Sensibilisation à la cybersécurité : bâtir une culture de vigilance dans votre organisation

Pourquoi la formation n’est pas optionnelle

Pourquoi la plupart des cyberattaques commencent par les personnes, pas par la technologie

En 2024, un collaborateur du cabinet d’ingénierie Arup a participé à une visioconférence avec ce qui semblait être le DAF et plusieurs collègues. Problème : chacune des personnes présentes à l’écran était un deepfake généré à partir de vidéos publiquement disponibles. Le collaborateur a été manipulé pour transférer 25 millions de dollars sur cinq comptes différents.

Ce cas est extrême, mais la dynamique sous-jacente n’a rien d’inhabituel. L’ingénierie sociale, le phishing et le vol d’identifiants figurent année après année en tête des vecteurs d’accès initial dans les rapports de violations, non parce que les défenses techniques ont échoué, mais parce que les humains peuvent être manipulés là où les logiciels ne le peuvent pas. Ces techniques fonctionnent parce qu’elles contournent la technologie pour cibler le jugement humain.

Les chiffres le confirment. Le Cost of a Data Breach Report d’IBM attribue la majorité des incidents à l’erreur humaine ou à l’ingénierie sociale. L’ENISA Threat Landscape 2025 indique que le phishing représente 60 % des intrusions initiales en Europe.

Pourquoi une session annuelle ne suffit pas

La sensibilisation à la cybersécurité n’est pas un événement ponctuel. Le paysage des menaces change en permanence. Ce qui fait réellement évoluer le comportement des collaborateurs dans la durée, c’est une sensibilisation cyber régulière.

Cela implique aussi que, selon les rôles, les besoins de formation diffèrent. Un opérateur d’entrepôt utilisant un terminal partagé prend des décisions différentes d’un DAF qui approuve des virements ou d’un administrateur système qui gère une infrastructure cloud. Un programme unique et générique peut répondre à une exigence de conformité, mais il ne traite pas pleinement le risque.

Les types de sensibilisation cyber

Les programmes efficaces reconnaissent que des rôles différents portent des risques différents et exigent des préparations différentes.

Sensibilisation à l’échelle de toute l’entreprise

Chaque personne de votre organisation, quel que soit son rôle ou son ancienneté, doit disposer d’un socle de culture sécurité. Cela signifie savoir reconnaître une tentative de phishing, comprendre pourquoi l’hygiène des mots de passe compte, savoir utiliser l’authentification multifacteur et savoir quoi faire face à quelque chose de suspect.

L’objectif est de faire évoluer le comportement des collaborateurs. Vous voulez aider vos équipes à marquer une pause lorsque quelque chose paraît étrange, à signaler les activités suspectes et à suivre des pratiques sécurisées.

À quoi ressemble en pratique une bonne formation destinée à l’ensemble des collaborateurs :

• Des modules courts et ciblés sur des sujets précis : reconnaissance du phishing, hygiène des mots de passe, télétravail sécurisé
• Des simulations de phishing qui testent le comportement réel et fournissent un retour immédiat, sans sanction
• Des canaux de signalement clairs et accessibles : les personnes ne signaleront une activité suspecte que si elles savent comment le faire
• Des contenus qui reflètent des scénarios d’attaque propres à votre secteur, et non de simples études de cas génériques

Formation au risque cyber et à la gouvernance pour les dirigeants et le top management

Les dirigeants et le top management constituent une catégorie facilement négligée dans les programmes de sécurité des PME, et sans doute celle aux enjeux les plus élevés.

Les dirigeants figurent parmi les personnes les plus ciblées de toute organisation. Ils sont usurpés dans les fraudes au président (BEC). Ils sont visés par des campagnes de spear phishing qui s’appuient sur un contexte métier réel, car ils disposent d’un pouvoir large sur les décisions financières. Et ils peuvent être les moins préparés.

La gouvernance de la cybersécurité est aussi une responsabilité croissante pour les dirigeants. Avec DORA, les acteurs du secteur financier doivent démontrer que leur direction comprend et supervise activement le risque IT. Pour les dirigeants de PME et d’ETI, il s’agit de documenter comment ils appréhendent leurs risques IT, et la formation en fait partie.

La formation au niveau dirigeant ne consiste pas à apprendre aux membres du comité exécutif à configurer un pare-feu. Il s’agit de leur donner l’aisance nécessaire pour poser les bonnes questions, comprendre ce que leur disent leurs équipes IT ou leurs conseils externes, et prendre des décisions informées sur le risque. Cela suppose :

• Comprendre le risque cyber en termes métier et financiers
• Comprendre les obligations issues des réglementations applicables
• Savoir à quoi ressemble une bonne pratique : quelles questions poser, quels indicateurs suivre au niveau du conseil d’administration, ce que doit contenir un rapport de sécurité crédible
• Reconnaître les techniques d’ingénierie sociale visant spécifiquement les dirigeants : manipulation par l’urgence, usurpation d’identité, ressorts spécifiques de la fraude au président (BEC) et des deepfakes

Formation des équipes IT et sécurité : parler le langage du métier

Les équipes techniques manquent souvent du langage et des cadres pour communiquer le risque cyber dans des termes qui parlent à la direction. Il en résulte un décalage persistant : des équipes sécurité qui savent où sont les problèmes mais ne parviennent pas à obtenir l’adhésion organisationnelle pour les traiter, et une direction qui ne comprend pas les rapports qu’elle reçoit.

