Ce basculement vers la preuve — et non vers l’intention — oblige les RSSI à repenser en profondeur la manière de structurer, piloter et mesurer la sensibilisation. C’est tout l’enjeu d’un programme de sensibilisation cybersécurité NIS2 : relier les audits à la formation, adapter les actions aux risques réels, et produire des résultats mesurables.

La méthode June Factory permet précisément cela : transformer un texte réglementaire complexe en un système pédagogique pilotable, fondé sur l’observation des comportements et l’amélioration continue.

Diagnostic : pourquoi les parcours actuels échouent encore ?

Une formation identique pour tout le monde

Dans de nombreuses organisations, la sensibilisation repose encore sur un module unique par an. Ce format, simple à organiser, ne correspond pas aux exigences du modèle risk-based introduit par NIS2.

Chaque métier, chaque niveau d’accès, chaque responsabilité implique une exposition différente : un comptable ne rencontre pas les mêmes risques qu’un développeur, un administrateur système ou un manager responsable d’un processus critique. En appliquant une formation uniforme, on renforce un sentiment de “contrainte administrative” sans réduire le risque réel.

Les chiffres confirment ce décalage : selon le Clusif, plus de 70 % des incidents majeurs impliquent encore un comportement utilisateur inapproprié, malgré des taux de formation élevés.

Une déconnexion totale entre audit et formation

Autre limite structurelle : les évaluations de conformité et les programmes de sensibilisation fonctionnent souvent en silo. On audite d’un côté, on forme de l’autre.

Ce manque d’alignement empêche de cibler la formation sur les écarts observés. Les collaborateurs reçoivent des contenus qui ne correspondent ni à leurs risques, ni à leurs pratiques réelles. Pour le RSSI, cela crée une difficulté majeure : impossible de démontrer la réduction du risque humain puisque la formation n’est pas liée à un besoin clairement identifié.

Des indicateurs qui ne prouvent rien

Le taux de complétion reste l’indicateur central utilisé dans 80 % des organisations (source : EY Cybersecurity Insights 2025). Pourtant, NIS2 n’exige pas que les collaborateurs “terminent une formation” : elle exige qu’ils “adoptent des comportements sûrs”.

Les indicateurs attendus par les régulateurs portent sur la compréhension, la progression, la maîtrise des réflexes critiques et la diminution des écarts observés. Autrement dit : les preuves doivent montrer la réalité, pas l’intention.

Sans mesure continue ni tableau de bord cohérent, les RSSI se retrouvent avec un dispositif coûteux en énergie mais peu utile pour démontrer la conformité.

Notre approche : transformer la directive en comportements observables

La valeur de la méthode June Factory réside dans sa capacité à traduire une exigence réglementaire en un parcours d’apprentissage articulé autour des comportements réels. Là où NIS2 impose des obligations générales — réduire le risque humain, maîtriser les privilèges, améliorer la réaction aux incidents — la méthode formule ces obligations en attentes concrètes, mesurables et actionnables.

Tout commence par la transformation du texte NIS2 en un ensemble clair d’exigences internes. Ces exigences, écrites dans un langage métier, décrivent ce que l’organisation attend d’un collaborateur, d’un manager ou d’un administrateur dans des situations concrètes : savoir reconnaître une tentative de phishing, appliquer le principe du moindre privilège, ou encore déclarer un incident de manière fiable et rapide. Auditool permet de structurer ces exigences dans un référentiel opérationnel qui servira de base aux auto-évaluations et aux audits.

L’étape suivante consiste à confronter ces exigences à la réalité du terrain. Les auto-évaluations, les audits ciblés ou les simulations contextualisées révèlent où les comportements attendus ne sont pas maîtrisés. Ces constats ne sont pas une sanction : ils sont un signal précis qui indique quel apprentissage doit être déclenché, pour qui, et pourquoi.

Cette logique crée un pont entre audit et formation, absent dans la majorité des dispositifs actuels.

À partir de ces écarts observés, la remédiation devient simple et naturelle : chaque exigence se décline en compétence, chaque compétence en comportement observable, et chaque comportement correspond à un module Phosforea. Un utilisateur qui clique sous pression recevra un module sur l’ingénierie sociale ; un manager qui ne maîtrise pas le processus de déclaration recevra un module sur la gestion des incidents ; un administrateur qui ne respecte pas pleinement le PAM suivra un module dédié à la gestion des privilèges.

La formation n’est plus générique : elle corrige un écart prouvé.

Enfin, la supervision permet de mesurer si les comportements évoluent réellement. En consolidant dans Auditool les résultats des évaluations, des simulations, des audits ou des suivis de pratiques, on observe la progression dans le temps. Le RSSI dispose alors d’une preuve concrète, structurée et opposable : les réflexes s’améliorent, les écarts diminuent, le risque humain se réduit.

La boucle Définir → Évaluer → Remédier → Superviser devient un cycle d’amélioration continue qui répond pleinement aux attentes de NIS2.

Programme de sensibilisation cybersécurité NIS2 : parcours et séquençage annuel

Les parcours présentés ici ne détaillent volontairement ni les contenus, ni les modules : ces éléments seront restitués dans des infographies dédiées. L’objectif est d’expliquer la logique générale de chaque parcours et la manière dont se structure une année de sensibilisation NIS2 alignée sur les risques.

Parcours “Hygiène cyber continue”

Ce premier parcours s’adresse à l’ensemble des collaborateurs. Sa logique repose sur une montée en maturité progressive, alternant évaluations légères, apprentissages courts et moments clés plus structurants.

L’année commence par un état des lieux : une auto-évaluation simple et un module introductif permettent de poser les bases et de contextualiser les obligations de NIS2 dans le quotidien des utilisateurs. Cette mise à niveau initiale est essentielle pour comprendre où se situent les fragilités.

Le deuxième trimestre installe un rythme régulier. Le micro-learning mensuel fonctionne comme un entraînement continu qui renforce les réflexes et évite l’oubli entre deux sessions. Ce cycle court est volontairement calibré : bref, fréquent et aligné sur des comportements concrets.

Au troisième trimestre, le parcours s’intéresse aux situations de travail les plus courantes : mobilité, télétravail, échange de fichiers, gestion du poste de travail. Cette phase permet d’intégrer la dimension pratique du risque, celle que les collaborateurs rencontrent au quotidien.

Enfin, le quatrième trimestre joue un rôle de consolidation. Une simulation plus avancée et une auto-évaluation finale permettent de mesurer l’évolution des comportements sur l’année. Les résultats sont consolidés automatiquement dans Auditool pour produire un reporting clair et exploitable dans le cadre de NIS2.

Ce parcours offre un rythme souple, adapté aux populations généralistes, et met l’accent sur l’ancrage des réflexes essentiels.

Parcours “Populations critiques”

Le deuxième modèle s’adresse aux administrateurs, à l’IT et aux métiers disposant d’accès sensibles. Ces populations sont directement concernées par les obligations renforcées de NIS2 et nécessitent un parcours plus technique et plus exigeant.

L’année débute par un travail de clarification. Le premier trimestre se concentre sur les responsabilités associées à la gestion des privilèges et des secrets, ainsi que sur la compréhension fine de la chaîne d’attaque. Cette phase est essentielle : un administrateur mal formé constitue l’un des points de vulnérabilité les plus critiques.

Le deuxième trimestre est orienté vers les environnements exposés. On y aborde la sécurisation des accès distants, les exigences autour du MFA ou encore la reconnaissance des signes d’une tentative d’intrusion ciblée. L’objectif est de réduire drastiquement les comportements à fort impact.

Au troisième trimestre, la logique se déplace vers la résilience et la continuité. Les équipes apprennent à restaurer un environnement minimal, à gérer les sauvegardes ou à détecter un Shadow IT risqué. Cette phase répond directement aux ambitions de NIS2 en matière de continuité d’activité.

Le dernier trimestre permet de démontrer la maturité des équipes critiques. À travers une simulation avancée et un audit technique ciblé, l’organisation mesure sa capacité à réagir, à appliquer les règles et à adopter des réflexes sûrs. Auditool consolide ces résultats pour produire une preuve solide du niveau de conformité.

Ce modèle met l’accent sur la maîtrise des comportements à fort impact, l’accélération de la réaction et la réduction des risques les plus critiques.

Clés de réussite

Un parcours NIS2 réussi repose d’abord sur une bonne compréhension du risque. Les organisations qui construisent leurs programmes à partir d’un référentiel fondé sur les exigences internes — plutôt que sur un catalogue de modules — réduisent plus rapidement les incidents humains (PwC Digital Trust Insights 2025).

La segmentation est tout aussi essentielle : les populations générales et critiques ne partagent ni les mêmes risques ni les mêmes responsabilités. Un modèle unique pour tous ne peut fonctionner.

Le lien entre audit et formation est l’un des leviers les plus puissants. Lorsqu’un module répond à un écart observé, la formation cesse d’être perçue comme une obligation ; elle devient une mesure corrective légitime.

Le micro-learning permet ensuite de maintenir l’attention dans la durée et d’ancrer les réflexes. Les cycles courts favorisent la répétition, indispensable à la mémorisation.

Enfin, la capacité à démontrer la progression dans Auditool est le pilier de la crédibilité : le RSSI doit être en mesure d’exposer des preuves claires et mesurables de la réduction du risque humain.

Conclusion 

Un parcours de sensibilisation cybersécurité NIS2 efficace ne consiste pas à “faire de la formation”, mais à prouver que les comportements évoluent.

En reliant la directive à un ensemble d’exigences internes, en observant les écarts et en attribuant les modules qui y répondent, les organisations transforment la sensibilisation en un véritable levier de réduction du risque humain. Les RSSI peuvent enfin produire un reporting crédible, fondé sur des preuves et aligné sur les attentes de la directive.

