Ce basculement vers la preuve — et non vers l’intention — oblige les RSSI à repenser en profondeur la manière de structurer, piloter et mesurer la sensibilisation. C’est tout l’enjeu d’un programme de sensibilisation cybersécurité NIS2 : relier les audits à la formation, adapter les actions aux risques réels, et produire des résultats mesurables.

La méthode June Factory permet précisément cela : transformer un texte réglementaire complexe en un système pédagogique pilotable, fondé sur l’observation des comportements et l’amélioration continue.

Diagnostic : pourquoi les parcours actuels échouent encore ?

Une formation identique pour tout le monde

Dans de nombreuses organisations, la sensibilisation repose encore sur un module unique par an. Ce format, simple à organiser, ne correspond pas aux exigences du modèle risk-based introduit par NIS2.

Chaque métier, chaque niveau d’accès, chaque responsabilité implique une exposition différente : un comptable ne rencontre pas les mêmes risques qu’un développeur, un administrateur système ou un manager responsable d’un processus critique. En appliquant une formation uniforme, on renforce un sentiment de “contrainte administrative” sans réduire le risque réel.

Les chiffres confirment ce décalage : selon le Clusif, plus de 70 % des incidents majeurs impliquent encore un comportement utilisateur inapproprié, malgré des taux de formation élevés.

Une déconnexion totale entre audit et formation

Autre limite structurelle : les évaluations de conformité et les programmes de sensibilisation fonctionnent souvent en silo. On audite d’un côté, on forme de l’autre.

Ce manque d’alignement empêche de cibler la formation sur les écarts observés. Les collaborateurs reçoivent des contenus qui ne correspondent ni à leurs risques, ni à leurs pratiques réelles. Pour le RSSI, cela crée une difficulté majeure : impossible de démontrer la réduction du risque humain puisque la formation n’est pas liée à un besoin clairement identifié.

Des indicateurs qui ne prouvent rien

Le taux de complétion reste l’indicateur central utilisé dans 80 % des organisations (source : EY Cybersecurity Insights 2025). Pourtant, NIS2 n’exige pas que les collaborateurs “terminent une formation” : elle exige qu’ils “adoptent des comportements sûrs”.

Les indicateurs attendus par les régulateurs portent sur la compréhension, la progression, la maîtrise des réflexes critiques et la diminution des écarts observés. Autrement dit : les preuves doivent montrer la réalité, pas l’intention.

Sans mesure continue ni tableau de bord cohérent, les RSSI se retrouvent avec un dispositif coûteux en énergie mais peu utile pour démontrer la conformité.

Notre approche : transformer la directive en comportements observables

La valeur de la méthode June Factory réside dans sa capacité à traduire une exigence réglementaire en un parcours d’apprentissage articulé autour des comportements réels. Là où NIS2 impose des obligations générales — réduire le risque humain, maîtriser les privilèges, améliorer la réaction aux incidents — la méthode formule ces obligations en attentes concrètes, mesurables et actionnables.

Tout commence par la transformation du texte NIS2 en un ensemble clair d’exigences internes. Ces exigences, écrites dans un langage métier, décrivent ce que l’organisation attend d’un collaborateur, d’un manager ou d’un administrateur dans des situations concrètes : savoir reconnaître une tentative de phishing, appliquer le principe du moindre privilège, ou encore déclarer un incident de manière fiable et rapide. Auditool permet de structurer ces exigences dans un référentiel opérationnel qui servira de base aux auto-évaluations et aux audits.

L’étape suivante consiste à confronter ces exigences à la réalité du terrain. Les auto-évaluations, les audits ciblés ou les simulations contextualisées révèlent où les comportements attendus ne sont pas maîtrisés. Ces constats ne sont pas une sanction : ils sont un signal précis qui indique quel apprentissage doit être déclenché, pour qui, et pourquoi.

Cette logique crée un pont entre audit et formation, absent dans la majorité des dispositifs actuels.

À partir de ces écarts observés, la remédiation devient simple et naturelle : chaque exigence se décline en compétence, chaque compétence en comportement observable, et chaque comportement correspond à un module Phosforea. Un utilisateur qui clique sous pression recevra un module sur l’ingénierie sociale ; un manager qui ne maîtrise pas le processus de déclaration recevra un module sur la gestion des incidents ; un administrateur qui ne respecte pas pleinement le PAM suivra un module dédié à la gestion des privilèges.

La formation n’est plus générique : elle corrige un écart prouvé.

Enfin, la supervision permet de mesurer si les comportements évoluent réellement. En consolidant dans Auditool les résultats des évaluations, des simulations, des audits ou des suivis de pratiques, on observe la progression dans le temps. Le RSSI dispose alors d’une preuve concrète, structurée et opposable : les réflexes s’améliorent, les écarts diminuent, le risque humain se réduit.

La boucle Définir → Évaluer → Remédier → Superviser devient un cycle d’amélioration continue qui répond pleinement aux attentes de NIS2.

Programme de sensibilisation cybersécurité NIS2 : parcours et séquençage annuel

Les parcours présentés ici ne détaillent volontairement ni les contenus, ni les modules : ces éléments seront restitués dans des infographies dédiées. L’objectif est d’expliquer la logique générale de chaque parcours et la manière dont se structure une année de sensibilisation NIS2 alignée sur les risques.

Parcours “Hygiène cyber continue”

Ce premier parcours s’adresse à l’ensemble des collaborateurs. Sa logique repose sur une montée en maturité progressive, alternant évaluations légères, apprentissages courts et moments clés plus structurants.

L’année commence par un état des lieux : une auto-évaluation simple et un module introductif permettent de poser les bases et de contextualiser les obligations de NIS2 dans le quotidien des utilisateurs. Cette mise à niveau initiale est essentielle pour comprendre où se situent les fragilités.

Le deuxième trimestre installe un rythme régulier. Le micro-learning mensuel fonctionne comme un entraînement continu qui renforce les réflexes et évite l’oubli entre deux sessions. Ce cycle court est volontairement calibré : bref, fréquent et aligné sur des comportements concrets.

Au troisième trimestre, le parcours s’intéresse aux situations de travail les plus courantes : mobilité, télétravail, échange de fichiers, gestion du poste de travail. Cette phase permet d’intégrer la dimension pratique du risque, celle que les collaborateurs rencontrent au quotidien.

Enfin, le quatrième trimestre joue un rôle de consolidation. Une simulation plus avancée et une auto-évaluation finale permettent de mesurer l’évolution des comportements sur l’année. Les résultats sont consolidés automatiquement dans Auditool pour produire un reporting clair et exploitable dans le cadre de NIS2.

Ce parcours offre un rythme souple, adapté aux populations généralistes, et met l’accent sur l’ancrage des réflexes essentiels.

Parcours “Populations critiques”

Le deuxième modèle s’adresse aux administrateurs, à l’IT et aux métiers disposant d’accès sensibles. Ces populations sont directement concernées par les obligations renforcées de NIS2 et nécessitent un parcours plus technique et plus exigeant.

L’année débute par un travail de clarification. Le premier trimestre se concentre sur les responsabilités associées à la gestion des privilèges et des secrets, ainsi que sur la compréhension fine de la chaîne d’attaque. Cette phase est essentielle : un administrateur mal formé constitue l’un des points de vulnérabilité les plus critiques.

