Saviez-vous que dans 80 % des cas, selon Cybermalveillance.gouv.fr, les cyberattaques contre les TPE-PME ont pour origine le facteur humain ? Eh oui, il suffit parfois d'un simple clic sur un lien de phishing pour paralyser toute une structure. Pourtant, en droit français, l'erreur d'un salarié incombe son employeur.

Un seul clic sur un lien malveillant qui paraît sûr peut entraîner votre responsabilité de dirigeant - ©DC Studio / Shutterstock
Un seul clic sur un lien malveillant qui paraît sûr peut entraîner votre responsabilité de dirigeant - ©DC Studio / Shutterstock

C’est souvent la notion d’urgence dans les échanges numériques qui provoque la faille humaine. Selon le CESIN, sur les 40 % d'entreprises qui ont subi une cyberattaque en 2025, 55 % d'entre elles avaient été infiltrés par le biais de liens de phishing. Bien sûr, il s'agit d'une erreur involontaire, commise par l'urgence, ou les automatismes.

Mais le Code du travail interdit de faire payer au salarié les pots cassés d'une manipulation involontaire. Vous devez jongler en permanence entre la formation de vos équipes, votre conformité juridique et votre couverture assurantielle. Parce que même si vos collaborateurs participent à la sécurité au quotidien, vous gardez l'entière charge des conséquences financières en cas de sinistre.

Pour espérer un dédommagement civil de la part d'un de vos employés, c'est à vous d'apporter la preuve d'une faute lourde, donc d'une volonté de nuire. Or, une simple étourderie face à un mail piégé n'a rien d'un acte intentionnel.

L'immunité civile gravée dans le Code du travail

L’article L1331-2 du Code du travail proscrit toute sanction pécuniaire afin de protéger le salarié maladroit contre les retenues sur salaire. Vous n'avez pas le droit d'exiger le paiement de la rançon ou des frais de dépannage technique par le fautif, puisque l’employé agit sous votre autorité. Il bénéficie d'une forme d'irresponsabilité civile pour ses imprudences professionnelles. Étant donné que le risque d'exploitation vous incombe, cette règle s'applique de façon quasi absolue.

Il existe toutefois une sanction disciplinaire en cas de négligence répétée. La Chambre sociale de la Cour de cassation valide parfois un licenciement si le salarié ignore des consignes de sécurité explicites. Les juges vérifient alors vos propres efforts de prévention avant de trancher. À titre d'exemple, la justice rejette souvent le licenciement après un simple clic sur un lien frauduleux si l'employeur n'a pas diffusé de mise en garde spécifique au préalable. À l'inverse, l'usage d'une clé USB personnelle sur un poste industriel sensible malgré une interdiction formelle peut justifier une rupture de contrat.

En l'absence d'une charte informatique claire ou de sessions de sensibilisation, comme celles du catalogue de la CNIL, votre dossier contre un collaborateur n'a aucune chance de succès. Une formation absente ou incomplète de votre part rend toute sanction disciplinaire caduque devant les prud'hommes. Le droit français considère le salarié comme un préposé. En tant que commettant, vous répondez civilement des dommages causés par vos subordonnés. Cette responsabilité sans faute de l'employeur constitue le socle de notre système social. Même si l'erreur coûte des centaines de milliers d'euros à votre PME, le patrimoine personnel du salarié reste intouchable. Seule la faute lourde lève cette protection, mais elle implique de démontrer que le salarié souhaitait la destruction de votre activité.

L’assurance cyber et vos obligations de patron

La compagnie d'assurance peut contester l'indemnité prévue en cas de sauvegardes défaillantes. Les membres de France Assureurs vérifient souvent votre niveau de protection réelle avant d'éponger les dégâts d'une cyberattaque. À cause d'un oubli de l'authentification forte ou d'un défaut technique majeur, l'assureur réduit parfois les remboursements, voire refuse la prise en charge. Les contrats actuels comportent des clauses d'exclusion de plus en plus précises sur l'entretien des systèmes.

