Qu'est-ce que la sécurité épistémique ?
La capacité d'une organisation ou d'une société à préserver les conditions dans lesquelles ses membres forment des croyances fiables, et donc prennent des décisions saines. Sa formulation contemporaine a été portée par l'Alan Turing Institute en 2020 [5]. Appliquée à une entreprise ou à une institution, elle pose une question simple : vos décisions reposent-elles sur une information qui n'a pas été manipulée ?
Situer votre organisation en dix minutes →Désinformation, mésinformation, malinformation : quelle différence ?
Deux critères les séparent : la fausseté, et l'intention de nuire. La mésinformation est une information fausse diffusée sans intention de nuire, l'erreur sincère. La désinformation est une information fausse diffusée délibérément pour tromper. La malinformation est une information vraie utilisée pour nuire : document authentique fuité au moment calculé, propos exacts sortis de leur contexte. Cette distinction, établie pour le Conseil de l'Europe en 2017, est devenue le standard [3].
La conséquence est opérationnelle : ces trois cas n'appellent pas la même réponse, et le démenti est inopérant sur le troisième.
Une rumeur vise mon organisation. Dois-je répondre publiquement ?
Pas nécessairement, et c'est la contre-intuition la plus utile de ce domaine : répondre publiquement porte la rumeur devant une audience qui ne l'avait pas vue. La réponse publique se justifie quand au moins deux conditions sur quatre sont réunies : le récit progresse encore, il a été repris par un relais crédible, il touche un public dont la décision vous engage, ou le silence serait interprété comme un aveu. En dessous, l'action utile est le traitement ciblé.
La désinformation coûte-t-elle vraiment de l'argent aux entreprises ?
L'estimation la plus citée, publiée en 2019, évalue le coût annuel de la désinformation pour l'économie mondiale à environ 78 milliards de dollars, dont 39 milliards de pertes boursières [4]. Nous la citons avec sa limite : cette étude est antérieure à l'IA générative et a été commanditée par un acteur privé. Elle donne un ordre de grandeur, pas une mesure.
Un cas documenté illustre mieux le mécanisme : en 2013, un faux message publié depuis le compte piraté d'une agence de presse a effacé environ 136 milliards de dollars de l'indice S&P 500 en deux minutes environ, avant recouvrement complet en trois minutes [2]. Les systèmes de trading avaient réagi avant tout humain.
Pourquoi une information fausse circule-t-elle plus vite ?
L'étude de référence, portant sur environ 126 000 cascades de rumeurs diffusées par près de trois millions de personnes, établit que les informations fausses ont environ 70 % de probabilité supplémentaire d'être repartagées, et qu'une information vraie met environ six fois plus de temps à atteindre 1 500 personnes. Les auteurs avancent la nouveauté et les réactions émotionnelles comme explication, et montrent que les comptes automatisés diffusent le vrai et le faux au même rythme : ce sont les humains qui accélèrent le faux [1].
Former mes équipes suffit-il à protéger mon organisation ?
Non, et nos propres travaux le montrent. Un essai contrôlé randomisé pré-enregistré, conduit sur 502 participants francophones dans le cadre de la recherche doctorale qui fonde nos programmes, aboutit à un résultat principal nul : l'inoculation brève seule ne produit pas l'effet attendu [6]. La littérature d'inoculation est par ailleurs débattue dans sa propre discipline : une réanalyse publiée en 2023 conclut que les formats ludifiés n'améliorent pas la discrimination entre information vraie et information fausse [7].
Nous publions ce résultat parce qu'il est vrai, et parce qu'il fonde notre approche : la préparation doit être structurelle avant d'être pédagogique. Désigner un décideur, établir une chaîne d'alerte, organiser une veille, dans cet ordre.
Mon entreprise utilise l'IA générative. Suis-je concerné par une obligation ?
Probablement. Les obligations de transparence de l'article 50 du règlement (UE) 2024/1689 deviennent applicables le 2 août 2026. Elles ne dépendent pas de la classification en haut risque et concernent quatre situations : interaction directe d'un système avec des personnes, production de contenu synthétique, reconnaissance des émotions ou catégorisation biométrique, diffusion d'hypertrucages ou de textes générés par IA sur des sujets d'intérêt public [8].
Les huit contrôles à mener avant le 2 août 2026 →Par quoi commencer, concrètement, si je n'ai rien ?
Par les deux actions qui ne coûtent rien. Un. Désigner par écrit qui décide de répondre publiquement, avec un suppléant. Deux. Établir la chaîne d'alerte : qui signale à qui, par quel canal, en combien de temps. Ces deux mesures couvrent la majorité des cas réels, parce que l'essentiel des dommages ne vient pas de l'attaque mais de la réponse improvisée dans les six heures qui suivent.
Le diagnostic vous dit par quoi commencer →Ces pages sont des ressources de sensibilisation. Elles ne constituent ni un conseil juridique, ni un audit, ni une analyse adaptée à votre contexte particulier.