La directive NIS2 marque un tournant majeur : elle ne se contente plus d’astreindre quelques bonnes pratiques en cybersécurité, elle exige désormais une véritable culture du risque, une implication forte des dirigeants et une capacité démontrable à protéger l’activité, les données et les chaînes de fournisseurs. 

Concrètement, être conforme à la réglementation NIS2 ne signifie pas seulement « renforcer la sécurité IT ». C’est un ensemble structuré d’obligations techniques, organisationnelles et réglementaires. Les entreprises concernées doivent être capables de prouver, à tout moment, qu’elles disposent des politiques adaptées, qu’elles ont évalué leurs risques, qu’elles gèrent leurs fournisseurs critiques, et qu’elles savent détecter puis signaler un incident dans les délais imposés. 

Parmi les critères essentiels, NIS2 impose par exemple : 

• Une gouvernance claire, où les dirigeants sont formés et responsables ; 
• Une analyse de risques documentée et actualisée ; 
• Le socle technique obligatoire (contrôles d’accès, journalisation, segmentation, supervision…) ; 
• Une gestion rigoureuse de la chaîne d’approvisionnement ; 
• Des processus de gestion de crise capables de tenir face à une cyberattaque. 

Pour les auditeurs et les responsables SI, ces obligations peuvent vite devenir un véritable casse-tête : plusieurs dizaines de points à vérifier, des niveaux d’exigence différents selon la criticité de l’entité, et une documentation qui doit être à la fois précise, traçable et alignée sur les attentes des autorités nationales. 

Mini-checklist NIS2 d’éligibilité : quelques points clés à vérifier

Voici quelques-uns des critères fondamentaux que tout acteur concerné doit pouvoir évaluer : 

• Les dirigeants ont-ils été formés et impliqués dans la politique de cyber ? 
• L’entreprise dispose-t-elle d’une analyse de risques récente et exploitée ? 
• Les accès sensibles sont-ils protégés (MFA, gestion des habilitations, logs) ? 
• Les sauvegardes sont-elles testées régulièrement ? 
• Un processus clair de notification d’incident existe-t-il (24h / 72h / un mois) ? 
• Les fournisseurs critiques sont-ils évalués et contractualisés avec des exigences cyber ? 

Ce pré-diagnostic illustre déjà l’un des enjeux majeurs : NIS2 ne se résume pas à « cocher des cases ». Il nécessite une vision globale, une cohérence entre gouvernance, technique et documentation… et un outil capable d’absorber cette complexité. 

Création du référentiel pertinent : notre méthodologie 

Auditool notre outil dédié à l’analyse et au contrôle de conformité, permet de centraliser les preuves, d’éviter les pertes d’information, de suivre l’avancement et d’aligner les audits sur un socle commun, clair et stable.  

À partir de la directive brute, nous avons construit un référentiel structuré, exploitable et adapté aux besoins des acteurs terrain. 

Notre démarche repose sur trois principes : 

• Regrouper les obligations en grands thèmes compréhensibles 

Nous avons rassemblé l’ensemble des exigences NIS2 autour de treize grandes thématiques cohérentes, que vous pouvez retrouver dans Auditool. Cette méthode permet de rendre la lecture plus intuitive et l’analyse plus fluide. 

• Définir des points de contrôle concrets 

Chaque exigence a été traduite en éléments vérifiables, actionnables et adaptés à l’audit terrain. L’objectif est de faciliter la mise en conformité et éliminer les zones grises. 

• S’appuyer sur un outil structuré pour ne rien oublier 

Auditool permet de centraliser les preuves, d’éviter les pertes d’information, de suivre l’avancement et d’aligner les audits sur un socle commun, clair et stable. 

Les cinq premières thématiques Auditool et les points de contrôle dégagés 

Nous avons structuré un référentiel prêt à l’emploi autour la directive NIS2 en un ensemble complet de plus de douze thématiques. Pour illustrer notre approche et donner un aperçu concret de ce travail, nous présentons ici cinq de ces blocs de contrôle. Ils regroupent les exigences les plus larges et servent de base pour évaluer la maturité cyber d’une organisation. 

1 – Politique relative à la sécurité des réseaux et des systèmes d’information 

Cette thématique porte sur la gouvernance globale de la cybersécurité et la capacité de l’entreprise à définir un cadre clair, partagé et appliqué. 

Elle comprend : 

• Une politique SSI formalisée et validée par la direction, régulièrement révisée et diffusée à toutes les parties prenantes. 
• La définition des rôles et des responsabilités, incluant les pouvoirs de décision, d’arbitrage et de validation : direction, RSSI, équipes opérationnelles… 
• La cohérence entre les règles définies et leur application réelle, notamment via la gestion des accès, la mise en place de contrôles, et la compétence des équipes à faire respecter les mesures. 

En bref : c’est la base qui garantit que la sécurité n’est pas seulement technique, mais pilotée, gouvernée et intégrée dans l’organisation. 

2 – Politique de gestion des risques 

L’objectif est de démontrer que l’entreprise connaît ses risques, sait les analyser, les prioriser et suivre leur traitement. 

Les points clés incluent : 

• Un cadre de gestion des risques défini et applicable : méthode d’analyse, périodicité, périmètre, outils utilisés. 
• Une analyse de risques à jour, couvrant les actifs critiques, les scénarios d’attaque et les impacts métiers. 
• Des mécanismes internes de contrôle permettant de vérifier que les mesures de sécurité prévues sont effectivement mises en œuvre. 
• Un réexamen indépendant, réalisé via audits internes ou externes, assurant un regard objectif sur la maturité et l’exposition réelle aux risques. 

Cette thématique vérifie que la sécurité repose sur une démarche rationnelle, documentée et opposable. 

3 – Gestion des incidents 

La directive NIS2 renforce de manière significative les obligations en matière de détection, de réaction et de déclaration des incidents. 

Les éléments contrôlés couvrent : 

• Une procédure de gestion des incidents claire, définissant les rôles, les étapes d’escalade, la communication interne et externe. 
• La surveillance et la journalisation, incluant la production, la conservation et l’exploitation des logs, etc. 
• Le processus de signalement, qui doit permettre de notifier rapidement les incidents aux autorités dans les délais réglementaires (24 h, 72 h, un mois). 
• L’évaluation et la classification des événements, pour distinguer les anomalies mineures des incidents majeurs et adapter les réponses. 
• La réponse opérationnelle, c’est-à-dire l’efficacité des actions de remédiation, la coordination et la documentation. 
• Les retours d’expérience post-incident, indispensables pour corriger les vulnérabilités et améliorer le dispositif. 

L’enjeu : prouver que l’entreprise peut identifier et gérer un incident de bout en bout. 

4 – Continuité des activités et gestion des crises 

Ici, il s’agit de démontrer que l’entreprise peut assurer la continuité de ses activités en cas d’incident majeur. 

Les contrôles portent sur : 

• Le plan de continuité d’activité (PCA) et le plan de reprise (PRA) : existence, formalisation, scénarios couverts, mise à jour et pertinence pour les enjeux métiers. 
• La gestion des sauvegardes : fréquence, protection, restauration, tests systématiques et documentation des résultats. 
• Les ressources redondantes, permettant de maintenir les services essentiels en cas de panne ou de compromission. 
• La gestion des crises, avec une cellule identifiée, des rôles définis, des exercices réguliers et des procédures de communication structurées. 

Cette thématique vérifie la résilience réelle de l’organisation face à une cyberattaque. 

5 – Sécurité de la chaîne d’approvisionnement 

La NIS2 impose une surveillance renforcée des fournisseurs, considérés comme une extension du périmètre de sécurité. 

Les contrôles incluent : 

• L’existence d’une politique dédiée, définissant les exigences de cybersécurité attendues des prestataires et intégrées dans les contrats. 
• Une cartographie complète des fournisseurs, identifiant ceux critiques pour l’activité ou pour les données sensibles. 
• L’évaluation du niveau de sécurité des tiers, via questionnaires, audits, certifications, preuves ou engagements contractuels. 
• Un suivi régulier des risques liés aux prestataires, permettant d’intégrer les évolutions de leur posture ou des incidents qui les touchent. 
• L’objectif est de garantir que les partenaires de l’entreprise ne deviennent pas un point d’entrée vulnérable. 

Pourquoi structurer un référentiel aide réellement ? 

Avec la diversité des exigences, travailler sans cadre clair rend la conformité difficile, risque d’oubli, doublons, preuves dispersées, etc. Un référentiel organisé permet simplement de mieux suivre les obligations, de gagner du temps lors des audits et d’avoir une vision plus précise de ce qu’il reste à traiter. 

Il offre aussi une continuité d’un audit à l’autre et permet d’éviter que la compréhension de NIS2 dépende uniquement des individus impliqués. 

Pour aller plus loin 

La mise en conformité NIS2 ne repose pas seulement sur des processus et de la documentation, elle exige aussi que les équipes comprennent les enjeux et adoptent les bons réflexes au quotidien. Pour accompagner cette montée en compétence, notre plateforme Phosforea propose des modules de formation dédiés à la cybersécurité et aux obligations NIS2. C’est un moyen efficace d’ancrer durablement les bonnes pratiques et de renforcer la résilience de l’organisation. 

NIS2, rappel : qu’est-ce que c’est – comment ça marche ? 

Adoptée au niveau européen, la directive NIS2 (Network and Information Security 2) vise à renforcer la cybersécurité et la résilience des organisations publiques et privées. Elle succède à la première directive NIS en élargissant son périmètre, en renforçant les exigences et en introduisant des sanctions plus strictes. 

Ses principaux objectifs : 

• Renforcer la préparation des États membres face aux cybermenaces grâce à la création d’équipes d’intervention en cas d’incident de sécurité informatique (Computer Security Incident Response Team ou CSIRT) et d’autorités nationales dédiées à la cybersécurité. 
• Favoriser la coopération européenne via un groupe de coordination chargé de partager les informations et de soutenir les États membres en matière de cybersécurité. 
• Développer une culture de la sécurité numérique dans les secteurs critiques dépendant des technologies de l’information et de la communication. 