Le deuxième trimestre est orienté vers les environnements exposés. On y aborde la sécurisation des accès distants, les exigences autour du MFA ou encore la reconnaissance des signes d’une tentative d’intrusion ciblée. L’objectif est de réduire drastiquement les comportements à fort impact.

Au troisième trimestre, la logique se déplace vers la résilience et la continuité. Les équipes apprennent à restaurer un environnement minimal, à gérer les sauvegardes ou à détecter un Shadow IT risqué. Cette phase répond directement aux ambitions de NIS2 en matière de continuité d’activité.

Le dernier trimestre permet de démontrer la maturité des équipes critiques. À travers une simulation avancée et un audit technique ciblé, l’organisation mesure sa capacité à réagir, à appliquer les règles et à adopter des réflexes sûrs. Auditool consolide ces résultats pour produire une preuve solide du niveau de conformité.

Ce modèle met l’accent sur la maîtrise des comportements à fort impact, l’accélération de la réaction et la réduction des risques les plus critiques.

Clés de réussite

Un parcours NIS2 réussi repose d’abord sur une bonne compréhension du risque. Les organisations qui construisent leurs programmes à partir d’un référentiel fondé sur les exigences internes — plutôt que sur un catalogue de modules — réduisent plus rapidement les incidents humains (PwC Digital Trust Insights 2025).

La segmentation est tout aussi essentielle : les populations générales et critiques ne partagent ni les mêmes risques ni les mêmes responsabilités. Un modèle unique pour tous ne peut fonctionner.

Le lien entre audit et formation est l’un des leviers les plus puissants. Lorsqu’un module répond à un écart observé, la formation cesse d’être perçue comme une obligation ; elle devient une mesure corrective légitime.

Le micro-learning permet ensuite de maintenir l’attention dans la durée et d’ancrer les réflexes. Les cycles courts favorisent la répétition, indispensable à la mémorisation.

Enfin, la capacité à démontrer la progression dans Auditool est le pilier de la crédibilité : le RSSI doit être en mesure d’exposer des preuves claires et mesurables de la réduction du risque humain.

Conclusion 

Un parcours de sensibilisation cybersécurité NIS2 efficace ne consiste pas à “faire de la formation”, mais à prouver que les comportements évoluent.

En reliant la directive à un ensemble d’exigences internes, en observant les écarts et en attribuant les modules qui y répondent, les organisations transforment la sensibilisation en un véritable levier de réduction du risque humain. Les RSSI peuvent enfin produire un reporting crédible, fondé sur des preuves et aligné sur les attentes de la directive.

Mesurer le ROI de la sensibilisation à la cybersécurité reste un angle mort de nombreuses stratégies SSI. Et pourtant, sans indicateurs tangibles, la sensibilisation reste cantonnée au registre de la communication.

La méthode June Factory propose de sortir de ce piège : en combinant Phosforea, moteur de formation comportementale, et Auditool, plateforme de pilotage du contrôle interne, les RSSI peuvent désormais relier pédagogie et réalité terrain dans une même boucle de conformité.

Le paradoxe du ROI en sensibilisation : entre intuition et crédibilité

Les RSSI savent que la sensibilisation fonctionne — mais ils peinent à le prouver.
Selon le CESIN 2024, seuls 27 % des RSSI déclarent disposer d’indicateurs formalisés pour mesurer l’efficacité de leurs programmes de sensibilisation.

En pratique, les organisations se contentent souvent de suivre des données superficielles : taux de participation, satisfaction ou score moyen aux quiz. Ces chiffres montrent une activité, pas un changement de comportement.

“On me demande combien d’incidents on évite grâce à nos formations… Je n’ai pas de métrique crédible à présenter.” — RSSI d’un groupe de services, témoignage CLUSIF 2024

Or, sans mesure fiable, la sensibilisation reste perçue comme un poste de dépense non prioritaire.
Le ROI devient donc une question de crédibilité stratégique : comment transformer une démarche perçue comme “soft” en un levier mesurable de réduction du risque ?

La réponse : relier la pédagogie à la preuve terrain.

Pourquoi la mesure du ROI de la sensibilisation est un levier stratégique

1. Justifier et pérenniser les budgets

Dans un contexte de rationalisation des dépenses, le COMEX attend du concret. Les RSSI capables de démontrer une corrélation entre investissement formation et baisse du risque sécurisent leurs budgets sur le long terme.

Selon le rapport Proofpoint – Voice of the CISO 2025, les entreprises mesurant les comportements post-formation observent 30 % d’incidents internes en moins.

Le ROI ne se limite donc pas à la réduction d’incidents : il s’exprime aussi en temps gagné sur les remédiations, en baisse du turnover lié aux crises, et en confiance accrue des métiers.

2. Orienter les efforts pédagogiques

La mesure du ROI permet d’identifier les zones de fragilité persistantes : clics sur phishing, partage de données sensibles, gestion des accès distants. Plutôt que d’imposer des parcours génériques, le RSSI peut ajuster les formations pour cibler les véritables risques comportementaux.

3. Aligner communication et gouvernance

Mesurer, c’est aussi parler le langage du COMEX. Transformer des scores de quiz en indicateurs de performance, c’est donner à la sécurité une place dans la gouvernance d’entreprise. La sensibilisation n’est plus “l’affaire du RSSI”, mais un indicateur collectif de maturité organisationnelle.

Comment structurer la mesure du ROI avec la méthode June Factory

La méthode June Factory repose sur quatre étapes : Définir → Évaluer → Remédier → Superviser.
Appliquée à la sensibilisation, elle permet de passer du discours à la preuve.

1 : Définir les objectifs comportementaux 

Avant de lancer une campagne, encore faut-il savoir ce que l’on veut changer. “Former 100 % du personnel” n’est pas un objectif ; “réduire de 40 % les transferts de fichiers non sécurisés” en est un.
Phosforea aide à modéliser ces objectifs comportementaux : chaque parcours est associé à une fonction, un risque et une exigence réglementaire (NIS2, RGPD, DORA…).

Exemples d’objectifs pertinents :

• Diminuer le taux de clics sur phishing simulé.

• Renforcer la vigilance des équipes d’achat sur la sécurité fournisseur.

• Réduire le shadow IT dans les équipes techniques.

En les formulant clairement, on prépare le terrain d’une mesure de ROI crédible.

2 : Évaluer l’engagement et la progression des équipes (Évaluer)

Une fois les parcours déployés, Phosforea permet de suivre finement les taux de participation, de progression individuelle, ainsi que les scores moyens par thématique cyber.

Ces données, agrégées par métier ou service, donnent une première vision du ROI pédagogique.

Exemple : après trois mois de campagne, la Direction RH d’un groupe bancaire affiche une progression moyenne de +35 % sur les modules phishing, tandis que la Direction achat atteint un taux de réussite de 88 % sur la reconnaissance de faux sites.

Ces indicateurs ne prouvent pas encore un changement de comportement réel — mais ils révèlent une dynamique d’apprentissage.

3 : Vérifier l’ancrage opérationnel via les contrôles internes (Remédier & renforcer)

C’est ici qu’entre en jeu Auditool. Le ROI ne se mesure pas uniquement à ce que les collaborateurs savent, mais à ce qu’ils font. Phosforea sensibilise et forme. Auditool, lui, permet de structurer des contrôles permanents ou périodiques pour observer la mise en pratique sur le terrain.

