Comment sensibiliser vos utilisateurs à la cybersécurité ?

Pourquoi sensibiliser vos collaborateurs ?

La cybersécurité ne repose pas uniquement sur des outils techniques : l’humain joue également un rôle central. Les collaborateurs, parfois à leur insu, peuvent représenter une porte d’entrée pour les cyberattaques. D’après le Data Breach Investigations Report publié par Verizon en 2025, 60 % des violations de données impliquent un facteur humain, qu’il s’agisse d’erreurs, de mots de passe compromis ou d’attaques de type phishing.

Sensibiliser les utilisateurs n’est donc pas un luxe, mais une nécessité stratégique.

Voici les étapes essentielles à mettre en œuvre pour sensibiliser vos utilisateurs.

1. La phase préparatoire

Avant de débuter une mission de sensibilisation, il vous faudra définir un plan clair : identification des publics à cibler, choix des supports à utiliser, planning sur le long terme…

Cibler la bonne population

La première étape indispensable est de bien connaître son public cible. Chaque entreprise regroupe plusieurs types de profils en fonction des niveaux de risque : Accès aux données stratégiques, secrets industriels, bases clients et fournisseurs, information comptables et financières…

En dressant une « fiche population », vous pouvez adapter les messages en fonction des usages, des niveaux de risques et de la maturité face aux enjeux cyber.

Créer des supports captivants et variés

• Le choix des supports joue également un rôle déterminant. Il est conseillé de combiner plusieurs formats pour capter l’attention sur la durée.
• Les supports physiques comme les affiches ou les fiches réflexes placées dans les espaces de passage sont un bon moyen de toucher un large public.
• Le e-learning, à condition qu’il soit obligatoire et ludique, permet de transmettre des messages clairs et illustrés par des mises en situation.
• Mise en situation ou simulations de cyberattaques — comme les campagnes de « faux phishing »
• Interventions d’experts en sécurité externes à l’entreprise. Plus l’expérience est vivante et interactive, plus elle est mémorable et utile dans la durée.

Établir un planning clair sur le long terme

Mettre en place un planning de sensibilisation est un autre point clé. Il ne s’agit pas d’envoyer une newsletter tous les six mois, mais de créer une dynamique régulière. Définir un calendrier sur l’année avec des temps forts permet de rythmer les actions.

Varier vos supports de communication pour maintenir l’attention de vos utilisateurs : ateliers en présentiel, vidéos internes, articles de blog, challenges entre équipes… Le tout est d’éviter l’effet “one-shot”.

Toutes ces actions doivent être suivies régulièrement à l’aide de KPI pour comparer les résultats entre les différentes méthodes mises en place et mesurer l’évolution de la maturité interne dans le temps.

2. Les thèmes incontournables à aborder

Les thématiques de sensibilisation à la cybersécurité sont nombreuses, mais certaines restent prioritaires en raison de leur fréquence et de leur impact potentiel sur votre organisation.

Le phishing

Le phishing est sans doute le premier sujet à aborder. Il s’agit d’apprendre aux collaborateurs à reconnaître les signes d’un email frauduleux (vérifier les liens, les pièces jointes, l’adresse de l’expéditeur…) et à adopter le bon réflexe en cas de doute : ne pas cliquer, et signaler le potentiel problème aux bonnes personnes. Des campagnes de phishing simulées en interne sont un excellent moyen de tester et d’améliorer ces réflexes.

Les supports amovibles

La question des supports amovibles est parfois moins adressée, pourtant ce vecteur est tout aussi sensible.

Lors de nos campagnes de Pentest, nous constatons régulièrement que ces dispositifs (clés USB, disques durs externes, cartes SD…) sont branchés sans aucune vérification, surtout quand ils sont trouvés dans les locaux de l’entreprise. Cette pratique expose directement les systèmes internes à des risques d’infection ou de compromission.

Ce type de risque est d’ailleurs reconnu dans les référentiels de sécurité les plus exigeants. Par exemple, la norme ISO 27001 demande de créer une politique pour l’acquisition, l’autorisation, l’utilisation et l’élimination des supports de stockage amovibles.

La création et l’utilisation des mots de passe

Les mots de passe sont un autre point névralgique. Encore aujourd’hui, beaucoup utilisent des mots de passe simplistes ou réutilisent le même pattern à plusieurs endroits. La sensibilisation doit porter sur la création de mots de passe robustes, sur l’utilisation de gestionnaires de mots de passe et sur la mise en place d’une authentification multi-facteurs.

L’accès physique

Enfin, l’accès physique aux locaux ou aux postes de travail reste un angle d’attaque souvent négligé. Laisser un ordinateur accessible dont la session n’est pas verrouillée, noter un mot de passe sur un post-it ou permettre à une personne inconnue de circuler dans les bureaux sont des comportements à éviter.

3. Maintenir l’intérêt de vos collaborateurs dans le temps

L’une des plus grandes difficultés dans un programme de sensibilisation est de maintenir l’intérêt des collaborateurs sur la durée. Pour y parvenir, il est crucial de créer du lien et de favoriser le dialogue. N’hésitez pas à partager les résultats des campagnes passées, à valoriser les bons réflexes et mettre en lumière les équipes qui s’impliquent dans la démarche.

Il est également très efficace de relier les messages professionnels à la sphère personnelle. En expliquant, par exemple, que les arnaques par SMS ou par email reposent sur les mêmes mécanismes que les attaques ciblant les entreprises, vous donnez un autre niveau de lecture plus clair et accessible. Un collaborateur sensibilisé à titre personnel sera naturellement plus attentif dans son usage professionnel.

4. Reposez-vous sur des experts pour accompagner vos collaborateurs.

Chez SNS Security, nous accompagnons les entreprises dans cette démarche de sensibilisation, en concevant des programmes de sensibilisation adaptés, évolutifs, et engageants.

Notre équipe Audit & GRC intervient auprès d’organisations de toute taille et tous secteurs pour sensibiliser vos collaborateurs de manière durable.

Vous souhaitez en savoir plus ou mettre en place un plan de sensibilisation ?