La directive devait être transposée dans le droit national au plus tard le 18 octobre 2024. En France, le projet de loi relatif à la résilience des infrastructures critiques et au renforcement de la cybersécurité a été adopté au Sénat le 12 mars 2025. Celle-ci assure la transposition de NIS2, de la directive REC et de la directive accompagnant DORA. 

La montée en charge de NIS2 s’étendra jusqu’en 2027, selon le plan établi par l’ANSSI. Les notifications d’incidents sont déjà obligatoires, tandis que les autres mesures feront l’objet d’une mise en conformité progressive, afin de laisser aux organisations le temps d’adapter leurs processus et leur gouvernance selon leurs complexités.

Qui est concernépar NIS2 ?

La directive s’applique à 18 secteurs d’activité, regroupés en deux grandes catégories : 

• Les entités essentielles (EE) 
• Les entités importantes (EI) 

Pour être concernée, une organisation doit : 

• Employer 50 personnes ou plus, ou bien ; 
• Réaliser un chiffre d’affaires annuel supérieur à 10 millions d’euros, sauf exceptions pour certains acteurs critiques comme les télécoms, les administrations ou les opérateurs DNS. 

Les entités essentielles (EE) : 

Ces entités fournissent des services indispensables à la société et à l’économie. Elles sont soumises à des exigences de sécurité et de supervision plus strictes, et figurent parmi les premières à devoir se mettre en conformité. 

Secteurs concernés : 

•  Énergie : production, distribution, pétrole, gaz… 
• Transports : aérien, ferroviaire, maritime, routier, transports publics. 
• Banque et finance : banques, bourses, infrastructures de paiement. 
• Santé : hôpitaux, cliniques, laboratoires, e-santé. 
• Eau potable et assainissement : production et distribution. 
• Infrastructures numériques : opérateurs télécom, data centers, cloud.
• dministrations publiques : ministères, agences, services publics. 
• Espace : satellites, lanceurs, centres de contrôle. 

Les entités importantes (EI) : 

Les entités importantes ne sont pas des organisations critiques au sens strict, mais leur activité reste essentielle au bon fonctionnement de l’économie. 

Secteurs concernés pas NIS2 : 

• Services numériques : plateformes en ligne, e-commerce, hébergeurs, réseaux sociaux. 
• Poste et messagerie : logistique, livraison de colis. 
• Recherche et développement : notamment en cybersécurité et innovation technologique. 
• Industries manufacturières critiques : agroalimentaire, chimie, pharmacie, etc. 
• Gestion des déchets : collecte, traitement, élimination. 

Les cas particuliers 

Certaines organisations sont soumises à NIS2 quelle que soit leur taille, notamment : 

• Les fournisseurs de réseaux ou de services de communications électroniques publics. 
• Les prestataires de services de confiance. 
• Les registres de noms de domaine et services DNS. 
• Certaines administrations publiques stratégiques. 

De plus, la directive s’applique même aux entreprises situées non européennes si elles fournissent des services au sein de l’Union européenne. 

Les obligations principales de NIS2

Les entités concernées doivent : 

• Mettre en place une politique de gestion des risques couvrant l’ensemble des systèmes et des réseaux d’information. 
• Définir des procédures de détection, de signalement et de traitement des incidents de cybersécurité. 
• Garantir la continuité d’activité et disposer d’un plan de gestion de crise régulièrement actualisé. 
• Sécuriser la chaîne d’approvisionnement et les relations avec les prestataires critiques. 
• Intégrer la cybersécurité dès la conception, le développement et la maintenance des systèmes informatiques. 
• Mettre en œuvre un dispositif de traitement et de divulgation encadrée des vulnérabilités. 
• Évaluer régulièrement l’efficacité des mesures de sécurité et des politiques de gestion des risques. 
• Renforcer la formation et la sensibilisation cybersécurité de l’ensemble du personnel, y compris la direction. 
• Encadrer l’usage de la cryptographie et du chiffrement pour protéger les données sensibles. 
• Contrôler strictement les accès aux systèmes et gérer les actifs liés aux utilisateurs. 
• Déployer des solutions d’authentification renforcée (multifacteurs ou continue). 
• Respecter les obligations de notification d’incidents : alerte précoce sous 24 h et rapport complet sous 72 h.

Comment vous préparer ?

 Déterminer si votre organisation est concernée. 
Commencez par identifier si votre secteur et votre taille vous placent dans le champ d’application de la directive. Évaluez ensuite vos risques et votre niveau d’exposition pour construire un plan d’action adapté.

Réaliser un audit ou diagnostic de conformité NIS2. 
Cet audit permet d’évaluer votre niveau de maturité et de repérer les écarts entre vos pratiques actuelles et les exigences de NIS2. C’est la première étape pour définir une feuille de route de mise en conformité.

Renforcer la gouvernance cybersécurité et actualiser le plan de gestion de crise.
La conformité NIS 2 repose sur une gouvernance claire et solide. Ce que cela implique concrètement : 

• Impliquer la direction générale : la cybersécurité n’est pas qu’une affaire technique et RSSI — elle doit devenir un véritable enjeu stratégique. Pour cela, la direction doit être un acteur actif des décisions, mais aussi du suivi des travaux menés.
• Former l’ensemble des équipes : dirigeants, managers et collaborateurs… Tous les acteurs, doivent être sensibilisés aux menaces et aux bonnes pratiques afin d’adopter une posture proactive face aux risques.
• Nommer un RSSI (Responsable de la Sécurité des Systèmes d’Information) : ce référent pilote la stratégie, coordonne les actions et veille à la conformité NIS2 (entre autres). 
• Créer un comité de pilotage cybersécurité : réunissant les services IT, juridique, conformité, RH et communication. Ce comité assure un suivi régulier des indicateurs et veille à la cohérence globale de la stratégie.
• Élaborer une PSSI (Politique de Sécurité des Systèmes d’Information) : ce document formalise les règles, les responsabilités et les bonnes pratiques de sécurité applicables à tous. Garantissant une approche homogène sur l’ensemble de l’organisation.
• Mesurer les progrès avec des indicateurs concrets (KPI) : taux d’incidents détectés, délais de réaction, conformité des prestataires, etc. Ces données permettent une vision claire de la maturité cyber d’une organisation, d’ajuster la stratégie et de démontrer les résultats.

Sécuriser vos relations contractuelles avec les prestataires et partenaires critiques. 
La directive NIS2 étend les exigences de sécurité à toute la chaîne de valeur. Les fournisseurs, sous-traitants et partenaires critiques doivent, eux aussi, répondre à des critères de cybersécurité. Cela passe par la mise à jour des contrats, l’ajout de clauses spécifiques NIS2 et des évaluations régulières de la conformité des prestataires. Même une PME non directement visée par la directive peut être indirectement régulée si elle travaille avec une entité concernée. 

Anticiper les contrôles de l’ANSSI ou des autorités de régulation sectorielles. 
Les entités concernées pourront faire l’objet d’audits ou d’inspections par l’ANSSI ou par les régulateurs de votre secteur. Préparez-vous en centralisant la documentation, en structurant vos preuves de conformité et en vous assurant de la traçabilité de toutes vos actions. 

Former et sensibiliser vos équipes à la cybersécurité et aux nouvelles obligations. 
La sécurité repose sur la vigilance de chacun. Mettez en place des formations de adaptées à chaque profil (direction, IT, RH, métiers) et organisez des campagnes régulières de sensibilisation : ateliers pratiques, e-learning, simulations de phishing, etc. 

Sécuriser votre chaîne d’approvisionnement.
Intégrez les exigences de NIS2 à vos processus d’achat et de sous-traitance. La directive renforce la responsabilité vis-à-vis des fournisseurs stratégiques : sécuriser sa supply chain devient désormais indispensable. 

Mettre en place un suivi et des contrôles réguliers.
La conformité à NIS2 est un processus continu. Évaluez régulièrement vos dispositifs, mesurez les écarts et ajustez vos actions pour maintenir un niveau de sécurité conforme et durable. 

Structurer et maintenir la documentation technique.
Conservez une traçabilité complète de vos mesures techniques, de vos processus de sécurité et des incidents traités. Une documentation claire et actualisée pour faciliter les audits, prouve votre conformité et permet une réaction rapide en cas de crise ou de contrôle. 

Les sanctions en cas de non-conformité

Les amendes varient selon la catégorie de criticité du secteur : 

• Jusqu’à 7 M€ ou 1,4 % du chiffre d’affaires mondial pour les entités importantes. 
• Jusqu’à 10 M€ ou 2 % du chiffre d’affaires mondial pour les entités essentielles. 

En cas de récidive, l’ANSSI peut aller jusqu’à suspendre temporairement les services concernés, retirer les dirigeants responsables ou rendre public les sanctions. 

NIS2 : une contrainte, mais surtout une opportunité

La directive NIS2 s’inscrit dans un cadre réglementaire européen plus large visant à renforcer la résilience et la cybersécurité des organisations. Elle est étroitement coordonnée avec les textes suivants : 

• La directive sur la résilience des entités critiques (REC) : elle impose des obligations destinées à garantir la continuité et la sécurité des services essentiels face aux menaces physiques. 
• Le règlement DORA (Digital Operational Resilience Act) : il fixe des exigences spécifiques en matière de cybersécurité pour les acteurs du secteur financier. Les entités concernées pourront notamment participer aux travaux du groupe de coopération NI Set échangé avec les CSIRT. 
• Le règlement « Cyber-Résilience » : il s’appuie sur les définitions « d’incident » et de « vulnérabilité » issues de la directive NIS2, et identifie certains produits comme critiques selon leur usage par les entités essentielles. 

La directive NIS2 est plus qu’une obligation réglementaire : elle représente une opportunité d’élever la maturité cyber de votre organisation.  

