le plus connu. L'ingénierie sociale, c'est l'art de manipuler des individus pour qu'ils divulguent des informations confidentielles ou effectuent des actions qu'ils n'auraient pas faites autrement. C'est de la communication — instrumentalisée à des fins malveillantes.
Mais ce qui est moins souvent dit : les techniques de défense contre l'ingénierie sociale sont exactement les mêmes que les techniques de communication assertive que j'enseigne aux travailleurs sociaux et aux managers. Savoir dire non à une demande illégitime. Résister à la pression temporelle. Questionner une autorité qui semble évidente. Nommer ce qui se passe dans un échange.
Ce n'est pas une coïncidence. C'est la même compétence — appliquée dans des contextes différents. La personne capable de tenir ses limites face à une famille en crise est capable de résister à un appel de vishing. Pas parce qu'elle connaît les techniques cybersécurité — mais parce qu'elle a développé une intelligence relationnelle qui lui permet de lire les dynamiques de pouvoir et de pression.
Niveau 2 — Individu et machine : le langage comme interface
La sécurité des systèmes informatiques repose sur des protocoles — des langages formels que les machines utilisent pour s'identifier, s'authentifier, échanger des clés, vérifier des signatures. Ces protocoles sont des systèmes de communication. Et comme tout système de communication, ils ont des ambiguïtés, des failles d'interprétation, des angles morts.
Une attaque par injection SQL, c'est une attaque contre le langage. L'attaquant introduit dans un champ de formulaire un fragment de code qui va être interprété non pas comme une donnée — mais comme une instruction. Il exploite l'ambiguïté entre ce qui est dit et ce qui est exécuté. Entre la donnée et la commande.
Une attaque man-in-the-middle, c'est une attaque contre la confiance dans l'identité de l'interlocuteur. Je crois parler avec mon serveur bancaire — je parle en réalité avec un intermédiaire qui se fait passer pour lui. C'est l'usurpation d'identité dans sa forme la plus pure — un problème de communication, pas de technologie.
Les solutions à ces attaques sont elles aussi communicationnelles : le chiffrement, c'est la confidentialité du message. Le certificat numérique, c'est la garantie de l'identité de l'émetteur. La signature numérique, c'est l'équivalent du sceau sur une lettre — l'assurance que personne n'a modifié le contenu en route.
Niveau 3 — Individu et système : la confiance institutionnelle
C'est le niveau le moins exploré — et peut-être le plus profond.
Un système d'information, c'est une organisation humaine cristallisée dans des processus et des technologies. Sa sécurité dépend non seulement des protections techniques, mais de la culture de l'organisation — la façon dont les individus comprennent les règles, les appliquent, les contournent, les questionnent.
J'ai vu des entreprises avec des politiques de sécurité irréprochables sur le papier, et des pratiques quotidiennes qui les vidaient de leur substance. Les mots de passe notés sur des post-its parce que la politique d'expiration tous les 30 jours était inapplicable. Les accès partagés parce que les processus de gestion des droits étaient trop lents. Le shadow IT florissant parce que les outils officiels ne répondaient pas aux besoins réels.
Ces comportements ne sont pas de la négligence. Ce sont des réponses rationnelles à des systèmes mal conçus — des systèmes qui n'ont pas pris en compte la réalité humaine dans leur conception. Ce sont des signaux de communication que l'organisation n'a pas su écouter.
La sécurité d'un système, c'est la qualité du dialogue entre ce système et ses utilisateurs. Quand ce dialogue est rompu — quand les règles semblent arbitraires, quand les outils sont inadaptés, quand personne ne comprend pourquoi — le système devient insécure, quelle que soit sa sophistication technique.
Ce que ça change pour la formation
Si la sécurité est une affaire de communication et de confiance, alors former à la sécurité, c'est former à la communication critique. Et former à la communication, c'est aussi former à la sécurité.
Ce n'est pas une métaphore. C'est opérationnel.
Quand j'enseigne l'assertivité à une équipe de protection de l'enfance — la capacité à dire non, à nommer ce qui se passe, à tenir ses limites sans rompre la relation — je leur donne aussi des outils de résistance à la manipulation sociale. Quand j'enseigne la détection du phishing à des équipes non-techniques — l'analyse des signaux d'urgence, le questionnement de l'autorité, la vérification des canaux — je leur enseigne aussi une forme d'assertivité communicationnelle.
Les compétences se transfèrent. Parce qu'elles parlent du même objet fondamental : comment naviguer dans un monde où tout le monde — humain ou machine — n'est pas forcément ce qu'il prétend être.
Le pont que je veux construire
Après vingt ans à travailler dans ces deux domaines, je suis convaincu que leur séparation est artificielle — et coûteuse. Les professionnels de la cybersécurité qui ne comprennent pas la communication humaine construisent des systèmes que les humains contournent. Les professionnels de la communication qui ignorent les enjeux de sécurité numérique forment des individus vulnérables aux nouvelles formes de manipulation.
Le pont entre les deux, c'est la notion de confiance critique : la capacité à accorder sa confiance de façon lucide — ni naïve, ni paranoïaque — en comprenant les mécanismes par lesquels elle se construit et se manipule.
C'est ce que je cherche à transmettre.
Non pas la méfiance généralisée.
Mais une confiance lucide, capable de résister à la manipulation.