Concrètement :

• Après un module sur la sécurité des mots de passe, un contrôle Auditool vérifie si les consignes sont effectivement respectées ;

• Après une formation sur la gestion des fournisseurs, un contrôle vérifie la mise à jour des clauses de sécurité dans les contrats ;

• Après une campagne sur la protection des données, un audit vérifie la conformité des partages via outils collaboratifs.

Exemple : un contrôle Auditool révèle 25 % de non-conformités sur la politique de mots de passe malgré un taux de complétion Phosforea de 95 %. Résultat : un plan d’action ciblé est déclenché — nouvelle micro-formation + contrôle un mois plus tard.

Ce mécanisme relie la formation à la vérification opérationnelle, transformant la sensibilisation en véritable levier d’amélioration continue.

4 : Superviser et valoriser les résultats (Superviser & consolider)

La dernière étape consiste à rendre la mesure lisible. Les RSSI disposent alors de deux types de données : les indicateurs d’engagement issus de Phosforea, les indicateurs de conformité issus d’Auditool.

En les croisant, on obtient une vue complète du ROI sensibilisation cybersécurité :

• Participation élevée + conformité faible → effort d’accompagnement à prévoir ;

• Participation modérée + conformité forte → bonne assimilation spontanée ;

• Progression simultanée sur les deux axes → ROI avéré.

Nous recommandons de regrouper ces données dans un “Compliance Learning Dashboard” : un tableau de bord mensuel ou trimestriel affichant : taux d’exposition, d’engagement , niveau de maîtrise , évolution temporelle.

Ces éléments deviennent des preuves tangibles à présenter en comité de direction. Le RSSI parle désormais en indicateurs, pas en ressenti.

Se projeter : à quoi ressemble un pilotage ROI de la sensibilisation ?

Imaginez un RSSI capable, chaque trimestre, de présenter au COMEX un rapport de maturité clair, comprenant un tableau de bord illustrant la progression comportementale des équipes. 

Exemple : “Nous avons investi 10 000 € dans la formation sur les risques tiers ; les écarts observés sur les contrôles fournisseurs ont chuté de 22 %.”

Dans ce scénario, la sensibilisation n’est plus une dépense, mais un actif stratégique qui réduit le risque humain, renforce la conformité et crédibilise la fonction SSI auprès de la direction. C’est cette prospective réaliste que nous cherchons à rendre concrète : un pilotage de la culture sécurité par la preuve.

Clés de réussite pour piloter le ROI de la sensibilisation

1. Fixer des objectifs comportementaux mesurables

Remplacer les objectifs quantitatifs (“former tout le monde”) par des indicateurs d’usage concret.

Exemple : “réduire les transferts de données via canaux non sécurisés de 40 % en six mois”.

2. Relier sensibilisation et contrôles internes

Chaque écart observé dans Auditool devient une opportunité d’apprentissage dans Phosforea.
Cette approche intégrée transforme les audits ou contrôles permanent de conformité en outils de progrès, pas de sanction.

3. Centraliser les données dans un tableau de bord lisible

Un Compliance Learning Dashboard simplifie le dialogue avec la direction. Trois indicateurs clés : exposition, engagement, progrès.

4. Maintenir une mesure continue

Le ROI n’est pas un bilan annuel, mais un flux. Suivre les indicateurs tous les trimestres permet de détecter les signaux faibles et d’ajuster les plans d’action.

5. Valoriser les progrès auprès du COMEX

Présenter la sensibilisation comme un levier de performance collective : services exemplaires, progrès métiers, amélioration durable des pratiques.

Conclusion :

Mesurer le ROI de la sensibilisation à la cybersécurité ne consiste pas à additionner des taux de complétion, mais à démontrer une transformation des comportements vérifiable sur le terrain.

En articulant Phosforea (formation) et Auditool (contrôle), le RSSI crée un cycle vertueux : sensibiliser, observer, corriger, prouver. La mesure devient alors un langage commun entre sécurité, conformité et direction générale.

La sensibilisation sort du registre de la communication pour entrer dans celui de la gouvernance.

Les RSSI le constatent chaque année : malgré la multiplication des modules, les réflexes de sécurité restent fragiles. Le problème ne vient pas du message, mais de la manière dont il est transmis.

Pendant longtemps, la sensibilisation s’est appuyée sur un modèle unique : l’e-learning obligatoire.
Un format souvent perçu comme contraignant : trop long, trop théorique, trop éloigné du quotidien des collaborateurs.
Résultat : les apprenants cliquent mécaniquement, passent les quiz sans y prêter attention, et oublient l’essentiel quelques jours plus tard.

Selon l’étude Proofpoint Voice of the CISO 2025, plus de 80 % des RSSI estiment que leurs collaborateurs ne se sentent pas réellement concernés par la cybersécurité.

Or, face aux nouvelles obligations réglementaires (NIS2, DORA, RGPD) et à la sophistication croissante des attaques, cette déconnexion devient critique.

Former, oui ; mais encore faut-il engager. Et pour engager, il ne suffit pas de raccourcir les modules. Il faut repenser l’expérience d’apprentissage dans son ensemble : choisir le bon format, au bon moment, pour la bonne cible.

Et si le format valait autant que le fond ? Vidéo, module e-learning, jeu, affiches, mobile… Choisir le bon vecteur de diffusion, c’est déjà poser la première brique de l’adhésion.

source : Radicati Group , Wistia, TechSmith, Think with Google

Pourquoi les formats “monolithiques” n’engagent plus

Un e-learning unique, diffusé à tous, ne répond plus aux besoins du terrain.
Le problème n’est pas seulement la durée, mais le manque de diversité et de pertinence contextuelle.
Trois freins majeurs expliquent cette perte d’efficacité.

Premier frein : la lassitude cognitive.

Un module de quarante-cinq minutes, suivi une fois par an, ne retient ni l’attention ni la mémoire.
D’après PwC Digital Trust Insights 2025 (lire le rapport), les formats courts et interactifs augmentent la rétention moyenne de 25 % et le taux d’achèvement de 40 % par rapport aux modules linéaires.
Autrement dit, moins on sollicite l’attention, plus elle est efficace.

Second frein : la déconnexion métier.

Un même contenu envoyé à un opérateur industriel, un acheteur et un responsable RH ne peut produire le même effet.
Chaque poste implique des usages numériques différents, des risques spécifiques et des leviers de motivation distincts.
Les programmes “one-size-fits-all” donnent l’illusion de couvrir le risque humain ; en réalité, ils le diluent.

Troisième frein : l’absence de feedback.

Dans beaucoup d’organisations, on mesure le taux de complétion, pas la progression réelle.
Sans retour individualisé ni indicateur concret de changement de comportement, la sensibilisation devient un exercice administratif plutôt qu’un levier d’amélioration.

Les RSSI se retrouvent ainsi face à un paradoxe : tout le monde “a suivi la formation”, mais les comportements à risque persistent.

Vers un mix de formats plus vivants et mieux intégrés

Pour surmonter cette inertie, les entreprises les plus avancées abandonnent la logique du format unique pour construire un écosystème de formats complémentaires.
Ce n’est pas un catalogue, mais une architecture d’apprentissage : des formats courts pour créer le déclic, des formats longs pour approfondir, des formats interactifs pour expérimenter, et des supports visuels pour ancrer les bons gestes.

Les formats courts :  première porte d’entrée.