Les entreprises proactives renforceront : 

• Leur résilience face aux cybermenaces, 
• Leur crédibilité auprès de leurs partenaires et clients, 
• Leur avantage compétitif à long terme. 

En s’y préparant dès aujourd’hui, votre organisation se place en position de force pour les prochaines réglementations européennes (DORA, CER, Cyber Resilience Act). 

Sources :

• https://cyber.gouv.fr/la-directive-nis-2
• https://monespacenis2.cyber.gouv.fr/directive 
• https://ingroupe.com/fr/observatoire/nis-2-quel-impact-entreprises-organisations-europe/ 

Mesurer le ROI de la sensibilisation à la cybersécurité reste un angle mort de nombreuses stratégies SSI. Et pourtant, sans indicateurs tangibles, la sensibilisation reste cantonnée au registre de la communication.

La méthode June Factory propose de sortir de ce piège : en combinant Phosforea, moteur de formation comportementale, et Auditool, plateforme de pilotage du contrôle interne, les RSSI peuvent désormais relier pédagogie et réalité terrain dans une même boucle de conformité.

Le paradoxe du ROI en sensibilisation : entre intuition et crédibilité

Les RSSI savent que la sensibilisation fonctionne — mais ils peinent à le prouver.
Selon le CESIN 2024, seuls 27 % des RSSI déclarent disposer d’indicateurs formalisés pour mesurer l’efficacité de leurs programmes de sensibilisation.

En pratique, les organisations se contentent souvent de suivre des données superficielles : taux de participation, satisfaction ou score moyen aux quiz. Ces chiffres montrent une activité, pas un changement de comportement.

“On me demande combien d’incidents on évite grâce à nos formations… Je n’ai pas de métrique crédible à présenter.” — RSSI d’un groupe de services, témoignage CLUSIF 2024

Or, sans mesure fiable, la sensibilisation reste perçue comme un poste de dépense non prioritaire.
Le ROI devient donc une question de crédibilité stratégique : comment transformer une démarche perçue comme “soft” en un levier mesurable de réduction du risque ?

La réponse : relier la pédagogie à la preuve terrain.

Pourquoi la mesure du ROI de la sensibilisation est un levier stratégique

1. Justifier et pérenniser les budgets

Dans un contexte de rationalisation des dépenses, le COMEX attend du concret. Les RSSI capables de démontrer une corrélation entre investissement formation et baisse du risque sécurisent leurs budgets sur le long terme.

Selon le rapport Proofpoint – Voice of the CISO 2025, les entreprises mesurant les comportements post-formation observent 30 % d’incidents internes en moins.

Le ROI ne se limite donc pas à la réduction d’incidents : il s’exprime aussi en temps gagné sur les remédiations, en baisse du turnover lié aux crises, et en confiance accrue des métiers.

2. Orienter les efforts pédagogiques

La mesure du ROI permet d’identifier les zones de fragilité persistantes : clics sur phishing, partage de données sensibles, gestion des accès distants. Plutôt que d’imposer des parcours génériques, le RSSI peut ajuster les formations pour cibler les véritables risques comportementaux.

3. Aligner communication et gouvernance

Mesurer, c’est aussi parler le langage du COMEX. Transformer des scores de quiz en indicateurs de performance, c’est donner à la sécurité une place dans la gouvernance d’entreprise. La sensibilisation n’est plus “l’affaire du RSSI”, mais un indicateur collectif de maturité organisationnelle.

Comment structurer la mesure du ROI avec la méthode June Factory

La méthode June Factory repose sur quatre étapes : Définir → Évaluer → Remédier → Superviser.
Appliquée à la sensibilisation, elle permet de passer du discours à la preuve.

1 : Définir les objectifs comportementaux 

Avant de lancer une campagne, encore faut-il savoir ce que l’on veut changer. “Former 100 % du personnel” n’est pas un objectif ; “réduire de 40 % les transferts de fichiers non sécurisés” en est un.
Phosforea aide à modéliser ces objectifs comportementaux : chaque parcours est associé à une fonction, un risque et une exigence réglementaire (NIS2, RGPD, DORA…).

Exemples d’objectifs pertinents :

• Diminuer le taux de clics sur phishing simulé.

• Renforcer la vigilance des équipes d’achat sur la sécurité fournisseur.

• Réduire le shadow IT dans les équipes techniques.

En les formulant clairement, on prépare le terrain d’une mesure de ROI crédible.

2 : Évaluer l’engagement et la progression des équipes (Évaluer)

Une fois les parcours déployés, Phosforea permet de suivre finement les taux de participation, de progression individuelle, ainsi que les scores moyens par thématique cyber.

Ces données, agrégées par métier ou service, donnent une première vision du ROI pédagogique.

Exemple : après trois mois de campagne, la Direction RH d’un groupe bancaire affiche une progression moyenne de +35 % sur les modules phishing, tandis que la Direction achat atteint un taux de réussite de 88 % sur la reconnaissance de faux sites.

Ces indicateurs ne prouvent pas encore un changement de comportement réel — mais ils révèlent une dynamique d’apprentissage.

3 : Vérifier l’ancrage opérationnel via les contrôles internes (Remédier & renforcer)

C’est ici qu’entre en jeu Auditool. Le ROI ne se mesure pas uniquement à ce que les collaborateurs savent, mais à ce qu’ils font. Phosforea sensibilise et forme. Auditool, lui, permet de structurer des contrôles permanents ou périodiques pour observer la mise en pratique sur le terrain.

Concrètement :

• Après un module sur la sécurité des mots de passe, un contrôle Auditool vérifie si les consignes sont effectivement respectées ;

• Après une formation sur la gestion des fournisseurs, un contrôle vérifie la mise à jour des clauses de sécurité dans les contrats ;

• Après une campagne sur la protection des données, un audit vérifie la conformité des partages via outils collaboratifs.

Exemple : un contrôle Auditool révèle 25 % de non-conformités sur la politique de mots de passe malgré un taux de complétion Phosforea de 95 %. Résultat : un plan d’action ciblé est déclenché — nouvelle micro-formation + contrôle un mois plus tard.

Ce mécanisme relie la formation à la vérification opérationnelle, transformant la sensibilisation en véritable levier d’amélioration continue.

4 : Superviser et valoriser les résultats (Superviser & consolider)

La dernière étape consiste à rendre la mesure lisible. Les RSSI disposent alors de deux types de données : les indicateurs d’engagement issus de Phosforea, les indicateurs de conformité issus d’Auditool.

En les croisant, on obtient une vue complète du ROI sensibilisation cybersécurité :

• Participation élevée + conformité faible → effort d’accompagnement à prévoir ;

• Participation modérée + conformité forte → bonne assimilation spontanée ;

• Progression simultanée sur les deux axes → ROI avéré.

Nous recommandons de regrouper ces données dans un “Compliance Learning Dashboard” : un tableau de bord mensuel ou trimestriel affichant : taux d’exposition, d’engagement , niveau de maîtrise , évolution temporelle.

Ces éléments deviennent des preuves tangibles à présenter en comité de direction. Le RSSI parle désormais en indicateurs, pas en ressenti.

Se projeter : à quoi ressemble un pilotage ROI de la sensibilisation ?

Imaginez un RSSI capable, chaque trimestre, de présenter au COMEX un rapport de maturité clair, comprenant un tableau de bord illustrant la progression comportementale des équipes. 

Exemple : “Nous avons investi 10 000 € dans la formation sur les risques tiers ; les écarts observés sur les contrôles fournisseurs ont chuté de 22 %.”

Dans ce scénario, la sensibilisation n’est plus une dépense, mais un actif stratégique qui réduit le risque humain, renforce la conformité et crédibilise la fonction SSI auprès de la direction. C’est cette prospective réaliste que nous cherchons à rendre concrète : un pilotage de la culture sécurité par la preuve.

Clés de réussite pour piloter le ROI de la sensibilisation

1. Fixer des objectifs comportementaux mesurables

Remplacer les objectifs quantitatifs (“former tout le monde”) par des indicateurs d’usage concret.

Exemple : “réduire les transferts de données via canaux non sécurisés de 40 % en six mois”.

2. Relier sensibilisation et contrôles internes

Chaque écart observé dans Auditool devient une opportunité d’apprentissage dans Phosforea.
Cette approche intégrée transforme les audits ou contrôles permanent de conformité en outils de progrès, pas de sanction.

3. Centraliser les données dans un tableau de bord lisible

Un Compliance Learning Dashboard simplifie le dialogue avec la direction. Trois indicateurs clés : exposition, engagement, progrès.

4. Maintenir une mesure continue

Le ROI n’est pas un bilan annuel, mais un flux. Suivre les indicateurs tous les trimestres permet de détecter les signaux faibles et d’ajuster les plans d’action.

5. Valoriser les progrès auprès du COMEX

Présenter la sensibilisation comme un levier de performance collective : services exemplaires, progrès métiers, amélioration durable des pratiques.

Conclusion :

Mesurer le ROI de la sensibilisation à la cybersécurité ne consiste pas à additionner des taux de complétion, mais à démontrer une transformation des comportements vérifiable sur le terrain.

En articulant Phosforea (formation) et Auditool (contrôle), le RSSI crée un cycle vertueux : sensibiliser, observer, corriger, prouver. La mesure devient alors un langage commun entre sécurité, conformité et direction générale.

La sensibilisation sort du registre de la communication pour entrer dans celui de la gouvernance.

Les RSSI le constatent chaque année : malgré la multiplication des modules, les réflexes de sécurité restent fragiles. Le problème ne vient pas du message, mais de la manière dont il est transmis.

Pendant longtemps, la sensibilisation s’est appuyée sur un modèle unique : l’e-learning obligatoire.
Un format souvent perçu comme contraignant : trop long, trop théorique, trop éloigné du quotidien des collaborateurs.
Résultat : les apprenants cliquent mécaniquement, passent les quiz sans y prêter attention, et oublient l’essentiel quelques jours plus tard.

