Sensibilisation à la cybersécurité : outils et bonnes pratiques 

La sensibilisation à la cybersécurité vise à réduire le risque humain en donnant aux collaborateurs les réflexes essentiels pour prévenir les attaques. C’est un levier culturel et organisationnel, bien plus qu’une simple formation technique.

Points clés :

• 95 % des incidents viennent d’erreurs humaines.
• L’ingénierie sociale est la porte d’entrée n°1 (phishing, smishing, vishing…).
• Sensibiliser = changer les comportements, pas juste informer.

Qu’est-ce que la sensibilisation à la cybersécurité ?

Définition simple et objectifs principaux

La sensibilisation à la cybersécurité désigne l’ensemble des actions, outils et formations destinés à apprendre aux utilisateurs à :

• reconnaître les cybermenaces, 
• adopter les bons réflexes,
• réduire les risques liés au facteur humain.

Son objectif n’est pas de transformer les utilisateurs en experts techniques, mais de développer une culture de la sécurité, pour protéger l’organisation contre les erreurs humaines.

Qu’est-ce que la culture de la sécurité ? L’expression apparaît d’abord dans les industries à risque, après l’accident de Tchernobyl, où l’AIEA parle de safety culture.
L’idée : la sécurité n’est pas seulement des règles, mais un ensemble de valeurs, de comportements, de croyances partagées. Le concept est repris en cyber, sous le nom de security culture ou information security culture. Plusieurs référentiels intègrent explicitement cette notion, comme :
– ISO 27001 / 27002.
– NIST Cybersecurity Framework (US).

Dans la même logique, il est fondamental que vos collaborateurs comprennent et appliquent les protocoles de sécurité établis par votre entreprise. Ces protocoles peuvent inclure 

• des directives sur l’utilisation sécurisée des appareils professionnels,
• l’accès au réseau de l’entreprise,
• les mesures à prendre lors de l’accès à des informations sensibles. 

En inculquant ces bonnes pratiques, vous renforcez le maillage de sécurité à tous les niveaux de votre entreprise. 

💡 Nous vous conseillons également d’inclure vos collaborateurs dans l’élaboration ou la mise à jour régulière de ces protocoles. C’est pertinent pour la réalité terrain et l’adhésion, mais la conception finale doit rester pilotée par les experts sécurité.

Pourquoi est-elle essentielle ?

Un chiffre vaut mieux qu’un long discours : selon Mimecast (The State of Human Risk 2025), 95 % des violations de données sont causées par des erreurs humaines. 

Vous vous rappelez peut-être la panne de Cloudflare le 18/11/2025, qui a affecté de nombreux services à travers le monde entier, comme ChatGPT, X, Google, Instagram, Canva, ou Spotify. Cyberattaque ? Non, une simple erreur humaine sur une modification des permissions dans l’un de ses systèmes de base de données.

Cliquer sur un lien de phishing, réutiliser un même mot de passe pour plusieurs sites, manquer de vigilance… ce sont ces gestes du quotidien qui ouvrent la porte aux attaquants.

Les principales menaces à connaître

La manipulation : phishing, ingénierie sociale

Chiffre clé

Malgré la sensibilisation, les taux de clics de phishing ont triplé en 2024 (Le monde informatique, 16/01/2025).

C’est quoi

L’ingénierie sociale est une technique de manipulation utilisée par les cybercriminels pour tromper une personne et l’amener à faire quelque chose qu’elle n’aurait jamais fait en temps normal. Elle peut passer par plusieurs canaux : 

• Phishing (e-mails frauduleux),
• Smishing (SMS frauduleux),
• Vishing (appels téléphoniques frauduleux),
• Faux support technique : un prétendu technicien contacte la victime (par téléphone, e-mail ou pop-up) pour “résoudre un problème” et obtient un accès à distance ou des informations sensibles.
• Manipulation en face-à-face : quelqu’un se fait passer pour un livreur, un prestataire ou un employé afin d’entrer dans un bâtiment, accéder à un poste ou récupérer du matériel.