Ce décalage a des conséquences concrètes. Des investissements de sécurité qui ne peuvent être formulés en termes métier ne peuvent être comparés aux autres risques opérationnels ou financiers. Des risques qui ne peuvent être quantifiés financièrement ne sont pas priorisés face aux autres exigences de l’entreprise. Lorsqu’un conseil d’administration ou un comité d’audit interroge sur l’exposition au risque cyber, une réponse construite autour de scores techniques ou d’évaluations subjectives élevé / moyen / faible laisse la direction faire des suppositions.

Une formation efficace pour les équipes risque et sécurité se concentrera sur la traduction des constats de sécurité en termes métier et financiers. Des cadres comme FAIR (Factor Analysis of Information Risk) donnent aux équipes une façon structurée d’exprimer le risque sous forme de fourchette financière plutôt que d’évaluation technique, ce qui facilite nettement l’adhésion de la direction et la priorisation des décisions d’investissement.

Que regarder pour évaluer un programme de formation

Face à des besoins de formation variés, la question est : qu’est-ce qui rend un programme meilleur qu’un autre ?

La sensibilisation des collaborateurs à l’échelle de l’entreprise doit avoir un objectif clair et concret : outiller les collaborateurs pour reconnaître et réagir face au phishing, à la fraude par email et aux tentatives d’ingénierie sociale. Les bons programmes intègrent des exercices de phishing simulé pour s’entraîner à repérer les signaux d’alerte dans un environnement sûr, une consigne claire sur qui contacter et comment signaler une activité suspecte, et des mises à jour régulières du contenu reflétant les attaques actuelles (phishing généré par IA, fraude vocale, etc.). L’expérience proposée aux collaborateurs qui cliquent sur une simulation compte autant que la simulation elle-même. Elle doit toujours être pédagogique, jamais punitive.

La formation des dirigeants couvre deux volets : la conscience des menaces qui visent les dirigeants et les compétences de gouvernance nécessaires pour bâtir et superviser un programme de cybersécurité crédible. Cela implique de comprendre les obligations réglementaires de votre organisation au titre de NIS2 et de DORA. Savez-vous quelles questions poser à votre équipe sécurité ? Êtes-vous en mesure d’évaluer si la posture cyber de l’organisation est suffisante ? Recherchez des programmes animés par des conseils en risque qui s’expriment en termes métier et financiers.

Pour les équipes risque et sécurité, l’enjeu est de rendre le reporting plus piloté par la donnée et fondé sur les preuves. La plupart des équipes savent déjà où sont les problèmes. Le décalage se situe dans la communication de ces problèmes en termes financiers que la direction peut actionner. Les programmes ancrés dans la méthodologie FAIR donnent aux équipes les outils pour produire des analyses de risque quantifiées financièrement plutôt que des évaluations qualitatives, ce qui se traduit par de meilleures décisions et un soutien organisationnel plus fort aux investissements de sécurité.

La formation comme composante d’une stratégie de sécurité plus large

La formation est une couche au sein d’une approche plus large de gouvernance cyber proactive, et sa valeur dépend en partie de la qualité de son articulation avec les autres couches.

Quelques points d’intégration à considérer :

Reliez la formation à votre véritable profil de risque. Si une évaluation du risque cyber a identifié la fraude au président (BEC) comme votre risque financier le plus probable, cela doit déclencher un contenu de formation spécifique pour vos équipes financières, sans attendre le prochain cycle de modules planifiés.

Les contrôles techniques renforcent la formation, et inversement. Former les collaborateurs à l’hygiène des mots de passe est plus efficace lorsque cela s’accompagne d’une MFA obligatoire et d’un gestionnaire de mots de passe déployé par l’entreprise. Le changement de comportement que vous visez est plus facile à obtenir quand l’environnement technique le soutient.

Les canaux de signalement doivent exister avant que la formation n’invite à les utiliser. Un écart fréquent : les collaborateurs sont formés à signaler les emails suspects, mais n’ont pas de protocole clair à suivre. Vérifiez que le circuit de signalement est défini, communiqué et opérationnel.

Les exigences réglementaires sont un socle, pas un plafond. NIS2 et DORA exigent l’un comme l’autre une sensibilisation démontrable dans le cadre d’un programme formel de gestion des risques. Satisfaire ce minimum est nécessaire. Les organisations qui tirent une vraie valeur de la formation traitent la sensibilisation comme un investissement opérationnel continu, pas comme un exercice de conformité.