Selon l’étude Proofpoint Voice of the CISO 2025, plus de 80 % des RSSI estiment que leurs collaborateurs ne se sentent pas réellement concernés par la cybersécurité.

Or, face aux nouvelles obligations réglementaires (NIS2, DORA, RGPD) et à la sophistication croissante des attaques, cette déconnexion devient critique.

Former, oui ; mais encore faut-il engager. Et pour engager, il ne suffit pas de raccourcir les modules. Il faut repenser l’expérience d’apprentissage dans son ensemble : choisir le bon format, au bon moment, pour la bonne cible.

Et si le format valait autant que le fond ? Vidéo, module e-learning, jeu, affiches, mobile… Choisir le bon vecteur de diffusion, c’est déjà poser la première brique de l’adhésion.

source : Radicati Group , Wistia, TechSmith, Think with Google

Pourquoi les formats “monolithiques” n’engagent plus

Un e-learning unique, diffusé à tous, ne répond plus aux besoins du terrain.
Le problème n’est pas seulement la durée, mais le manque de diversité et de pertinence contextuelle.
Trois freins majeurs expliquent cette perte d’efficacité.

Premier frein : la lassitude cognitive.

Un module de quarante-cinq minutes, suivi une fois par an, ne retient ni l’attention ni la mémoire.
D’après PwC Digital Trust Insights 2025 (lire le rapport), les formats courts et interactifs augmentent la rétention moyenne de 25 % et le taux d’achèvement de 40 % par rapport aux modules linéaires.
Autrement dit, moins on sollicite l’attention, plus elle est efficace.

Second frein : la déconnexion métier.

Un même contenu envoyé à un opérateur industriel, un acheteur et un responsable RH ne peut produire le même effet.
Chaque poste implique des usages numériques différents, des risques spécifiques et des leviers de motivation distincts.
Les programmes “one-size-fits-all” donnent l’illusion de couvrir le risque humain ; en réalité, ils le diluent.

Troisième frein : l’absence de feedback.

Dans beaucoup d’organisations, on mesure le taux de complétion, pas la progression réelle.
Sans retour individualisé ni indicateur concret de changement de comportement, la sensibilisation devient un exercice administratif plutôt qu’un levier d’amélioration.

Les RSSI se retrouvent ainsi face à un paradoxe : tout le monde “a suivi la formation”, mais les comportements à risque persistent.

Vers un mix de formats plus vivants et mieux intégrés

Pour surmonter cette inertie, les entreprises les plus avancées abandonnent la logique du format unique pour construire un écosystème de formats complémentaires.
Ce n’est pas un catalogue, mais une architecture d’apprentissage : des formats courts pour créer le déclic, des formats longs pour approfondir, des formats interactifs pour expérimenter, et des supports visuels pour ancrer les bons gestes.

Les formats courts :  première porte d’entrée.

Une capsule vidéo de deux minutes, un quiz intégré dans Teams, une courte animation diffusée par e-mail : autant de stimuli rapides qui permettent de maintenir la vigilance au quotidien.
Leur force réside dans leur légèreté : faciles à consommer, ils s’insèrent naturellement dans le flux de travail sans interrompre la productivité.

Les formats longs, plus qu’utile.

Un atelier de soixante minutes en présentiel ou une session virtuelle de groupe permet d’approfondir les réflexes, de discuter des incidents réels vécus par les équipes et de relier les politiques de sécurité à la réalité métier.
Ces moments d’échange donnent du sens : ils transforment une obligation en expérience collective.

Les formats interactifs gagnent du terrain.

Les simulations de phishing, les “table-top exercises” ou les “wargames” mettent les participants en situation de crise : ils doivent décider vite, coopérer et assumer les conséquences de leurs choix.
L’impact émotionnel renforce la mémorisation : on retient mieux ce qu’on a vécu que ce qu’on a lu.

Les supports d’ancrage

One-pagers, fiches réflexes, checklists par métier assurent la continuité entre les campagnes.
Ils condensent les messages essentiels en quelques phrases claires : un aide-mémoire utile plutôt qu’un rappel formel.

Le format type serious game 

Enfin, la gamification peut être un puissant moteur de participation, à condition d’être bien dosée.
Des challenges collectifs, des classements d’équipes ou des badges thématiques créent une saine émulation, sans infantiliser les participants. L’objectif n’est pas de transformer la cybersécurité en jeu, mais d’en faire un sujet partagé.

EY 2025 observe que les organisations combinant au moins trois formats complémentaires (cours, expérientiel, ancrage) augmentent en moyenne leur taux d’engagement de 35 %.

Adapter le format au public, à l’objectif et au moment

Un programme de sensibilisation efficace repose sur la capacité du RSSI à adapter le format à l’audience et au moment du cycle. Chaque format a une intention : déclencher un déclic, renforcer une compétence, ancrer une habitude, ou mesurer un progrès.

Des micro-quiz ou des fiches réflexes intégrées dans leurs outils métiers s’avèrent plus efficaces qu’un long e-learning.

À l’inverse, les managers ont besoin de comprendre comment traduire les bonnes pratiques en rituels d’équipe : un atelier participatif ou un cas pratique leur sera plus utile.

Les fonctions sensibles (finance, achats, RH) nécessitent un niveau de maîtrise supérieur : simulations ou modules spécialisés leur permettent de traiter des scénarios réalistes.

Quant au COMEX, il doit vivre la cybersécurité comme une responsabilité stratégique : une session de storytelling ou une simulation de crise à fort impact crée ce déclic.

L’important est de penser en séquence, et non en stock. Un micro-quiz sans suivi n’aura qu’un effet ponctuel ; une campagne qui alterne capsule, atelier et synthèse aura un effet durable.

De même, la mesure ne peut plus se limiter au taux de complétion. Il faut corréler les efforts de formation avec les constats de terrain : moins d’incidents, plus de signalements, meilleure gestion des accès.

Notre approche : relier formation, observation et supervision

La méthode June Factory repose sur un principe simple : la sensibilisation n’a de valeur que si elle s’inscrit dans le cycle global de conformité et de maîtrise des risques. Elle s’articule autour de trois étapes clés : observer, former, mesurer.

Observer, d’abord.

Avec Auditool, les RSSI peuvent identifier les écarts de comportement ou de pratique : mots de passe faibles, partages de documents non maîtrisés, absence de verrouillage de poste, etc.
Ces constats, issus de contrôles périodiques ou d’auto-évaluations métiers, deviennent la base d’un plan de sensibilisation ciblé. Plutôt que de former tout le monde sur tout, on concentre l’effort sur les risques réellement observés.

Former, ensuite.

Phosforea traduit ces signaux en programmes de formation adaptés.
Les collaborateurs concernés reçoivent les contenus les plus pertinents selon leur métier et leur exposition : capsules, ateliers, one-pagers, défis ou modules approfondis. Le RSSI n’envoie plus une campagne générique, mais une formation sur mesure, connectée aux constats de terrain.

Mesurer, enfin.

Les résultats — scores, progression, baisse des écarts observés — sont consolidés dans Auditool.
Cette supervision permet d’ajuster en continu le mix de formats et de démontrer, chiffres à l’appui, l’efficacité de la démarche. Le RSSI passe ainsi d’un pilotage déclaratif (“tout le monde a été formé”) à un pilotage probant (“les comportements à risque ont diminué de 30 %”).

Cette boucle d’apprentissage continue relie la conformité, la formation et le pilotage opérationnel. Elle transforme la sensibilisation en système vivant, capable de s’adapter aux évolutions des risques comme aux retours du terrain.

L’engagement, une question de rythme et de cohérence

La réussite d’un programme de sensibilisation ne tient pas à la brillance d’un format, mais à la cohérence d’ensemble.
Les organisations qui progressent sont celles qui considèrent la sensibilisation non comme une action ponctuelle, mais comme un rythme collectif : un équilibre entre courts et longs formats, entre information et pratique, entre contenu et mesure.

Former, observer, mesurer : voilà le triptyque d’une culture sécurité vivante. Chaque format, chaque capsule, chaque atelier devient une pièce du même puzzle : celui d’une organisation capable d’apprendre de ses erreurs, de renforcer ses réflexes et de prouver sa conformité.

La cybersécurité n’est plus une série de consignes : c’est un savoir-faire collectif. Et comme tout savoir-faire, il se cultive dans la durée.

Pour aller plus loin

Vidéo, quiz, mini jeu en ligne, affiches… Phosforea réunit dans un seul kit tous les formats qui font la différence.
Pensé pour capter l’attention, ancrer les bons réflexes et s’adapter à vos enjeux, notre kit de sensibilisation vous accompagne dans la durée.

Découvrez notre kit de sensibilisation prêt à l’emploi

1. Nouvelle interface utilisateurs

2. Organisation de challenge entre apprenants

Démo interactive

Nouvelle interface

• Nouvelle interface moderne et épurée, facilitant la navigation et l’accès aux contenus.

• Expérience utilisateur optimisée : organisation claire des sections, meilleure lisibilité et parcours simplifié.

• Ajout de filtres rapides pour trouver facilement les contenus et challenges pertinents.

• Design repensé pour valoriser la progression et rendre l’utilisation plus fluide, côté apprenant comme administrateur.

Organisez des challenges

• Accès à une nouvelle section “Challenge”, permettant d’ajouter une dimension ludique aux parcours de sensibilisation et de formation.

• Les utilisateurs gagnent des points et progressent dans le classement général selon leur assiduité, rapidité et exactitude.

• Gagnez des points en lisant les contenus et en complétant les quiz associés. Suivez votre progression grâce à un classement dynamique et comparez vos résultats avec les autres apprenants.

• Les administrateurs disposent d’un espace dédié pour créer, gérer et suivre les challenges ainsi que les performances des utilisateurs.