Le phishing, ou hameçonnage, consiste à vous envoyer un mail dans lequel le pirate se fait passer pour une personne de confiance (banque, service connu, collègue, livreur, administration…) afin de vous faire :
– cliquer sur un lien piégé,
– ouvrir une pièce jointe infectée,
– révéler vos mots de passe, numéros de carte bancaires ou informations personnelles.

Comment s’en protéger ?

En exigeant toujours une double vérification. Peu importe si c’est un appel téléphonique, un SMS, un email : on ne valide jamais une action sensible depuis ce premier canal. 

• Toujours vérifier l’expéditeur et le lien avant de cliquer.
• Se méfier des messages trop urgents.
• Ne jamais transmettre de mot de passe par email.

💡 Nous avons rédigé un article complet sur les bonnes pratiques de sécurité informatiques par ici.

L’infection des machines : ransomware et malware

Chiffre clé

En 2025, la Suisse est le 4ème pays le plus touché par les ransomwares (Acronis, Cyber Threats Report, H1 2025).

C’est quoi ? 

Un malware est un terme générique qui désigne tous les logiciels malveillants (virus, trojans, spyware, worms, ransomware, rootkits, etc.). 

Un ransomware est un malware spécifique qui infecte un ordinateur ou un réseau, chiffre les données et demande une rançon. Son objectif est de paralyser votre système et de vous faire payer pour récupérer vos données.

Comment s’en protéger ? 

Par trois piliers : 

1. Prévenir : éviter les comportements à risque.

2. Bloquer : outils techniques de sécurité.

3. Sauvegarder : pouvoir restaurer en cas d’attaque.

En résumé : les techniques de manipulation qui relèvent de l’ingénierie sociale, comme le phishing, sont très souvent la porte d’entrée du malware.
L’ingénierie sociale = le piège.
Le malware = le poison.

La gestion des mots de passe, des accès, des identités

Ces trois notions sont liées, mais chacune traite un aspect différent de la sécurité.

La gestion des mots de passe (Password Management) est la couche d’authentification : 

• la création de mots de passe solides,
• l’usage d’un gestionnaire de mots de passe,
• l’activation du MFA (double authentification),
• le renouvellement régulier si compromission,

La gestion des identités (Identity Management ou IAM) définit qui est la personne dans le système : 

• créer, gérer et supprimer les comptes utilisateur,
• attribuer un rôle à chaque personne (employé, manager, admin…),
• s’assurer que les comptes obsolètes sont supprimés.

La gestion des accès (Access Management) définit ce que la personne a le droit d’utiliser : 

• les autorisations (lecture, écriture, suppression),
• les droits par rôle (ex. un comptable accède aux factures, pas aux RH),
• la segmentation des réseaux,
• le “moindre privilège” (ne donner que ce qui est nécessaire).

C’est très important dans la sensibilisation, car : 

• Un bon mot de passe sans gestion des accès est inutile.
• Une bonne gestion des accès sans suppression des vieux comptes est un risque.
• Une bonne identité sans MFA rend vulnérable.

Et les pirates le savent bien : la majorité des attaques informatiques visent l’utilisateur et non la technologie. Plus l’utilisateur a de droits ou d’accès, plus il est intéressant pour les pirates.

L’un des aspects les plus négligés, mais parmi les plus critiques de la cybersécurité, est la gestion des mots de passe.

Chiffre clé : en 2024, plus de 2,8 milliards de mots de passe ont été mis en vente ou proposés gratuitement sur des forums criminels. (Verizon, 2025 Data BreachInvestigations Report).

Focus sur l’approche Passwordless

L’approche passwordless consiste à supprimer complètement le mot de passe comme secret principal, remplacé par :

• biométrie (empreinte, visage),
• clé matérielle (FIDO2, YubiKey),
• code à usage unique,
• authentification via appareil de confiance (Passkeys, smartphone).

Le mot de passe n’est plus stocké, ni transmis, ce qui rend une attaque beaucoup plus difficile. Le passwordless supprime la plus grande faiblesse : l’utilisateur.

Nous insistons sur les mots de passe parce que le monde fonctionne encore avec eux, et nous parlons de passwordless parce que le but est justement de ne plus en dépendre.

