# Guide complet : Former vos employés à la cybersécurité
91% des cyberattaques commencent par un email de phishing qui trompe un employé. La meilleure technologie de sécurité devient inutile si un collaborateur clique sur le mauvais lien ou communique ses identifiants. La formation de vos équipes n'est pas une option : c'est votre première ligne de défense et souvent la plus rentable.
Sommaire
- Pourquoi la formation est indispensable
Les 6 thèmes essentiels à couvrir
Comment organiser votre programme de formation
Mesurer et améliorer l'efficacité
FAQ sur la formation cybersécuritéPourquoi la formation est indispensable
#
Le facteur humain : maillon faible ou première défense ?
On dit souvent que l'humain est le maillon faible de la sécurité informatique. C'est une vision pessimiste. Avec une formation adaptée, vos collaborateurs deviennent au contraire votre première ligne de défense : ils détectent les menaces que les outils automatisés laissent passer, signalent les comportements suspects et adoptent des pratiques qui réduisent les risques.
Statistiques révélatrices :
91% des cyberattaques débutent par un email de phishing
30% des emails de phishing sont ouverts par leurs destinataires
Un employé formé détecte 70% des tentatives de phishing (vs 10% sans formation)
Les entreprises qui forment régulièrement subissent 50% d'incidents en moins#
Les bénéfices concrets d'un programme de formation
Pour la sécurité :
Réduction drastique des incidents liés à l'erreur humaine
Détection plus rapide des menaces (signalement par les utilisateurs)
Respect des bonnes pratiques au quotidienPour la conformité :
Respect des exigences RGPD (sensibilisation obligatoire)
Satisfaction des audits de sécurité
Preuves de due diligence en cas d'incidentPour l'entreprise :
ROI excellent : formation vs coût d'une cyberattaque
Employés plus confiants et autonomes
Culture de sécurité partagéeLes 6 thèmes essentiels à couvrir
#
Reconnaître et signaler le phishingC'est LE sujet prioritaire. Vos collaborateurs doivent savoir identifier un email frauduleux et réagir correctement.
Points clés à enseigner :
Signaux d'alerte dans un email :
Expéditeur inconnu ou adresse légèrement modifiée (ex: @micr0soft.com)
Objet alarmiste ou trop alléchant ("Urgent", "Votre compte sera suspendu", "Vous avez gagné")
Demande inhabituelle (virement, identifiants, informations personnelles)
Liens vers des sites suspects (survoler sans cliquer pour voir l'URL réelle)
Pièces jointes inattendues (surtout .exe, .zip, .docm)
Fautes d'orthographe et formulations inhabituellesBons réflexes :
Ne jamais cliquer directement sur un lien suspect : aller sur le site officiel manuellement
Ne jamais communiquer d'identifiants par email (aucune entreprise légitime ne le demande)
En cas de doute, contacter l'expéditeur supposé par un autre canal
Signaler systématiquement les emails suspects au service ITExercice pratique recommandé : Montrez des exemples réels de phishing (anonymisés) et demandez aux participants d'identifier les signaux d'alerte.
#
Créer et gérer des mots de passe robustesLes mots de passe faibles restent une cause majeure de compromission. Expliquez pourquoi les recommandations ont évolué et comment les appliquer simplement.
Règles modernes des mots de passe :
Longueur minimale de 12 caractères (la longueur prime sur la complexité)
Éviter les informations personnelles (date de naissance, prénom des enfants)
Ne jamais réutiliser un mot de passe entre plusieurs services
Changer immédiatement si compromission suspectéeSolution pratique : le gestionnaire de mots de passe
Un gestionnaire de mots de passe (Bitwarden, 1Password, LastPass) permet de :
Générer des mots de passe uniques et complexes pour chaque service
Les stocker de façon sécurisée (chiffrés)
Les remplir automatiquement (plus de frappe = moins de keyloggers)
Ne retenir qu'un seul mot de passe maîtreL'authentification multi-facteurs (MFA)
Expliquez clairement ce qu'est le MFA et pourquoi il est si efficace : même si le mot de passe est compromis, l'attaquant ne peut pas se connecter sans le second facteur (code SMS, application, clé physique).
#
Protéger les données sensiblesTous les collaborateurs manipulent des données qui doivent être protégées. Ils doivent comprendre leurs responsabilités.
Classification des données :
Publiques : peuvent être diffusées librement
Internes : réservées aux collaborateurs
Confidentielles : accès restreint (données clients, RH, financières)
Secrètes : très restreint (secrets commerciaux, données stratégiques)Règles de manipulation :
Ne jamais envoyer de données confidentielles par email non chiffré
Utiliser les outils de partage approuvés (pas WeTransfer personnel)
Vérifier les destinataires avant d'envoyer (attention à l'autocomplétion)
Ne pas stocker de données professionnelles sur des services personnelsRGPD : les bases pour tous
Données personnelles = toute information identifiant une personne
Collecter uniquement le nécessaire
Ne pas conserver au-delà du nécessaire
Signaler toute fuite potentielle au DPO/direction#
Sécurité physique et environnement de travailLa cybersécurité ne se limite pas au monde numérique. Des pratiques simples évitent des fuites par négligence.
Au bureau :
Verrouiller son poste en s'absentant (Windows + L)
Ne pas laisser de documents sensibles sur le bureau
Ne pas discuter d'informations confidentielles en open space
Attention à qui regarde votre écran (shoulder surfing)
Signaler les personnes inconnues dans les locauxClés USB et périphériques :
Ne jamais brancher une clé USB d'origine inconnue
Éviter les bornes de recharge USB publiques (juice jacking)
Utiliser uniquement des périphériques approuvés par l'entrepriseDocuments papier :
Détruire les documents sensibles (broyeuse, pas la corbeille)
Ne pas imprimer inutilement des données confidentielles
Récupérer immédiatement les impressions#
Sécurité en mobilité et télétravailLe travail à distance et les déplacements créent des risques spécifiques que les collaborateurs doivent connaître.