Pour démarrer un essai gratuit pendant 7 jours : https://lms.phosforea.com

1. Section planification d’audit

2. Nouveau rôle : Audité

3. Améliorations générales : des petits plus qui font la différence

Démo interactive 

Planification d’audit

Nous enrichissons Auditool avec une nouvelle section de planification pour simplifier le pilotage de vos audits.

Grâce à l’affichage calendaire, vous visualisez instantanément vos audits, leurs phases et l’avancement de vos équipes.
L’objectif : vous offrir une vision claire et centralisée de vos activités, réduire les conflits de planning, faciliter les ajustements et assurer une meilleure coordination entre vos intervenants.

• Affichage mensuel : visualisez en un coup d’œil vos audits, leurs phases et l’avancement des équipes.

• Création et modification d’interventions directement depuis la planification.

• Ajustement rapide des dates d’audit et de phases.

• Synchronisation possible des interventions avec les agendas Outlook et GCalendar.

Nouveau rôle “audité”

Vous pouvez désormais inviter vos audités (clients, collaborateurs internes ou prestataires) à contribuer directement dans Auditool en répondant aux parties qui leur sont destinées.
Grâce au nouveau rôle Audité, vos parties prenantes accèdent en toute sécurité uniquement aux audits qui les concernent et peuvent compléter les informations demandées.
Un moyen simple, centralisé et sécurisé de gagner du temps et d’améliorer la qualité de vos évaluations.

• Attribution du rôle à des participants internes ou externes.

• Accès restreint uniquement aux audits et créneaux associés.

• Consultation et saisie des informations demandées par les auditeurs.

• Protection des données sensibles : aucune visibilité sur les autres éléments de la plateforme.

• Invitation centralisée : vos équipes peuvent inviter leurs audités pour préremplir certaines parties de l’audit.

Améliorations générales

Rôle Auditeur – lancement des audits :

• Les auditeurs peuvent désormais lancer eux-mêmes les audits auxquels ils sont assignés, sans attendre l’action préalable de l’administrateur ou du superviseur, à condition que cette option leur ait été autorisée.

Gestion des utilisateurs et authentification :

• Création automatique des comptes : si un utilisateur existe déjà dans Keycloak, son compte Auditool est généré automatiquement lors de sa première connexion (option activable).

• Optimisations d’intégration avec Keycloak pour simplifier la gestion des accès.

Au-delà des évolutions présentées, cette version embarque de multiples optimisations techniques et ergonomiques qui contribuent à rendre votre expérience encore plus fluide, stable et intuitive.

Cette nouvelle version d’Auditool a été déployée progressivement à partir du 27/10/2025.

Pour démarrer une sandbox gratuite pendant 7 jours : https://june-factory.com/logiciel-audit-conformite/

Vous le savez : la cybersécurité échoue rarement sur la technologie seule. Elle échoue parce qu’un collaborateur clique sur un lien piégé, partage un fichier sensible ou recycle son mot de passe.
Le problème, ce n’est pas de comprendre pourquoi il faut sensibiliser. Le problème, c’est de convaincre ceux qui détiennent les moyens et l’influence de vous suivre : le COMEX et les managers de proximité.

Mais attention : ce qui différencie une démarche perçue comme générique d’un programme crédible, c’est la capacité à prouver qu’il est piloté grâce aux contrôles internes — continus et périodiques — qui révèlent les écarts de comportement sur le terrain et assurent l’alignement avec les obligations réglementaires (NIS2, RGPD, ISO, DORA).

Pourquoi ce défi est critique ?

Convaincre un COMEX n’est pas un exercice de pédagogie technique. C’est un exercice de gestion du risque business.

Trois raisons clés :

Un écart de perception persistant

Les études montrent un décalage net : 66 % des RSSI jugent la menace critique, mais seulement 56 % des autres membres du COMEX partagent ce point de vue (EY 2025). Autrement dit : vos dirigeants ne perçoivent pas la même urgence.

Des budgets fragiles

45 % des dirigeants estiment déjà investir massivement, alors que 67 % des RSSI jugent leur budget insuffisant (EY 2025). L’écart de perception se traduit en euros : ce qui semble « assez » pour le COMEX est vécu comme « trop peu » par le RSSI.

Une faible implication stratégique

Seuls 21 % des RSSI sont intégrés dans la planification budgétaire de leur organisation (PwC 2025). Beaucoup découvrent les arbitrages après coup.

Les conséquences sont immédiates et visibles : des programmes de sensibilisation sont annulés ou drastiquement réduits au premier signe de crise, reléguant la cybersécurité au rang de simple case conformité à cocher. Dans ce contexte, la démarche perd toute portée stratégique et ne mobilise plus les équipes. Les managers eux-mêmes, faute de légitimité et de soutien clair de la direction, se démotivent et cessent de relayer le message. Le résultat est sans appel : l’entreprise se prive d’une protection efficace au moment où elle en a le plus besoin.

Or, un programme de sensibilisation crédible ne peut pas être déconnecté de la gouvernance. Les contrôles internes fournissent la preuve terrain indispensable : ils identifient les écarts concrets (accès, sauvegardes, séparation des tâches) et permettent de démontrer que la sensibilisation répond à des constats mesurés, et pas à un catalogue générique.

Convaincre devient donc la première brique : sans sponsor exécutif, tout programme est condamné à l’échec.

Les erreurs fréquentes à éviter

Convaincre un COMEX, c’est un exercice où beaucoup de RSSI échouent… pour de mauvaises raisons.

Parler technique

Un COMEX n’est pas sensible au langage technique. CVE, IOC ou patchs sont des notions qui rassurent les spécialistes, mais qui font décrocher vos dirigeants en quelques secondes. Ce qu’ils attendent, ce sont des impacts concrets exprimés en argent, en clients ou en conformité.

Exemple : Un RSSI raconte avoir ouvert son comité exécutif par un slide listant « IOC, CVE, zero-day et patch management ». Le COMEX a décroché en moins de 5 minutes, considérant la cybersécurité comme un sujet purement IT.

Avec l’appui des contrôles internes, il devient possible de reformuler vos constats en scénarios business clairs :

• « 12 % des équipes échouent au contrôle d’accès → risque RGPD immédiat. »

• « 18 % d’écarts sur la séparation des tâches → exposition à la fraude et non-conformité SOX. »

Arriver sans chiffres

Le COMEX prend rarement de décisions sans chiffres. Un argumentaire basé uniquement sur l’intuition ou sur la peur reste perçu comme abstrait. Sans données concrètes, même un vrai risque ressemble à une hypothèse.

Exemple : Lors d’un audit interne, une RSSI explique au COMEX que « le risque humain est élevé ». Quand on lui demande : « élevé par rapport à quoi ? », elle n’a pas de métrique à opposer. La discussion s’est arrêtée là.

Les données les plus crédibles ne viennent pas seulement d’études externes, mais de vos contrôles internes continus et périodiques :

• taux d’échec à un contrôle de gestion des accès,

• écarts répétés sur la sauvegarde des données,

• évolution du respect des règles dans le temps.

Ces métriques, adossées à des obligations réglementaires (NIS2, ISO, RGPD), transforment votre discours en preuve terrain irréfutable.

Isoler la sécurité

La sensibilisation n’est pas un projet que le RSSI peut porter seul. Si les autres parties prenantes ne sont pas visibles dans la démarche, le COMEX interprète le programme comme un sujet « technique » et non comme une priorité collective.

Exemple : Un manager sécurité présente seul son plan au COMEX. Plus tard, les RH confient qu’ils n’étaient même pas au courant du projet, alors qu’ils gèrent onboarding et communication interne. Le COMEX en a conclu que le programme n’était pas mûr.

Les contrôles internes, par définition, sont transverses (finance, RH, IT, opérations). Les utiliser comme socle de la sensibilisation, c’est montrer que l’approche concerne l’ensemble de l’organisation et pas seulement la sécurité IT.

Proposer un catalogue de formations

La sensibilisation ne peut pas reposer uniquement sur le RSSI. Lorsqu’elle est perçue comme une initiative isolée du service sécurité, elle reste marginale et peine à s’ancrer dans la culture d’entreprise.

Exemple : Un RSSI a présenté au COMEX une liste de 12 modules e-learning, chacun avec durée et coût. Verdict du PDG : « on dirait un catalogue d’éditeur, pas une stratégie ». Budget refusé.

Là encore, les contrôles internes font la différence : ils permettent de justifier pourquoi la sensibilisation doit prioriser certains thèmes plutôt que d’empiler des modules. Exemple : « Les contrôles montrent que la gestion des accès échoue dans 15 % des cas, nous ciblons donc ce thème en priorité. »

Penser “one shot”

La sensibilisation à la cybersécurité n’est pas une campagne ponctuelle, mais un effort permanent. Penser qu’une seule vague d’actions suffira revient à ignorer que les menaces et les comportements évoluent en continu.

Exemple : Une organisation lance un « mois de la cybersécurité » très visible, avec affiches, quiz et challenges. Trois mois plus tard, les comportements n’ont pas changé. Le COMEX demande : « pourquoi continuer si ça n’a pas d’effet durable ? ».

Les contrôles internes, parce qu’ils sont continus ou périodiques, créent un cycle naturel : contrôle → sensibilisation ciblée → nouvelle mesure → ajustement. C’est cette logique itérative qui ancre la cybersécurité dans la culture d’entreprise.

Les clés de réussite pour convaincre COMEX & managers

Après avoir exploré les erreurs les plus fréquentes commises par les RSSI lorsqu’ils cherchent à convaincre leur COMEX, il est essentiel de se projeter sur un cadre positif et reproductible. Car un pitch réussi n’est pas une question de chance ou de charisme : c’est une méthode qui repose sur cinq leviers précis.