Nous sommes dans une période de transition : 

• La majorité des services du quotidien utilisent encore des mots de passe,
• Le passwordless est encore en déploiement.

Comment sensibiliser efficacement à la cybersécurité ?

Les piliers de la sensibilisation

Voici les 4 piliers essentiels de la sensibilisation à la cybersécurité, tels qu’ils sont généralement reconnus par les organismes de référence (NCSC, ENISA, NCSC, NIST) et largement utilisés dans les programmes d’awareness.

Notons qu’en Suisse, c’est l’Office fédéral de la cybersécurité qui fait autorité.

1️⃣ Compréhension des menaces (savoir).

C’est la base : permettre à chacun de comprendre ce qu’est :

• le phishing,
• les ransomwares,
• les malwares,
• l’ingénierie sociale,
• les fuites de données,
• les mots de passe faibles,
• les risques liés au télétravail, au cloud, aux mobiles.

👉 Si les collaborateurs ne comprennent pas les menaces, ils ne peuvent pas s’en protéger.

2️⃣ Adoption des bons comportements (savoir-faire).

Ici, on passe de la théorie à la pratique.

Exemples :

• vérifier un expéditeur avant de cliquer,
• utiliser un gestionnaire de mots de passe,
• signaler un email suspect,
• ne pas installer n’importe quel logiciel,
• verrouiller sa session,
• faire attention dans les espaces publics.

👉 La sensibilisation transforme des mauvaises habitudes en réflexes de sécurité.

3️⃣ Mise en situation et exercices (savoir réagir).

C’est le pilier le plus souvent oublié… et pourtant indispensable.

Exemples :

• faux phishing pour tester les réactions,
• QCM après une vidéo,
• mini-jeux pédagogiques,
• simulations d’incidents,
• quiz sur les bons réflexes.

👉 Comprendre ne suffit pas, on retient en faisant.

4️⃣ Répétition et culture continue (savoir durer).

La sensibilisation n’est pas un événement, mais un processus continu. Ce pilier inclut :

• rappels réguliers,
• micro-learning (capsules courtes),
• affiches, messages internes,
• newsletters cyber,
• campagnes mensuelles ou trimestrielles par exemple.

👉 L’objectif final est de créer une culture de la cybersécurité partagée, au même titre que la sécurité physique ou la sécurité au travail.

Approche pédagogique recommandée

La meilleure approche pédagogique en sensibilisation cyber est un modèle qui intègre 4 éléments : Comprendre → Pratiquer → Répéter → Intégrer.

1️⃣ Simplifier les concepts complexes (Comprendre).

Pas de jargon, pas de technique inutile,  l’objectif est que tout le monde comprenne les risques qui les concernent vraiment.

2️⃣ Ancrer les réflexes par la pratique (Pratiquer).

La théorie ne suffit pas, les utilisateurs retiennent en faisant.

3️⃣ Répéter à intervalles courts (Répéter).

La mémoire humaine a une faiblesse : elle oublie vite. Mieux vaut 3 micro-capsules par an qu’une grosse formation par an.

4️⃣ Adapter aux risques réels de l’entreprise (Intégrer).

Chaque métier n’a pas les mêmes risques. Plus un message est contextualisé, plus il est retenu. 

De plus, il est nécessaire de penser à deux aspects primordiaux : 

• La multimodalité, c’est-à-dire qu’il faut varier les formats : vidéo + QCM + affiches + exercices… Chaque cerveau apprend différemment.
• La gamification, qui favorise l’intérêt et donc l’engagement.

Outils et ressources pour renforcer la sensibilisation

L’Office fédéral de la cybersécurité (OFCS) édite régulièrement des recommandations, alertes, documents de prévention, et propose en ligne des guides pratiques explicites pour le grand public, les PME et les particuliers adultes.​

C’est par ici.

Trust Valley, une alliance entre les collectivités publiques, les institutions académiques et les acteurs économiques, a édité le guide pratique “Sécurité numérique : un guide pratique pour PME”.

L’Etat de Fribourg propose un “Petit guide de cybersécurité pour nos aînés”.​