Alors que votre salarié concerné garde son salaire intact, votre trésorerie subit violemment le contre-coup d'un clic malheureux. Les tarifs des polices grimpent et les franchises s'envolent. La cybersécurité doit prendre la priorité de vos postes budgétaires de défense. L'expert va chercher systématiquement la preuve d'une négligence grave de l'assuré pour réduire l'indemnisation.

Parce qu'on pense que cela n'arrive qu'aux autres, les petites structures négligent souvent la lecture fine de leur police d'assurance. Or, si vous négligez les bonnes pratiques édictées par l'ANSSI la garantie de votre contrat d'assurance cyber peut tomber.

Admettons qu'un de vos employé clique sur un lien parce que votre filtre anti-spam était désactivé, l'assureur pointera votre propre manquement. Vous devenez alors votre propre assureur pour les pertes d'exploitation et les frais de remédiation. Prévoyez donc des audits réguliers pour valider vos systèmes de défense.

Formez vos collaborateurs au respect de la charte informatique de votre TPE-PME concernant notamment l'ouverture de pièces jointes ou de liens contenus dans les e-mails - ©janews /Shutterstock
Formez vos collaborateurs au respect de la charte informatique de votre TPE-PME concernant notamment l'ouverture de pièces jointes ou de liens contenus dans les e-mails - ©janews /Shutterstock

Vous êtes en première ligne devant la loi

Si vous négligez les mises à jour critiques ou les alertes de vos prestataires, des clients mécontents peuvent attaquer votre responsabilité civile personnelle. Le risque juridique finit toujours sur votre bureau en cas de faille majeure. Le RGPD vous donne une obligation de sécurité pour les données personnelles hébergées. Dans ce cas, vous êtes encore et toujours responsable des maladresses de vos salariés dont vous portez la responsabilité légale.

Mais il vaut mieux prévenir avant de guérir. Optez pour le dialogue plutôt que pour la sanction systématique afin de déjouer les pièges plus efficacement. Plus on agit rapidement dans ce cas, plus les solutions engagées sont efficaces. Au contraire du silence provoqué par la peur. Blâmer l'auteur d'une erreur peut inciter les autres à cacher les leurs. N'hésitez pas à proposer des exercices de simulation de phishing pour automatiser les réflexes de chacun sans mettre en péril vos serveurs. Le management par la confiance vous aide à réduire les délais de réaction, puisque vos collaborateurs n'auront plus peur ni honte de vous prévenir au moins doute sans craindre de sanction.

L'obligation de sécurité du dirigeant s'apparente à une obligation de résultat dans certains contextes. Selon le cadre des sanctions de la CNIL, l'autorité inflige des amendes pouvant atteindre 20 millions d'euros ou 4 % du chiffre d'affaires annuel mondial.

La technique au secours de l'humain

Désormais, les pirates utilisent l'intelligence artificielle pour supprimer les fautes d'orthographe et tromper les yeux les plus exercés. Un employé fatigué ou qui agit par automatismes se laisse facilement duper par une telle « perfection ». Autrefois, une mauvaise traduction ou des fautes de gramamire pouvaient trahir d'une tentative de phishing. Aujourd'hui, les générateurs de textes par IA sont aussi utilisés à des fins malveillantes.

En tant que dirigeant, équipez vos postes de travail avec des antivirus solides ou EDR (Endpoint Detection and Response). Ces solutions bloquent l'exécution d'un virus même après le geste fatal d'un collaborateur. Complétez cette défense par une stratégie Zero Trust pour vérifier chaque accès systématiquement.

Avec un tel bouclier technique, tout le monde travaille plus sereinement. Vous évitez les pertes sèches, vos collaborateurs ne craignent plus l'erreur. Ne voyez plus vos équipes comme une faille, mais un rempart actif en passant par une sensibilisation numérique permanente. Permanente car les techniques des cyberattaques évoluent également très vite.