Ces clés de réussite sont celles que l’on retrouve systématiquement dans les études internationales (EY, PwC, Proofpoint) mais aussi dans les retours d’expérience de RSSI qui ont obtenu des budgets conséquents. Autrement dit : ce ne sont pas des “bonnes pratiques théoriques”, ce sont des ingrédients qui font la différence dans la vraie vie.

Traduire le risque en langage business

Un COMEX ne se mobilise pas sur un acronyme technique, mais sur une exposition financière, réglementaire ou client. Le rôle du RSSI est de faire le pont entre la menace et son impact concret sur l’activité.

Avec l’appui des contrôles internes, cette traduction est immédiate :

• “15 % d’échec au contrôle d’accès = risque RGPD + exposition à une sanction CNIL.”

• “18 % de non-conformité à la séparation des tâches = risque de fraude opérationnelle.”

Arriver avec des preuves tangibles

Les directions générales décident rarement sur la base d’intuitions. Ce qui fait la différence, ce sont des chiffres simples, lisibles et crédibles.

Outre les benchmarks externes (PwC, EY, Proofpoint), les indicateurs issus des contrôles internes sont un atout décisif : ils prouvent que la sensibilisation répond à des écarts concrets observés dans l’entreprise.

Donner de la visibilité dans le temps

Un projet sans échéance est un projet condamné. Pour convaincre un COMEX, vous devez montrer que votre programme de sensibilisation s’inscrit dans une dynamique pilotée et mesurable.

La planification peut être calée sur le rythme des contrôles périodiques :

• Q1 : contrôle interne accès → sensibilisation ciblée.

• Q2 : intégration RH (onboarding NIS2) → reporting COMEX.

• Q3 : activation des managers comme relais.

• Q4 : mesure d’efficacité via les contrôles périodiques → ROI présenté au COMEX.

Mobiliser vos relais internes

Un RSSI seul face au COMEX envoie un mauvais signal : la cybersécurité apparaît comme une affaire de spécialistes. Pour être crédible, il faut montrer que le sujet est porté collectivement.

Les contrôles internes fournissent ce langage commun transversal : finance, RH, IT, opérations. En les utilisant comme socle, vous démontrez que la cybersécurité est intégrée à la gouvernance globale.

Prouver la valeur créée

Le dernier levier est sans doute le plus décisif : montrer le retour sur investissement. Pas uniquement en coûts évités (ex. amendes, interruptions, ransomwares), mais aussi en bénéfices immatériels : image de marque, climat interne, conformité.

La valeur est encore plus convaincante lorsqu’elle est liée à vos contrôles internes :

• “En 12 mois, le taux de non-conformité au contrôle accès est passé de 18 % à 6 % grâce à la campagne ciblée.”

Ce lien direct contrôle → sensibilisation → amélioration est ce qui parle le plus à un COMEX.

Conclusion : un cadre reproductible

En résumé, convaincre un COMEX ne se réduit pas à éviter les erreurs. C’est une démarche proactive qui repose sur cinq piliers : parler business, apporter des preuves, donner de la visibilité, mobiliser ses relais et démontrer la valeur.

Mais ce qui fait la différence entre un programme générique et un programme stratégique, c’est la capacité à s’appuyer sur vos contrôles internes continus et périodiques. Ce sont eux qui permettent :

• d’aligner la sensibilisation sur les obligations réglementaires (NIS2, RGPD, ISO, DORA),

• de cibler les écarts comportementaux observés sur le terrain,

• et de démontrer un ROI concret au COMEX.

Convaincre, ce n’est donc pas vendre un catalogue d’e-learning, mais montrer que votre sensibilisation est pilotée comme une brique de gouvernance et de conformité, avec des résultats mesurés et reproductibles.

La conformité n’est plus un simple sujet juridique ou documentaire. Face à l’intensification des exigences réglementaires (RGPD, DORA, NIS2…), les organisations sont contraintes d’adopter une approche plus structurée, continue et démontrable. Mais au-delà des outils et des processus, la conformité repose avant tout sur un facteur souvent sous-estimé : l’humain.

Or, un collaborateur mal informé ou peu impliqué peut compromettre les efforts les plus rigoureux. C’est pourquoi la sensibilisation ne peut plus être envisagée comme un acte ponctuel ou purement symbolique. Elle doit devenir un pilier stratégique de la conformité, capable d’évoluer avec les risques, les métiers et les obligations.

Dans cet article, nous explorerons pourquoi la sensibilisation continue est devenue incontournable dans toute démarche de conformité. Et comment des solutions complémentaires comme Phosforea et Auditool permettent de concilier engagement humain et pilotage rigoureux, pour bâtir une conformité vivante, opérationnelle et durable.

Une conformité en constante évolution

Un cadre réglementaire de plus en plus exigeant

Depuis plusieurs années, les réglementations en matière de cybersécurité, de protection des données et de gestion des risques se multiplient. Le RGPD a marqué un tournant en Europe, suivi de près par des textes sectoriels ou spécifiques comme DORA pour les services financiers ou NIS2 pour les opérateurs d’importance vitale.
Ces textes partagent une exigence commune : celle d’une maîtrise démontrable des risques, d’une implication active des collaborateurs, et d’une capacité à réagir rapidement en cas d’incident.

Ce renforcement réglementaire est aussi une réponse à l’augmentation des cyberattaques et des failles humaines. Les régulateurs n’attendent plus une simple déclaration de conformité, mais des preuves concrètes, traçables et régulièrement mises à jour.

De la conformité ponctuelle à la conformité continue

Face à ces exigences mouvantes, les démarches ponctuelles ne suffisent plus. Une documentation unique ou une formation annuelle ne garantissent ni l’engagement des équipes ni la mise à jour des connaissances.
La conformité devient un processus dynamique, qui doit vivre au rythme de l’entreprise : nouvelles recrues, évolution des métiers, changement de prestataires, révision des procédures…

Cela implique une transformation de la posture des organisations :
→ passer d’une logique de réaction à une logique d’anticipation,
→ d’un traitement administratif à une gestion intégrée de la conformité dans les opérations quotidiennes.

Mais pour que cette conformité continue prenne réellement vie, encore faut-il qu’elle soit comprise, incarnée et portée par les collaborateurs. Et c’est précisément là que le facteur humain devient central.

L’humain au centre de la conformité

Les collaborateurs, maillon clé ou point de vulnérabilité

Une politique de conformité, aussi rigoureuse soit-elle sur le papier, ne tient qu’à une chose : la capacité des équipes à la comprendre, l’appliquer et la faire vivre.
Dans les faits, la majorité des incidents de sécurité ou de non-conformité trouvent leur origine dans une erreur humaine : un clic sur un lien frauduleux, une mauvaise gestion des mots de passe, une méconnaissance des procédures internes…

Les régulateurs eux-mêmes insistent de plus en plus sur l’importance de la sensibilisation des collaborateurs comme condition essentielle de conformité. Car le risque ne réside pas uniquement dans les failles techniques ou l’absence de documentation : il naît, très souvent, d’un manque de culture et de réflexes de sécurité au quotidien.

Les limites des approches traditionnelles de formation

Trop souvent, la sensibilisation est encore perçue comme une formalité annuelle, résumée à un module e-learning générique, envoyé à tous les collaborateurs… puis rapidement oublié. Ce type de format, bien que nécessaire, échoue à ancrer durablement les bons réflexes.

Les approches descendantes et non contextualisées ne prennent pas en compte :

• la diversité des métiers et des niveaux d’exposition aux risques,
• la nécessité de répéter les messages pour créer des automatismes,
• l’importance de capter l’attention dans un environnement saturé d’informations.

Résultat : les collaborateurs sont informés, mais pas forcément formés ni engagés. Et la conformité devient un objectif théorique, déconnecté du terrain.

Pour transformer les collaborateurs en acteurs de la conformité, il ne suffit donc pas de les informer une fois. Il faut construire une démarche de sensibilisation continue, ciblée et engageante  à la fois pour réduire les risques, mais aussi pour répondre aux exigences croissantes des autorités.

La sensibilisation continue comme réponse stratégique

Un levier d’ancrage comportemental durable

Contrairement à une action unique ou à un rappel ponctuel, la sensibilisation continue s’inscrit dans la durée et permet un véritable changement de posture. Elle agit sur la mémoire, les automatismes, mais aussi la vigilance dans les situations concrètes du quotidien professionnel.

La répétition régulière, le recours à des formats variés et des messages adaptés à chaque profil renforcent ce qu’on appelle l’ancrage comportemental. Ce n’est plus seulement une question de connaissance théorique, mais de transformation des pratiques.
En cybersécurité comme en conformité, répéter, varier et contextualiser est bien plus efficace qu’informer une seule fois.

Une exigence attendue par les autorités de contrôle

Les régulateurs ne se contentent plus d’une preuve de formation : ils veulent des éléments démontrant que la démarche de conformité est vivante dans l’organisation. Cela implique :

• une traçabilité des campagnes de sensibilisation,
• une capacité à identifier les populations formées, les thématiques couvertes, les progrès réalisés,
• des indicateurs de performance, comme les scores de progression ou les taux de complétion.

En clair, la sensibilisation continue devient un critère d’évaluation dans les audits de conformité. Elle ne relève plus du “bon sens” organisationnel, mais bien d’un impératif réglementaire.

Encore faut-il disposer d’outils capables de rendre cette démarche concrète, fluide et mesurable. C’est précisément ce que propose Phosforea, en combinant pédagogie, personnalisation et pilotage.

Une sensibilisation intelligente, ciblée et mesurable avec Phosforea

Des parcours adaptés aux métiers et aux niveaux de risque

Chaque collaborateur ne fait pas face aux mêmes risques, ni aux mêmes responsabilités réglementaires. C’est pourquoi une sensibilisation efficace ne peut être uniforme.
Phosforea permet de créer des parcours personnalisés, adaptés aux profils métiers, aux contextes organisationnels, et aux enjeux de conformité spécifiques (cybersécurité, protection des données, fraude, etc.).