Une capsule vidéo de deux minutes, un quiz intégré dans Teams, une courte animation diffusée par e-mail : autant de stimuli rapides qui permettent de maintenir la vigilance au quotidien.
Leur force réside dans leur légèreté : faciles à consommer, ils s’insèrent naturellement dans le flux de travail sans interrompre la productivité.

Les formats longs, plus qu’utile.

Un atelier de soixante minutes en présentiel ou une session virtuelle de groupe permet d’approfondir les réflexes, de discuter des incidents réels vécus par les équipes et de relier les politiques de sécurité à la réalité métier.
Ces moments d’échange donnent du sens : ils transforment une obligation en expérience collective.

Les formats interactifs gagnent du terrain.

Les simulations de phishing, les “table-top exercises” ou les “wargames” mettent les participants en situation de crise : ils doivent décider vite, coopérer et assumer les conséquences de leurs choix.
L’impact émotionnel renforce la mémorisation : on retient mieux ce qu’on a vécu que ce qu’on a lu.

Les supports d’ancrage

One-pagers, fiches réflexes, checklists par métier assurent la continuité entre les campagnes.
Ils condensent les messages essentiels en quelques phrases claires : un aide-mémoire utile plutôt qu’un rappel formel.

Le format type serious game 

Enfin, la gamification peut être un puissant moteur de participation, à condition d’être bien dosée.
Des challenges collectifs, des classements d’équipes ou des badges thématiques créent une saine émulation, sans infantiliser les participants. L’objectif n’est pas de transformer la cybersécurité en jeu, mais d’en faire un sujet partagé.

EY 2025 observe que les organisations combinant au moins trois formats complémentaires (cours, expérientiel, ancrage) augmentent en moyenne leur taux d’engagement de 35 %.

Adapter le format au public, à l’objectif et au moment

Un programme de sensibilisation efficace repose sur la capacité du RSSI à adapter le format à l’audience et au moment du cycle. Chaque format a une intention : déclencher un déclic, renforcer une compétence, ancrer une habitude, ou mesurer un progrès.

Des micro-quiz ou des fiches réflexes intégrées dans leurs outils métiers s’avèrent plus efficaces qu’un long e-learning.

À l’inverse, les managers ont besoin de comprendre comment traduire les bonnes pratiques en rituels d’équipe : un atelier participatif ou un cas pratique leur sera plus utile.

Les fonctions sensibles (finance, achats, RH) nécessitent un niveau de maîtrise supérieur : simulations ou modules spécialisés leur permettent de traiter des scénarios réalistes.

Quant au COMEX, il doit vivre la cybersécurité comme une responsabilité stratégique : une session de storytelling ou une simulation de crise à fort impact crée ce déclic.

L’important est de penser en séquence, et non en stock. Un micro-quiz sans suivi n’aura qu’un effet ponctuel ; une campagne qui alterne capsule, atelier et synthèse aura un effet durable.

De même, la mesure ne peut plus se limiter au taux de complétion. Il faut corréler les efforts de formation avec les constats de terrain : moins d’incidents, plus de signalements, meilleure gestion des accès.

Notre approche : relier formation, observation et supervision

La méthode June Factory repose sur un principe simple : la sensibilisation n’a de valeur que si elle s’inscrit dans le cycle global de conformité et de maîtrise des risques. Elle s’articule autour de trois étapes clés : observer, former, mesurer.

Observer, d’abord.

Avec Auditool, les RSSI peuvent identifier les écarts de comportement ou de pratique : mots de passe faibles, partages de documents non maîtrisés, absence de verrouillage de poste, etc.
Ces constats, issus de contrôles périodiques ou d’auto-évaluations métiers, deviennent la base d’un plan de sensibilisation ciblé. Plutôt que de former tout le monde sur tout, on concentre l’effort sur les risques réellement observés.

Former, ensuite.

Phosforea traduit ces signaux en programmes de formation adaptés.
Les collaborateurs concernés reçoivent les contenus les plus pertinents selon leur métier et leur exposition : capsules, ateliers, one-pagers, défis ou modules approfondis. Le RSSI n’envoie plus une campagne générique, mais une formation sur mesure, connectée aux constats de terrain.

Mesurer, enfin.

Les résultats — scores, progression, baisse des écarts observés — sont consolidés dans Auditool.
Cette supervision permet d’ajuster en continu le mix de formats et de démontrer, chiffres à l’appui, l’efficacité de la démarche. Le RSSI passe ainsi d’un pilotage déclaratif (“tout le monde a été formé”) à un pilotage probant (“les comportements à risque ont diminué de 30 %”).

Cette boucle d’apprentissage continue relie la conformité, la formation et le pilotage opérationnel. Elle transforme la sensibilisation en système vivant, capable de s’adapter aux évolutions des risques comme aux retours du terrain.

L’engagement, une question de rythme et de cohérence

La réussite d’un programme de sensibilisation ne tient pas à la brillance d’un format, mais à la cohérence d’ensemble.
Les organisations qui progressent sont celles qui considèrent la sensibilisation non comme une action ponctuelle, mais comme un rythme collectif : un équilibre entre courts et longs formats, entre information et pratique, entre contenu et mesure.

Former, observer, mesurer : voilà le triptyque d’une culture sécurité vivante. Chaque format, chaque capsule, chaque atelier devient une pièce du même puzzle : celui d’une organisation capable d’apprendre de ses erreurs, de renforcer ses réflexes et de prouver sa conformité.

La cybersécurité n’est plus une série de consignes : c’est un savoir-faire collectif. Et comme tout savoir-faire, il se cultive dans la durée.

Pour aller plus loin

Vidéo, quiz, mini jeu en ligne, affiches… Phosforea réunit dans un seul kit tous les formats qui font la différence.
Pensé pour capter l’attention, ancrer les bons réflexes et s’adapter à vos enjeux, notre kit de sensibilisation vous accompagne dans la durée.

Découvrez notre kit de sensibilisation prêt à l’emploi

1. Nouvelle interface utilisateurs

2. Organisation de challenge entre apprenants

Démo interactive

Nouvelle interface

• Nouvelle interface moderne et épurée, facilitant la navigation et l’accès aux contenus.

• Expérience utilisateur optimisée : organisation claire des sections, meilleure lisibilité et parcours simplifié.

• Ajout de filtres rapides pour trouver facilement les contenus et challenges pertinents.

• Design repensé pour valoriser la progression et rendre l’utilisation plus fluide, côté apprenant comme administrateur.

Organisez des challenges

• Accès à une nouvelle section “Challenge”, permettant d’ajouter une dimension ludique aux parcours de sensibilisation et de formation.

• Les utilisateurs gagnent des points et progressent dans le classement général selon leur assiduité, rapidité et exactitude.

• Gagnez des points en lisant les contenus et en complétant les quiz associés. Suivez votre progression grâce à un classement dynamique et comparez vos résultats avec les autres apprenants.

• Les administrateurs disposent d’un espace dédié pour créer, gérer et suivre les challenges ainsi que les performances des utilisateurs.

Pour démarrer un essai gratuit pendant 7 jours : https://lms.phosforea.com

1. Section planification d’audit

2. Nouveau rôle : Audité

3. Améliorations générales : des petits plus qui font la différence

Démo interactive 

Planification d’audit

Nous enrichissons Auditool avec une nouvelle section de planification pour simplifier le pilotage de vos audits.

