Programme de sensibilisation à la cybersécurité NIS2 : construire une démarche continue, mesurable et alignée sur les risques
La directive NIS2 change radicalement les attentes en matière de formation cybersécurité. Il ne s’agit plus d’organiser une session annuelle pour “cocher la case”, mais de démontrer que les collaborateurs comprennent les risques et adoptent durablement les bons réflexes.
Ce basculement vers la preuve — et non vers l’intention — oblige les RSSI à repenser en profondeur la manière de structurer, piloter et mesurer la sensibilisation. C’est tout l’enjeu d’un programme de sensibilisation cybersécurité NIS2 : relier les audits à la formation, adapter les actions aux risques réels, et produire des résultats mesurables.
La méthode June Factory permet précisément cela : transformer un texte réglementaire complexe en un système pédagogique pilotable, fondé sur l’observation des comportements et l’amélioration continue.
Diagnostic : pourquoi les parcours actuels échouent encore ?
Une formation identique pour tout le monde
Dans de nombreuses organisations, la sensibilisation repose encore sur un module unique par an. Ce format, simple à organiser, ne correspond pas aux exigences du modèle risk-based introduit par NIS2.
Chaque métier, chaque niveau d’accès, chaque responsabilité implique une exposition différente : un comptable ne rencontre pas les mêmes risques qu’un développeur, un administrateur système ou un manager responsable d’un processus critique. En appliquant une formation uniforme, on renforce un sentiment de “contrainte administrative” sans réduire le risque réel.
Les chiffres confirment ce décalage : selon le Clusif, plus de 70 % des incidents majeurs impliquent encore un comportement utilisateur inapproprié, malgré des taux de formation élevés.
Une déconnexion totale entre audit et formation
Autre limite structurelle : les évaluations de conformité et les programmes de sensibilisation fonctionnent souvent en silo. On audite d’un côté, on forme de l’autre.
Ce manque d’alignement empêche de cibler la formation sur les écarts observés. Les collaborateurs reçoivent des contenus qui ne correspondent ni à leurs risques, ni à leurs pratiques réelles. Pour le RSSI, cela crée une difficulté majeure : impossible de démontrer la réduction du risque humain puisque la formation n’est pas liée à un besoin clairement identifié.
Des indicateurs qui ne prouvent rien
Le taux de complétion reste l’indicateur central utilisé dans 80 % des organisations (source : EY Cybersecurity Insights 2025). Pourtant, NIS2 n’exige pas que les collaborateurs “terminent une formation” : elle exige qu’ils “adoptent des comportements sûrs”.
Les indicateurs attendus par les régulateurs portent sur la compréhension, la progression, la maîtrise des réflexes critiques et la diminution des écarts observés. Autrement dit : les preuves doivent montrer la réalité, pas l’intention.
Sans mesure continue ni tableau de bord cohérent, les RSSI se retrouvent avec un dispositif coûteux en énergie mais peu utile pour démontrer la conformité.
Notre approche : transformer la directive en comportements observables
La valeur de la méthode June Factory réside dans sa capacité à traduire une exigence réglementaire en un parcours d’apprentissage articulé autour des comportements réels. Là où NIS2 impose des obligations générales — réduire le risque humain, maîtriser les privilèges, améliorer la réaction aux incidents — la méthode formule ces obligations en attentes concrètes, mesurables et actionnables.
Tout commence par la transformation du texte NIS2 en un ensemble clair d’exigences internes. Ces exigences, écrites dans un langage métier, décrivent ce que l’organisation attend d’un collaborateur, d’un manager ou d’un administrateur dans des situations concrètes : savoir reconnaître une tentative de phishing, appliquer le principe du moindre privilège, ou encore déclarer un incident de manière fiable et rapide. Auditool permet de structurer ces exigences dans un référentiel opérationnel qui servira de base aux auto-évaluations et aux audits.
L’étape suivante consiste à confronter ces exigences à la réalité du terrain. Les auto-évaluations, les audits ciblés ou les simulations contextualisées révèlent où les comportements attendus ne sont pas maîtrisés. Ces constats ne sont pas une sanction : ils sont un signal précis qui indique quel apprentissage doit être déclenché, pour qui, et pourquoi.
Cette logique crée un pont entre audit et formation, absent dans la majorité des dispositifs actuels.
À partir de ces écarts observés, la remédiation devient simple et naturelle : chaque exigence se décline en compétence, chaque compétence en comportement observable, et chaque comportement correspond à un module Phosforea. Un utilisateur qui clique sous pression recevra un module sur l’ingénierie sociale ; un manager qui ne maîtrise pas le processus de déclaration recevra un module sur la gestion des incidents ; un administrateur qui ne respecte pas pleinement le PAM suivra un module dédié à la gestion des privilèges.
La formation n’est plus générique : elle corrige un écart prouvé.
Enfin, la supervision permet de mesurer si les comportements évoluent réellement. En consolidant dans Auditool les résultats des évaluations, des simulations, des audits ou des suivis de pratiques, on observe la progression dans le temps. Le RSSI dispose alors d’une preuve concrète, structurée et opposable : les réflexes s’améliorent, les écarts diminuent, le risque humain se réduit.