Cette approche granulaire favorise une meilleure appropriation des contenus, car chaque collaborateur reçoit les messages qui lui sont réellement utiles, au bon moment.

Des formats variés pour maintenir l’attention dans la durée

Pour captiver et engager durablement les collaborateurs, la diversité des formats est essentielle.
Phosforea propose une large palette de contenus pédagogiques :

• capsules vidéos,
• modules interactifs,
• quiz,
• jeux de plateau,
• micro-learning via mobile.

Cette approche multi-format permet de lutter contre la lassitude, de favoriser la mémorisation et de s’adapter aux contraintes de temps des équipes.

Un pilotage fin grâce au scoring des compétences

La force de Phosforea ne réside pas uniquement dans la diffusion de contenus, mais aussi dans sa capacité à mesurer la progression des collaborateurs.
Grâce à un système de scoring des compétences, les organisations peuvent :

• suivre l’évolution des connaissances sur chaque thématique,
• identifier les points de vigilance,
• démontrer à tout moment le niveau d’acculturation global d’une équipe.

Ces données sont précieuses pour documenter la conformité, orienter les plans de sensibilisation et nourrir les audits internes ou externes.

En combinant personnalisation, diversité pédagogique et indicateurs de pilotage, Phosforea offre un socle solide pour engager les équipes. Mais pour que cette dynamique porte ses fruits sur le long terme, elle doit s’inscrire dans une culture d’entreprise cohérente et partagée.

Faire de la conformité une culture d’entreprise

Une approche transverse entre métiers, IT et conformité

La conformité ne peut plus reposer uniquement sur la direction juridique, le DPO ou le RSSI. Elle doit s’inscrire dans une dynamique collective impliquant l’ensemble des fonctions :

• les RH pour intégrer la sensibilisation dans les parcours collaborateurs,
• les équipes IT pour faire le lien avec la sécurité opérationnelle,
• les métiers pour adapter les pratiques aux réalités terrain.

Cette approche transverse permet de sortir d’un traitement purement documentaire pour construire une vision partagée de la conformité, où chacun comprend son rôle et ses responsabilités.

Inscrire la sensibilisation dans le quotidien des équipes

Pour qu’elle devienne un réflexe organisationnel, la sensibilisation ne doit pas être perçue comme une contrainte ponctuelle, mais comme une composante naturelle de l’activité.

Cela suppose :

• une récurrence maîtrisée (mensualisation, formats courts),
• une intégration dans les temps forts RH (onboarding, campagnes internes, Semaine de la cybersécurité…),
• une cohérence entre les messages pédagogiques et les pratiques de gouvernance.

C’est à ce niveau que la conformité devient une culture partagée, et non un simple impératif réglementaire.

Mais pour ancrer cette culture et structurer les efforts dans le temps, il est indispensable de s’appuyer sur un outil de pilotage robuste. C’est précisément ce que propose Auditool, en apportant à la conformité un cadre, une méthode et une capacité de preuve.

Structurer et piloter la conformité avec Auditool

Un référentiel central pour suivre les exigences réglementaires

La première condition pour répondre aux exigences réglementaires est de connaître précisément ce qui s’applique à son organisation. Auditool permet de modéliser et centraliser les référentiels réglementaires clés (RGPD, NIS2, DORA…), en les structurant sous forme d’arborescences claires et actionnables.

Chaque exigence peut être contextualisée, assignée, documentée, ce qui facilite :

• le suivi du niveau de conformité en temps réel,
• la gestion par périmètre, entité ou typologie de risque,
• la coordination entre fonctions métier, IT, juridique et conformité.

Des audits numériques pour mesurer, corriger et justifier

Avec Auditool, les organisations peuvent construire leurs propres audits internes à partir du référentiel intégré.
Chaque exigence peut faire l’objet d’un contrôle terrain, avec la possibilité d’ajouter :

• des commentaires de vérification,
• des preuves documentées (captures, fichiers, liens),
• des statuts de conformité (conforme, partiel, non conforme).

Les écarts détectés peuvent être automatiquement transformés en plans d’action correctifs, avec un suivi dans le temps. Cela facilite :

• la préparation des audits externes,
• les revues de direction,
• les obligations de preuve auprès des autorités.

Une complémentarité naturelle avec la démarche de sensibilisation

Auditool structure la conformité et permet de la piloter de manière rigoureuse. Phosforea, de son côté, anime cette conformité auprès des collaborateurs et mesure leur niveau d’acculturation.

Les deux solutions, intégrées dans une démarche cohérente, permettent de :

• faire le lien entre constats d’audit et actions de sensibilisation ciblées,
• adapter les messages pédagogiques en fonction des écarts détectés,
• justifier auprès des régulateurs que les actions engagées sont suivies, documentées et alignées sur les risques réels.

Ensemble, Auditool et Phosforea offrent une vision à 360° de la conformité, alliant gouvernance, engagement et traçabilité.

Aujourd’hui, les organisations ne peuvent plus se contenter de prouver qu’elles sont conformes : elles doivent le vivre au quotidien, le faire comprendre à leurs équipes, et être capables d’en rendre compte à tout moment.

Conclusion

De la contrainte réglementaire à l’opportunité culturelle : faire de la sensibilisation un moteur de transformation

La conformité réglementaire ne peut plus être perçue comme une obligation administrative, traitée à coup de documents figés et de formations ponctuelles.
Elle doit s’incarner dans une dynamique vivante, ancrée dans les pratiques, soutenue par des outils, et portée collectivement par l’organisation.

Face à des exigences toujours plus précises et des risques en constante évolution, la sensibilisation continue devient un pilier central de toute stratégie de conformité efficace.
Mais pour qu’elle soit réellement utile — et prouvable — elle doit être ciblée, engageante et mesurée.

C’est dans cette logique que s’inscrivent Phosforea, en rendant la conformité accessible et vivante pour les collaborateurs, et Auditool, en assurant sa structuration, son pilotage et sa traçabilité.
Ensemble, ils permettent aux entreprises de transformer une contrainte en levier d’engagement, de rigueur et de résilience.

1. Refonte de la page d’accueil et du menu de navigation
2. Enrichissement des modes revue et plan d’action (pièce jointe, tag, multi-sélection)
3. Ajout d’un chat bot interactif pour guider les utilisateurs
4. Améliorations statut utilisateur, tag, duplication d’audit, structure d’audit etc.

Démo interactive

Menu principal & page d’accueil

Nous avons revu l’organisation de la page d’accueil pour vous offrir une navigation plus fluide dès votre connexion à Auditool. L’objectif : vous permettre d’accéder rapidement aux audits, événements et outils utiles à votre quotidien.

Nouveautés :

• Nouvelle présentation du menu, plus lisible et structurée.
• Liste des 5 derniers audits ouverts pour reprendre votre travail là où vous l’avez laissé.
• Bouton “Audit en cours” enrichi avec les détails essentiels de l’audit actif.
• Bloc agenda intégré pour consulter vos audits planifiés.
• Bloc mémo pour prendre des notes personnelles (non liées à un audit).

Plans d’action & revues : plus de flexibilité et de suivi

Pour vous aider à mieux organiser vos suivis d’audit, nous avons enrichi les fonctionnalités liées aux plans d’action et aux revues. Ces évolutions visent à simplifier la saisie, améliorer la traçabilité et centraliser les documents clés.

• Ajout possible de pièces jointes aux actions correctives et aux revues, avec tri par type de document.

• Saisie multiple pour gagner du temps lors de la création de plusieurs actions ou revues.
• Ajout de tags personnalisés pour mieux catégoriser et retrouver vos actions.
• Enregistrement automatique de la date de clôture d’un plan d’action dans la vue de gestion des audits.

• Pour les exports vers Idhall : ajout de la catégorie, typologie, processus et amélioration du format de l’événement.

Un assistant interactif directement dans l’application

Pour vous accompagner encore plus efficacement dans l’utilisation d’Auditool, un nouveau bouton d’aide a été ajouté à l’interface.

En un clic, vous pouvez désormais accéder à un chatbot interactif pour :

• Trouver rapidement des réponses à vos questions sur les fonctionnalités d’Auditool.
• Obtenir des articles explicatifs ou des guides pas-à-pas.
• Lancer une recherche dans notre base de connaissances sans quitter l’application.
• Gagner en autonomie dans vos actions du quotidien.

Améliorations générales : des petits plus qui font la différence

De nombreuses optimisations ont été intégrées pour rendre votre expérience sur Auditool toujours plus fluide, stable et intuitive. Ces évolutions s’inscrivent dans notre démarche continue d’amélioration, en réponse à vos retours d’usage :

• Suivi rapide du statut des utilisateurs :
  • Pour vous offrir une vision plus claire de la gestion des accès, une nouvelle icône d’information a été ajoutée dans la page de gestion des utilisateurs. Elle vous permet de visualiser en un clic le nombre d’utilisateurs actifs, désactivés et supprimés.

• Suggestion automatique de tags déjà utilisés sur d’autres objets similaires (ex : exigences, audités).
• Modification de l’audité lors d’une duplication :
  • Pour faciliter la réutilisation de vos audits, il est désormais possible de modifier l’audité au moment de la duplication. Cela vous permet de gagner du temps en adaptant rapidement un audit existant à un nouveau périmètre ou interlocuteur.

• Modification de la structure d’audit pendant la planification :
  • Tant que votre audit est en statut Planifié, vous pouvez désormais changer librement sa structure d’audit. Cela vous offre plus de flexibilité pour adapter votre audit avant son lancement.
• Réorganisation facile des indicateurs dans une échelle : 
  • Vous pouvez désormais réorganiser les indicateurs au sein d’une échelle simplement en les glissant-déposant dans l’ordre souhaité. Un gain de temps pour structurer vos grilles de notation selon vos besoins.

• Nouvelles colonnes dans la gestion des audits : dates (relecture, plan d’action…), nombre de relectures.
• La protection de données a été renforcée.