Grâce à l’affichage calendaire, vous visualisez instantanément vos audits, leurs phases et l’avancement de vos équipes.
L’objectif : vous offrir une vision claire et centralisée de vos activités, réduire les conflits de planning, faciliter les ajustements et assurer une meilleure coordination entre vos intervenants.

• Affichage mensuel : visualisez en un coup d’œil vos audits, leurs phases et l’avancement des équipes.

• Création et modification d’interventions directement depuis la planification.

• Ajustement rapide des dates d’audit et de phases.

• Synchronisation possible des interventions avec les agendas Outlook et GCalendar.

Nouveau rôle “audité”

Vous pouvez désormais inviter vos audités (clients, collaborateurs internes ou prestataires) à contribuer directement dans Auditool en répondant aux parties qui leur sont destinées.
Grâce au nouveau rôle Audité, vos parties prenantes accèdent en toute sécurité uniquement aux audits qui les concernent et peuvent compléter les informations demandées.
Un moyen simple, centralisé et sécurisé de gagner du temps et d’améliorer la qualité de vos évaluations.

• Attribution du rôle à des participants internes ou externes.

• Accès restreint uniquement aux audits et créneaux associés.

• Consultation et saisie des informations demandées par les auditeurs.

• Protection des données sensibles : aucune visibilité sur les autres éléments de la plateforme.

• Invitation centralisée : vos équipes peuvent inviter leurs audités pour préremplir certaines parties de l’audit.

Améliorations générales

Rôle Auditeur – lancement des audits :

• Les auditeurs peuvent désormais lancer eux-mêmes les audits auxquels ils sont assignés, sans attendre l’action préalable de l’administrateur ou du superviseur, à condition que cette option leur ait été autorisée.

Gestion des utilisateurs et authentification :

• Création automatique des comptes : si un utilisateur existe déjà dans Keycloak, son compte Auditool est généré automatiquement lors de sa première connexion (option activable).

• Optimisations d’intégration avec Keycloak pour simplifier la gestion des accès.

Au-delà des évolutions présentées, cette version embarque de multiples optimisations techniques et ergonomiques qui contribuent à rendre votre expérience encore plus fluide, stable et intuitive.

Cette nouvelle version d’Auditool a été déployée progressivement à partir du 27/10/2025.

Pour démarrer une sandbox gratuite pendant 7 jours : https://june-factory.com/logiciel-audit-conformite/

Vous le savez : la cybersécurité échoue rarement sur la technologie seule. Elle échoue parce qu’un collaborateur clique sur un lien piégé, partage un fichier sensible ou recycle son mot de passe.
Le problème, ce n’est pas de comprendre pourquoi il faut sensibiliser. Le problème, c’est de convaincre ceux qui détiennent les moyens et l’influence de vous suivre : le COMEX et les managers de proximité.

Mais attention : ce qui différencie une démarche perçue comme générique d’un programme crédible, c’est la capacité à prouver qu’il est piloté grâce aux contrôles internes — continus et périodiques — qui révèlent les écarts de comportement sur le terrain et assurent l’alignement avec les obligations réglementaires (NIS2, RGPD, ISO, DORA).

Pourquoi ce défi est critique ?

Convaincre un COMEX n’est pas un exercice de pédagogie technique. C’est un exercice de gestion du risque business.

Trois raisons clés :

Un écart de perception persistant

Les études montrent un décalage net : 66 % des RSSI jugent la menace critique, mais seulement 56 % des autres membres du COMEX partagent ce point de vue (EY 2025). Autrement dit : vos dirigeants ne perçoivent pas la même urgence.

Des budgets fragiles

45 % des dirigeants estiment déjà investir massivement, alors que 67 % des RSSI jugent leur budget insuffisant (EY 2025). L’écart de perception se traduit en euros : ce qui semble « assez » pour le COMEX est vécu comme « trop peu » par le RSSI.

Une faible implication stratégique

Seuls 21 % des RSSI sont intégrés dans la planification budgétaire de leur organisation (PwC 2025). Beaucoup découvrent les arbitrages après coup.

Les conséquences sont immédiates et visibles : des programmes de sensibilisation sont annulés ou drastiquement réduits au premier signe de crise, reléguant la cybersécurité au rang de simple case conformité à cocher. Dans ce contexte, la démarche perd toute portée stratégique et ne mobilise plus les équipes. Les managers eux-mêmes, faute de légitimité et de soutien clair de la direction, se démotivent et cessent de relayer le message. Le résultat est sans appel : l’entreprise se prive d’une protection efficace au moment où elle en a le plus besoin.

Or, un programme de sensibilisation crédible ne peut pas être déconnecté de la gouvernance. Les contrôles internes fournissent la preuve terrain indispensable : ils identifient les écarts concrets (accès, sauvegardes, séparation des tâches) et permettent de démontrer que la sensibilisation répond à des constats mesurés, et pas à un catalogue générique.

Convaincre devient donc la première brique : sans sponsor exécutif, tout programme est condamné à l’échec.

Les erreurs fréquentes à éviter

Convaincre un COMEX, c’est un exercice où beaucoup de RSSI échouent… pour de mauvaises raisons.

Parler technique

Un COMEX n’est pas sensible au langage technique. CVE, IOC ou patchs sont des notions qui rassurent les spécialistes, mais qui font décrocher vos dirigeants en quelques secondes. Ce qu’ils attendent, ce sont des impacts concrets exprimés en argent, en clients ou en conformité.

Exemple : Un RSSI raconte avoir ouvert son comité exécutif par un slide listant « IOC, CVE, zero-day et patch management ». Le COMEX a décroché en moins de 5 minutes, considérant la cybersécurité comme un sujet purement IT.

Avec l’appui des contrôles internes, il devient possible de reformuler vos constats en scénarios business clairs :

• « 12 % des équipes échouent au contrôle d’accès → risque RGPD immédiat. »

• « 18 % d’écarts sur la séparation des tâches → exposition à la fraude et non-conformité SOX. »

Arriver sans chiffres

Le COMEX prend rarement de décisions sans chiffres. Un argumentaire basé uniquement sur l’intuition ou sur la peur reste perçu comme abstrait. Sans données concrètes, même un vrai risque ressemble à une hypothèse.

Exemple : Lors d’un audit interne, une RSSI explique au COMEX que « le risque humain est élevé ». Quand on lui demande : « élevé par rapport à quoi ? », elle n’a pas de métrique à opposer. La discussion s’est arrêtée là.

Les données les plus crédibles ne viennent pas seulement d’études externes, mais de vos contrôles internes continus et périodiques :

• taux d’échec à un contrôle de gestion des accès,

• écarts répétés sur la sauvegarde des données,

• évolution du respect des règles dans le temps.

Ces métriques, adossées à des obligations réglementaires (NIS2, ISO, RGPD), transforment votre discours en preuve terrain irréfutable.

Isoler la sécurité

La sensibilisation n’est pas un projet que le RSSI peut porter seul. Si les autres parties prenantes ne sont pas visibles dans la démarche, le COMEX interprète le programme comme un sujet « technique » et non comme une priorité collective.

Exemple : Un manager sécurité présente seul son plan au COMEX. Plus tard, les RH confient qu’ils n’étaient même pas au courant du projet, alors qu’ils gèrent onboarding et communication interne. Le COMEX en a conclu que le programme n’était pas mûr.

Les contrôles internes, par définition, sont transverses (finance, RH, IT, opérations). Les utiliser comme socle de la sensibilisation, c’est montrer que l’approche concerne l’ensemble de l’organisation et pas seulement la sécurité IT.