Connexion à distance :
Toujours utiliser le VPN de l'entreprise pour accéder aux ressources internes
Éviter les WiFi publics (hôtels, cafés, aéroports) ou utiliser le VPN
Privilégier le partage de connexion mobile au WiFi inconnuEnvironnement de travail à domicile :
Sécuriser le WiFi personnel (WPA3, mot de passe robuste)
Ne pas laisser l'ordinateur professionnel accessible aux autres membres du foyer
Avoir un espace permettant la confidentialité des appelsEn déplacement :
Ne pas laisser son ordinateur sans surveillance (coffre de voiture, consigne)
Attention aux regards indiscrets dans les transports
Désactiver Bluetooth et WiFi quand non utilisés
En cas de perte/vol, signaler immédiatement#
Réagir face à un incidentVos collaborateurs doivent savoir quoi faire s'ils suspectent un problème de sécurité.
Quand alerter ?
Email suspect reçu (même si pas cliqué)
Comportement anormal de l'ordinateur
Demande inhabituelle d'un collègue (virement, données)
Perte ou vol d'un équipement
Erreur de manipulation (envoi au mauvais destinataire)Comment alerter ?
Définissez un canal clair : email dédié, numéro de téléphone, formulaire
Encouragez le signalement sans crainte de sanction
Valorisez les signalements (mieux vaut une fausse alerte que pas d'alerte)En cas d'incident confirmé :
Ne pas éteindre l'ordinateur (préserve les preuves)
Déconnecter du réseau si infection suspectée
Suivre les instructions du service IT
Ne pas tenter de résoudre seulComment organiser votre programme de formation
#
La formation initiale (onboarding)
Tout nouvel arrivant doit suivre une formation cybersécurité avant d'avoir accès aux systèmes. Durée recommandée : 1h à 2h.
Contenu :
Les 6 thèmes essentiels (version condensée)
Présentation de la charte informatique
Procédure de signalement des incidents
Quiz de validation#
Les rappels réguliers
La formation initiale s'oublie vite. Prévoyez des rappels réguliers :
Trimestriels (15-30 minutes) :
Focus sur un thème spécifique
Actualité des menaces récentes
Retour sur les incidents (anonymisés)Continus :
Affiches et mémos dans les locaux
Articles dans la newsletter interne
Alertes lors de campagnes de phishing en cours#
Les simulations de phishing
Les exercices pratiques sont les plus efficaces. Envoyez régulièrement de faux emails de phishing à vos collaborateurs pour :
Évaluer leur niveau de vigilance
Identifier les profils à risque
Mesurer l'amélioration dans le tempsBonnes pratiques :
Commencez par des simulations faciles à détecter
Augmentez progressivement la difficulté
Accompagnez toujours d'un message pédagogique (pas de sanction)
Formez en priorité ceux qui se font piégerMesurer et améliorer l'efficacité
#
Indicateurs clés à suivre
Simulations de phishing :
Taux de clic sur les liens malveillants (objectif : <5%)
Taux de signalement des emails suspects (objectif : >50%)
Évolution dans le tempsIncidents :
Nombre d'incidents liés à l'erreur humaine
Nombre de signalements (en hausse = bonne nouvelle)
Délai moyen de signalementFormation :
Taux de participation aux formations
Scores aux quiz de validation
Satisfaction des participants#
Amélioration continue
Analysez les résultats pour adapter votre programme :
Les thèmes où les erreurs persistent nécessitent plus de formation
Les profils qui se font piéger régulièrement méritent un accompagnement personnalisé
Les nouvelles menaces doivent être intégrées rapidementFAQ sur la formation cybersécurité
#
À quelle fréquence former les employés ?
Formation initiale obligatoire à l'arrivée, puis :
Rappels trimestriels sur des thèmes spécifiques (30 min)
Simulations de phishing mensuelles
Formation complète annuelle (1-2h)Les entreprises les plus matures ajoutent des micro-formations continues (5 min par semaine).
#
Faut-il former tous les employés, y compris les dirigeants ?
Oui, absolument. Les dirigeants sont même des cibles privilégiées (whale phishing) car ils ont accès à des informations sensibles et peuvent autoriser des virements importants. Leur formation doit inclure les risques spécifiques à leur position.
#
Comment convaincre les collaborateurs récalcitrants ?
Évitez le discours culpabilisant. Montrez plutôt :
Des exemples concrets d'attaques (cas réels anonymisés)
Les conséquences pour l'entreprise ET pour eux personnellement
Que c'est aussi applicable dans leur vie personnelleRendez la formation interactive et courte plutôt que magistrale et longue.
#
Comment former sans équipe IT dédiée ?
Plusieurs options :
Faire appel à un prestataire externe (AREZO propose ce service)
Utiliser des plateformes de e-learning spécialisées
S'appuyer sur les ressources gratuites (ANSSI, Cybermalveillance.gouv.fr)Services AREZO associés
AREZO accompagne les PME de Lyon et Rhône-Alpes dans la sensibilisation de leurs équipes :
- [Sessions de formation en présentiel ou visioconférence](/nos-services/cybersecurite)
[Campagnes de simulation de phishing](/nos-services/cybersecurite)
[Audit du niveau de sensibilisation](/nos-services/cybersecurite)
[Création de charte informatique](/nos-services/cybersecurite)Contactez-nous pour mettre en place un programme de formation adapté à votre entreprise.