La boucle Définir → Évaluer → Remédier → Superviser devient un cycle d’amélioration continue qui répond pleinement aux attentes de NIS2.
Programme de sensibilisation cybersécurité NIS2 : parcours et séquençage annuel
Les parcours présentés ici ne détaillent volontairement ni les contenus, ni les modules : ces éléments seront restitués dans des infographies dédiées. L’objectif est d’expliquer la logique générale de chaque parcours et la manière dont se structure une année de sensibilisation NIS2 alignée sur les risques.
Parcours “Hygiène cyber continue”
Ce premier parcours s’adresse à l’ensemble des collaborateurs. Sa logique repose sur une montée en maturité progressive, alternant évaluations légères, apprentissages courts et moments clés plus structurants.
L’année commence par un état des lieux : une auto-évaluation simple et un module introductif permettent de poser les bases et de contextualiser les obligations de NIS2 dans le quotidien des utilisateurs. Cette mise à niveau initiale est essentielle pour comprendre où se situent les fragilités.
Le deuxième trimestre installe un rythme régulier. Le micro-learning mensuel fonctionne comme un entraînement continu qui renforce les réflexes et évite l’oubli entre deux sessions. Ce cycle court est volontairement calibré : bref, fréquent et aligné sur des comportements concrets.
Au troisième trimestre, le parcours s’intéresse aux situations de travail les plus courantes : mobilité, télétravail, échange de fichiers, gestion du poste de travail. Cette phase permet d’intégrer la dimension pratique du risque, celle que les collaborateurs rencontrent au quotidien.
Enfin, le quatrième trimestre joue un rôle de consolidation. Une simulation plus avancée et une auto-évaluation finale permettent de mesurer l’évolution des comportements sur l’année. Les résultats sont consolidés automatiquement dans Auditool pour produire un reporting clair et exploitable dans le cadre de NIS2.
Ce parcours offre un rythme souple, adapté aux populations généralistes, et met l’accent sur l’ancrage des réflexes essentiels.
Parcours “Populations critiques”
Le deuxième modèle s’adresse aux administrateurs, à l’IT et aux métiers disposant d’accès sensibles. Ces populations sont directement concernées par les obligations renforcées de NIS2 et nécessitent un parcours plus technique et plus exigeant.
L’année débute par un travail de clarification. Le premier trimestre se concentre sur les responsabilités associées à la gestion des privilèges et des secrets, ainsi que sur la compréhension fine de la chaîne d’attaque. Cette phase est essentielle : un administrateur mal formé constitue l’un des points de vulnérabilité les plus critiques.
Le deuxième trimestre est orienté vers les environnements exposés. On y aborde la sécurisation des accès distants, les exigences autour du MFA ou encore la reconnaissance des signes d’une tentative d’intrusion ciblée. L’objectif est de réduire drastiquement les comportements à fort impact.
Au troisième trimestre, la logique se déplace vers la résilience et la continuité. Les équipes apprennent à restaurer un environnement minimal, à gérer les sauvegardes ou à détecter un Shadow IT risqué. Cette phase répond directement aux ambitions de NIS2 en matière de continuité d’activité.
Le dernier trimestre permet de démontrer la maturité des équipes critiques. À travers une simulation avancée et un audit technique ciblé, l’organisation mesure sa capacité à réagir, à appliquer les règles et à adopter des réflexes sûrs. Auditool consolide ces résultats pour produire une preuve solide du niveau de conformité.
Ce modèle met l’accent sur la maîtrise des comportements à fort impact, l’accélération de la réaction et la réduction des risques les plus critiques.
Clés de réussite
Un parcours NIS2 réussi repose d’abord sur une bonne compréhension du risque. Les organisations qui construisent leurs programmes à partir d’un référentiel fondé sur les exigences internes — plutôt que sur un catalogue de modules — réduisent plus rapidement les incidents humains (PwC Digital Trust Insights 2025).
La segmentation est tout aussi essentielle : les populations générales et critiques ne partagent ni les mêmes risques ni les mêmes responsabilités. Un modèle unique pour tous ne peut fonctionner.
Le lien entre audit et formation est l’un des leviers les plus puissants. Lorsqu’un module répond à un écart observé, la formation cesse d’être perçue comme une obligation ; elle devient une mesure corrective légitime.
Le micro-learning permet ensuite de maintenir l’attention dans la durée et d’ancrer les réflexes. Les cycles courts favorisent la répétition, indispensable à la mémorisation.
Enfin, la capacité à démontrer la progression dans Auditool est le pilier de la crédibilité : le RSSI doit être en mesure d’exposer des preuves claires et mesurables de la réduction du risque humain.
Conclusion
Un parcours de sensibilisation cybersécurité NIS2 efficace ne consiste pas à “faire de la formation”, mais à prouver que les comportements évoluent.
En reliant la directive à un ensemble d’exigences internes, en observant les écarts et en attribuant les modules qui y répondent, les organisations transforment la sensibilisation en un véritable levier de réduction du risque humain. Les RSSI peuvent enfin produire un reporting crédible, fondé sur des preuves et aligné sur les attentes de la directive.