Proposer un catalogue de formations

La sensibilisation ne peut pas reposer uniquement sur le RSSI. Lorsqu’elle est perçue comme une initiative isolée du service sécurité, elle reste marginale et peine à s’ancrer dans la culture d’entreprise.

Exemple : Un RSSI a présenté au COMEX une liste de 12 modules e-learning, chacun avec durée et coût. Verdict du PDG : « on dirait un catalogue d’éditeur, pas une stratégie ». Budget refusé.

Là encore, les contrôles internes font la différence : ils permettent de justifier pourquoi la sensibilisation doit prioriser certains thèmes plutôt que d’empiler des modules. Exemple : « Les contrôles montrent que la gestion des accès échoue dans 15 % des cas, nous ciblons donc ce thème en priorité. »

Penser “one shot”

La sensibilisation à la cybersécurité n’est pas une campagne ponctuelle, mais un effort permanent. Penser qu’une seule vague d’actions suffira revient à ignorer que les menaces et les comportements évoluent en continu.

Exemple : Une organisation lance un « mois de la cybersécurité » très visible, avec affiches, quiz et challenges. Trois mois plus tard, les comportements n’ont pas changé. Le COMEX demande : « pourquoi continuer si ça n’a pas d’effet durable ? ».

Les contrôles internes, parce qu’ils sont continus ou périodiques, créent un cycle naturel : contrôle → sensibilisation ciblée → nouvelle mesure → ajustement. C’est cette logique itérative qui ancre la cybersécurité dans la culture d’entreprise.

Les clés de réussite pour convaincre COMEX & managers

Après avoir exploré les erreurs les plus fréquentes commises par les RSSI lorsqu’ils cherchent à convaincre leur COMEX, il est essentiel de se projeter sur un cadre positif et reproductible. Car un pitch réussi n’est pas une question de chance ou de charisme : c’est une méthode qui repose sur cinq leviers précis.

Ces clés de réussite sont celles que l’on retrouve systématiquement dans les études internationales (EY, PwC, Proofpoint) mais aussi dans les retours d’expérience de RSSI qui ont obtenu des budgets conséquents. Autrement dit : ce ne sont pas des “bonnes pratiques théoriques”, ce sont des ingrédients qui font la différence dans la vraie vie.

Traduire le risque en langage business

Un COMEX ne se mobilise pas sur un acronyme technique, mais sur une exposition financière, réglementaire ou client. Le rôle du RSSI est de faire le pont entre la menace et son impact concret sur l’activité.

Avec l’appui des contrôles internes, cette traduction est immédiate :

• “15 % d’échec au contrôle d’accès = risque RGPD + exposition à une sanction CNIL.”

• “18 % de non-conformité à la séparation des tâches = risque de fraude opérationnelle.”

Arriver avec des preuves tangibles

Les directions générales décident rarement sur la base d’intuitions. Ce qui fait la différence, ce sont des chiffres simples, lisibles et crédibles.

Outre les benchmarks externes (PwC, EY, Proofpoint), les indicateurs issus des contrôles internes sont un atout décisif : ils prouvent que la sensibilisation répond à des écarts concrets observés dans l’entreprise.

Donner de la visibilité dans le temps

Un projet sans échéance est un projet condamné. Pour convaincre un COMEX, vous devez montrer que votre programme de sensibilisation s’inscrit dans une dynamique pilotée et mesurable.

La planification peut être calée sur le rythme des contrôles périodiques :

• Q1 : contrôle interne accès → sensibilisation ciblée.

• Q2 : intégration RH (onboarding NIS2) → reporting COMEX.

• Q3 : activation des managers comme relais.

• Q4 : mesure d’efficacité via les contrôles périodiques → ROI présenté au COMEX.

Mobiliser vos relais internes

Un RSSI seul face au COMEX envoie un mauvais signal : la cybersécurité apparaît comme une affaire de spécialistes. Pour être crédible, il faut montrer que le sujet est porté collectivement.

Les contrôles internes fournissent ce langage commun transversal : finance, RH, IT, opérations. En les utilisant comme socle, vous démontrez que la cybersécurité est intégrée à la gouvernance globale.

Prouver la valeur créée

Le dernier levier est sans doute le plus décisif : montrer le retour sur investissement. Pas uniquement en coûts évités (ex. amendes, interruptions, ransomwares), mais aussi en bénéfices immatériels : image de marque, climat interne, conformité.

La valeur est encore plus convaincante lorsqu’elle est liée à vos contrôles internes :

• “En 12 mois, le taux de non-conformité au contrôle accès est passé de 18 % à 6 % grâce à la campagne ciblée.”

Ce lien direct contrôle → sensibilisation → amélioration est ce qui parle le plus à un COMEX.

Conclusion : un cadre reproductible

En résumé, convaincre un COMEX ne se réduit pas à éviter les erreurs. C’est une démarche proactive qui repose sur cinq piliers : parler business, apporter des preuves, donner de la visibilité, mobiliser ses relais et démontrer la valeur.

Mais ce qui fait la différence entre un programme générique et un programme stratégique, c’est la capacité à s’appuyer sur vos contrôles internes continus et périodiques. Ce sont eux qui permettent :

• d’aligner la sensibilisation sur les obligations réglementaires (NIS2, RGPD, ISO, DORA),

• de cibler les écarts comportementaux observés sur le terrain,

• et de démontrer un ROI concret au COMEX.

Convaincre, ce n’est donc pas vendre un catalogue d’e-learning, mais montrer que votre sensibilisation est pilotée comme une brique de gouvernance et de conformité, avec des résultats mesurés et reproductibles.

1. Refonte de la page d’accueil et du menu de navigation
2. Enrichissement des modes revue et plan d’action (pièce jointe, tag, multi-sélection)
3. Ajout d’un chat bot interactif pour guider les utilisateurs
4. Améliorations statut utilisateur, tag, duplication d’audit, structure d’audit etc.

Démo interactive

Menu principal & page d’accueil

Nous avons revu l’organisation de la page d’accueil pour vous offrir une navigation plus fluide dès votre connexion à Auditool. L’objectif : vous permettre d’accéder rapidement aux audits, événements et outils utiles à votre quotidien.

Nouveautés :

• Nouvelle présentation du menu, plus lisible et structurée.
• Liste des 5 derniers audits ouverts pour reprendre votre travail là où vous l’avez laissé.
• Bouton “Audit en cours” enrichi avec les détails essentiels de l’audit actif.
• Bloc agenda intégré pour consulter vos audits planifiés.
• Bloc mémo pour prendre des notes personnelles (non liées à un audit).

Plans d’action & revues : plus de flexibilité et de suivi

Pour vous aider à mieux organiser vos suivis d’audit, nous avons enrichi les fonctionnalités liées aux plans d’action et aux revues. Ces évolutions visent à simplifier la saisie, améliorer la traçabilité et centraliser les documents clés.

• Ajout possible de pièces jointes aux actions correctives et aux revues, avec tri par type de document.

• Saisie multiple pour gagner du temps lors de la création de plusieurs actions ou revues.
• Ajout de tags personnalisés pour mieux catégoriser et retrouver vos actions.
• Enregistrement automatique de la date de clôture d’un plan d’action dans la vue de gestion des audits.

• Pour les exports vers Idhall : ajout de la catégorie, typologie, processus et amélioration du format de l’événement.

Un assistant interactif directement dans l’application

Pour vous accompagner encore plus efficacement dans l’utilisation d’Auditool, un nouveau bouton d’aide a été ajouté à l’interface.

En un clic, vous pouvez désormais accéder à un chatbot interactif pour :

• Trouver rapidement des réponses à vos questions sur les fonctionnalités d’Auditool.
• Obtenir des articles explicatifs ou des guides pas-à-pas.
• Lancer une recherche dans notre base de connaissances sans quitter l’application.
• Gagner en autonomie dans vos actions du quotidien.

Améliorations générales : des petits plus qui font la différence

De nombreuses optimisations ont été intégrées pour rendre votre expérience sur Auditool toujours plus fluide, stable et intuitive. Ces évolutions s’inscrivent dans notre démarche continue d’amélioration, en réponse à vos retours d’usage :

• Suivi rapide du statut des utilisateurs :
  • Pour vous offrir une vision plus claire de la gestion des accès, une nouvelle icône d’information a été ajoutée dans la page de gestion des utilisateurs. Elle vous permet de visualiser en un clic le nombre d’utilisateurs actifs, désactivés et supprimés.

• Suggestion automatique de tags déjà utilisés sur d’autres objets similaires (ex : exigences, audités).
• Modification de l’audité lors d’une duplication :
  • Pour faciliter la réutilisation de vos audits, il est désormais possible de modifier l’audité au moment de la duplication. Cela vous permet de gagner du temps en adaptant rapidement un audit existant à un nouveau périmètre ou interlocuteur.

• Modification de la structure d’audit pendant la planification :
  • Tant que votre audit est en statut Planifié, vous pouvez désormais changer librement sa structure d’audit. Cela vous offre plus de flexibilité pour adapter votre audit avant son lancement.
• Réorganisation facile des indicateurs dans une échelle : 
  • Vous pouvez désormais réorganiser les indicateurs au sein d’une échelle simplement en les glissant-déposant dans l’ordre souhaité. Un gain de temps pour structurer vos grilles de notation selon vos besoins.

• Nouvelles colonnes dans la gestion des audits : dates (relecture, plan d’action…), nombre de relectures.
• La protection de données a été renforcée.

L’approche que nous défendons chez June Factory se distingue par un double positionnement : répondre aux exigences de conformité tout en apportant une réelle valeur pédagogique et opérationnelle. En croisant les obligations réglementaires (RGPD, NIS2, ISO 27001…) avec l’analyse fine des compétences métiers, nous plaçons la sensibilisation au service de la maturité cyber de l’organisation — et non comme une contrainte administrative.

Dans cet article, nous vous proposons une approche concrète : comment structurer un parcours de sensibilisation qui a du sens, qui s’adapte aux différents publics internes, et qui s’inscrit dans une logique d’amélioration continue.

Objectif : faire de la sensibilisation un outil stratégique et différenciant, à la croisée de la conformité, des usages réels et du développement des compétences.

Identifier les besoins : entre analyse des risques et détection de non-conformité

Avant même de concevoir un parcours de sensibilisation, la première étape consiste à comprendre pourquoi et où intervenir. Il ne s’agit pas de former tout le monde, partout, tout le temps, mais de concentrer les efforts là où ils auront un réel impact. Cette phase d’analyse permet d’éviter les approches génériques, souvent inefficaces, et de construire des parcours ciblés et mesurables.

La première dimension à prendre en compte est l’analyse des risques métier. Certains services manipulent des données sensibles, d’autres sont davantage exposés à des tentatives de fraude ou à des accès techniques critiques. Identifier ces zones de vulnérabilité est essentiel pour prioriser les efforts. Le service RH, par exemple, est souvent en première ligne sur les attaques de phishing liées au social engineering, tandis que les équipes financières peuvent être visées par des tentatives de fraude au président. L’IT, de son côté, porte des responsabilités liées à la configuration, à la gestion des accès ou aux mises à jour logicielles.

Mais au-delà de cette approche par exposition, il est tout aussi stratégique de repérer les signaux faibles de non-conformité comportementale. Une erreur récurrente dans les tests de phishing, des pratiques contraires à la politique de sécurité ou des incidents passés liés à une mauvaise manipulation peuvent tous servir de déclencheurs. Ces indicateurs de terrain révèlent des écarts de compétences ou de vigilance, parfois invisibles dans les audits traditionnels.

Détecter ces écarts ne doit pas être perçu comme une sanction, mais comme un levier de personnalisation. En d’autres termes, la non-conformité devient un signal d’alerte, qui alimente un cycle vertueux : observation → ciblage → sensibilisation → réévaluation. Cela permet de ne pas sensibiliser à l’aveugle, mais de s’appuyer sur des données concrètes, issues du réel.

Un parcours de sensibilisation pertinent naît donc de cette double lecture : une cartographie des risques liés aux métiers, et une lecture dynamique des comportements observés. C’est ce croisement qui permet d’initier un dispositif réellement adapté, évolutif, et aligné sur les priorités de sécurité de l’entreprise.

Adapter les parcours selon les profils et le niveau de maturité

Une stratégie de sensibilisation efficace repose sur sa capacité à tenir compte des spécificités humaines et organisationnelles. Tous les collaborateurs ne partent pas du même niveau, ni ne sont exposés aux mêmes menaces. Adapter les parcours en fonction des profils et de leur maturité permet de construire un dispositif à la fois ciblé, cohérent et progressif.

Prenons d’abord le cas des profils dits métiers, comme les services RH, finance ou achats. Ces fonctions sont en contact quotidien avec des données personnelles, des flux financiers ou des fournisseurs. Elles représentent des cibles récurrentes pour les attaques de phishing, les tentatives de fraude ou les fuites de données involontaires. Le parcours de sensibilisation doit ici viser l’acquisition de réflexes simples, mais critiques, sur la vigilance, la gestion documentaire, et les communications externes. Par exemple, une équipe RH pourra suivre un plan échelonné sur 12 mois, alternant capsules e-learning, quiz de rappel, simulations de phishing ciblées et ateliers pratiques. L’objectif : ancrer des comportements durables sans alourdir leur quotidien.

À l’autre extrémité du spectre, les profils dirigeants et membres du COMEX requièrent une approche très différente. Peu disponibles mais exposés à des risques systémiques (fraude au président, compromission de boîte mail, attaques ciblées), ils doivent être formés aux impacts business et réputationnels des incidents cyber. Ici, le format compte autant que le fond : interventions express d’experts, simulations de crise, capsules vidéo orientées gouvernance. L’idée est de créer une prise de conscience rapide et stratégique, avec une évaluation finale sous forme de rapport de maturité individuel.

Enfin, les profils techniques (administrateurs, développeurs, support) exigent une approche encore plus opérationnelle. Ils sont en première ligne sur la sécurisation des systèmes, la gestion des droits, la configuration réseau. La sensibilisation prend alors la forme de cas pratiques, d’ateliers entre pairs, d’analyse d’incidents réels. Le format est plus technique, souvent interactif, et fait appel à la logique de co-construction. Leur parcours peut inclure des tests de compétences, des contributions à la documentation interne, ou des retours d’expérience sur des événements internes.

Quelle que soit la cible, l’enjeu reste le même : donner du sens à la démarche, contextualiser les risques et permettre une montée en compétence adaptée au quotidien des collaborateurs. Ce travail de segmentation n’est pas un luxe, mais une condition d’efficacité.

Évaluer, ajuster et progresser en continu

Un parcours de sensibilisation n’a de valeur que s’il est suivi, mesuré et constamment ajusté. Trop souvent, la sensibilisation se limite à un geste ponctuel : une formation, un quiz, une campagne de phishing simulée. C’est un début, mais l’efficacité réelle se joue dans la capacité à évaluer ce qui fonctionne, à comprendre les points de blocage, et à faire évoluer les actions au fil du temps.

La première étape consiste à mettre en place une évaluation systématique des actions de sensibilisation. Cela peut prendre la forme de quiz post-formation, d’analyses de clics sur les simulations de phishing, ou d’autoévaluations de compétences perçues. L’important n’est pas tant le score obtenu que la capacité à dégager des tendances. Des résultats faibles ou très dispersés peuvent signaler un défaut de clarté dans les messages, ou un format inadapté à la cible.

Pour avoir une vision plus globale, il est utile de modéliser la maturité cybersécurité des équipes à l’aide d’un radar de compétences. Ce type de représentation permet de suivre l’évolution des connaissances et des pratiques dans le temps, par métier ou par service. On ne cherche pas ici une performance individuelle, mais une cartographie dynamique de la progression collective. Cela facilite le dialogue avec les managers, alimente les tableaux de bord RSSI, et renforce la capacité à prioriser les prochaines actions.

Mais au-delà des indicateurs chiffrés, le retour du terrain est un levier souvent sous-exploité. Les outils comme Auditool permettent de recueillir de façon structurée les pratiques réelles, les écarts observés, les besoins exprimés. Un service qui contourne une procédure, un outil mal utilisé, un réflexe absent… autant de signaux faibles à capter. Ce recueil qualitatif vient compléter les données issues des campagnes de sensibilisation. Il permet de relier l’intention (ce qui a été transmis) au comportement réel (ce qui est appliqué).

C’est cette boucle complète — évaluer, analyser, ajuster — qui garantit la pertinence du parcours dans la durée. Une bonne sensibilisation n’est pas figée : elle s’affine, se réinvente, s’aligne au plus près de la réalité opérationnelle de l’entreprise. En intégrant la mesure comme boussole, on dépasse le cadre réglementaire pour entrer dans une logique d’amélioration continue, au service de la résilience collective.

Conclusion

Sensibiliser efficacement à la cybersécurité, ce n’est pas cocher une case réglementaire ou diffuser un rappel annuel. C’est construire un processus vivant, ancré dans le quotidien, capable d’évoluer en fonction des risques, des comportements et des retours terrain. Cela implique d’identifier les bons leviers, d’adapter les formats aux profils, de suivre les résultats dans la durée et d’intégrer une logique de boucle continue.

Un parcours pertinent commence par une bonne lecture des besoins : analyse des risques, détection des écarts, priorisation des actions. Il se décline ensuite selon les cibles, en s’appuyant sur des formats pédagogiques adaptés, sur une fréquence bien pensée et sur des supports clairs. Enfin, il se mesure, se réévalue, se remet en question. Et c’est cette exigence qui en garantit la pertinence.

À l’heure où les menaces évoluent vite, la vraie résilience ne se joue plus uniquement dans les firewalls et les systèmes d’authentification. Elle se construit aussi — et surtout — dans la conscience collective et la maturité cyber des collaborateurs.
Et c’est précisément ce que permet un parcours de sensibilisation bien pensé.

Jusqu’à aujourd’hui, l’attribution de parcours différenciés à des groupes d’utilisateurs nécessitait de réaliser autant de fichiers et d’imports d’utilisateurs que de « profils » utilisateurs.
Notre objectif étant de répondre au mieux à vos besoins en vous simplifiant la tache autant que possible, nous avons créé une nouvelle fonctionnalité permettant de rattacher automatiquement les « parcours » aux « profils » d’utilisateurs.

L’ancienne méthode a toutefois été conservée pour répondre aux besoins de chaque client. Voici une présentation comparative du process pour chacune des méthodes

1 : Créez vos profils d’utilisateurs associés au(x) parcours de votre choix.

Indiquez les différents descripteurs & valeurs qui permettent de caractériser la typologie d’utilisateurs. Il est possible de combiner plusieurs descripteurs ou valeurs de descripteurs en utilisant des expressions constituées de « ET » et de « OU ».

Attention car l’utilisation du « ET » implique qu’il faut répondre aux 2 conditions pour valider les critères. Contrairement à l’utilisation du « OU » qui induit que la correspondance à l’une ou l’autre de ces conditions suffit.

Dans notre exemple, un utilisateur ne peut pas faire partie du service RH et du service comptabilité. Il faut donc utiliser le « OU ». Si on utilisait le « ET » la traduction informatique serait « utilisateurs devant faire partie du service RH et du service comptabilité ».

2 : Créez et composez les parcours de votre choix

Dans notre exemple, il faudrait créer puis attribuer le parcours administratif au profil « Administratif » uniquement, et le parcours « commun » à tous les profils

Avantages et inconvénients de chaque méthode :

Configurez votre SSO directement sur votre plateforme

Mais face à des réglementations de plus en plus structurantes (DORA, RGPD, NIS2) et des menaces en constante évolution, cette approche n’est plus tenable. La sensibilisation ne doit plus cocher une case. Elle doit transformer des comportements, faire monter en maturité l’organisation et contribuer activement à la conformité opérationnelle.

À condition d’être bien conçue : contextualisée, progressive, pilotable.

Expertise + pédagogie : un duo indispensable

Un expert cybersécurité maîtrise les risques concrets liés aux infrastructures, aux usages et aux métiers. Mais cette expertise, seule, ne suffit pas à sensibiliser un utilisateur aux cyber menaces. Pour engager durablement les utilisateurs, cette expertise doit être traduite en contenus pédagogiques qui parlent dans le quotidien des collaborateurs.

C’est là que la pédagogie entre en jeu : elle rend les notions complexes accessibles, favorise la mémorisation par l’interaction, et surtout, elle permet d’ancrer les bons réflexes au bon moment. Cette alliance entre technicité et méthode permet d’aller au-delà de la simple information descendante pour construire un véritable changement de posture.

Sensibiliser, c’est transformer… et se conformer

Une campagne efficace part du terrain. Elle prend en compte les usages réels, les profils à risques et les spécificités métier. En adaptant les contenus et les formats à ces réalités, on passe d’une approche générique à une stratégie d’engagement ciblée et mesurable.

Mais ce travail pédagogique ne bénéficie pas qu’aux utilisateurs. Il permet aussi à l’entreprise de structurer un pilotage concret de la maturité cyber : en mesurant les acquis, en identifiant les écarts, en outillant les managers, on alimente une vision claire des compétences cyber et on documente les efforts de conformité.

La sensibilisation devient alors un actif stratégique, au service de la sécurité opérationnelle comme des obligations réglementaires.

Vers une culture cyber intégrée

Former, ce n’est pas seulement diffuser du contenu. C’est embarquer toute l’organisation dans une dynamique partagée, soutenue par la direction, portée par les métiers, structurée dans le temps.

Chez June Factory, nous pensons que la sensibilisation est une démarche d’impact. Pas un rituel, mais un outil vivant pour bâtir une culture cyber solide, visible et alignée avec les enjeux de l’entreprise.