7 min de lecture<\/p>\n
84 % des entreprises allemandes ayant subi une cyberattaque en 2025 signalent le phishing comme vecteur d\u2019attaque. Parall\u00e8lement, seuls 24 % d\u2019entre elles forment l\u2019ensemble de leur personnel. Le reste \u00e9conomise pr\u00e9cis\u00e9ment l\u00e0 o\u00f9 les cybercriminels d\u00e9ploient leurs outils les plus redoutables. Depuis le 6 d\u00e9cembre 2025, cette n\u00e9gligence n\u2019est plus simplement imprudente : elle est d\u00e9sormais ill\u00e9gale. La loi d\u2019application de la directive NIS2 rend obligatoires les formations de sensibilisation \u00e0 la cybers\u00e9curit\u00e9 pour environ 30 000 entreprises en Allemagne. Les entreprises qui ne respectent pas cette obligation s\u2019exposent \u00e0 des sanctions pouvant atteindre 10 millions d\u2019euros.<\/strong><\/p>\n Conscience cybers curit est un levier concret pour les entreprises en 2026, car il influence directement la cyber-r\u00e9silience, les op\u00e9rations de s\u00e9curit\u00e9 et les obligations r\u00e9glementaires. Cet article montre, \u00e0 partir de l'exemple de synaforce, quels indicateurs, exigences et \u00e9tapes op\u00e9rationnelles comptent dans la pratique.<\/p>\n La pare-feu est configur\u00e9e, l\u2019authentification multifactorielle (MFA) activ\u00e9e, la protection des terminaux d\u00e9ploy\u00e9e. Et pourtant, un employ\u00e9 clique sur un lien contenu dans un e-mail Microsoft 365 d\u2019apparence parfaitement l\u00e9gitime et saisit ses identifiants. Le rapport de situation du BSI pour 2025 recense 950 attaques par ransomware signal\u00e9es au cours de la p\u00e9riode consid\u00e9r\u00e9e, dont 80 % ciblant des petites et moyennes entreprises. Chaque jour, 119 nouvelles vuln\u00e9rabilit\u00e9s sont r\u00e9pertori\u00e9es, soit une augmentation de 24 % par rapport \u00e0 l\u2019ann\u00e9e pr\u00e9c\u00e9dente.<\/p>\n Mais ces chiffres ne racontent qu\u2019une partie de l\u2019histoire. Le Verizon Data Breach Investigations Report 2025 indique que 60 % de toutes les violations de s\u00e9curit\u00e9 confirm\u00e9es dans le monde impliquent une action humaine. Pas d\u2019exploit ni de vuln\u00e9rabilit\u00e9 zero-day, mais bien une personne qui clique sur un lien, communique ses identifiants ou envoie des donn\u00e9es sensibles \u00e0 la mauvaise adresse.<\/p>\n Le probl\u00e8me n\u2019est pas que les entreprises ne mettent pas en \u0153uvre de technologies. Le probl\u00e8me, c\u2019est que m\u00eame la meilleure technologie \u00e9choue lorsque l\u2019humain ne fait pas preuve de vigilance. C\u2019est pr\u00e9cis\u00e9ment l\u00e0 que se situe le foss\u00e9 : selon le BSI, 79 % des entreprises forment leurs collaborateurs aux questions de cybers\u00e9curit\u00e9. Une bonne nouvelle. Toutefois, seules 24 % d\u2019entre elles assurent cette formation pour l\u2019ensemble du personnel, tandis que 55 % se limitent \u00e0 certaines fonctions sp\u00e9cifiques. Enfin, un cinqui\u00e8me des entreprises renonce compl\u00e8tement \u00e0 toute formation en la mati\u00e8re.<\/p>\n Depuis le 6 d\u00e9cembre 2025, la loi d\u2019application de la directive NIS2 est en vigueur en Allemagne. Elle concerne environ 30 000 entreprises comptant au moins 50 employ\u00e9s ou r\u00e9alisant un chiffre d\u2019affaires annuel de 10 millions d\u2019euros, et ce dans 18 secteurs d\u2019activit\u00e9. L\u2019obligation d\u2019enregistrement aupr\u00e8s du BSI (Office f\u00e9d\u00e9ral de la cybers\u00e9curit\u00e9) est entr\u00e9e en vigueur le 6 janvier 2026.<\/p>\n Deux articles jouent un r\u00f4le crucial en mati\u00e8re de sensibilisation. L\u2019article 30, paragraphe 2, de la BSIG (Loi sur la s\u00e9curit\u00e9 des infrastructures essentielles) impose aux entreprises concern\u00e9es de mettre en place des formations en cybers\u00e9curit\u00e9 et des actions de sensibilisation, int\u00e9gr\u00e9es dans les mesures obligatoires de gestion des risques. L\u2019article 38, paragraphe 3, de la m\u00eame loi va plus loin : la direction doit elle-m\u00eame participer r\u00e9guli\u00e8rement \u00e0 ces formations et d\u00e9montrer une connaissance suffisante de l\u2019\u00e9valuation des risques. En septembre 2025, le BSI a publi\u00e9 une note d\u2019orientation relative \u00e0 la formation des dirigeants au titre de la NIS2, pr\u00e9cisant le contenu exact de ces sessions.<\/p>\n Les sanctions financi\u00e8res sont s\u00e9v\u00e8res. Pour les infrastructures particuli\u00e8rement importantes : jusqu\u2019\u00e0 10 millions d\u2019euros ou 2 % du chiffre d\u2019affaires mondial annuel, selon le montant le plus \u00e9lev\u00e9. Pour les infrastructures importantes : jusqu\u2019\u00e0 7 millions d\u2019euros ou 1,4 %. Il n\u2019existe aucune p\u00e9riode transitoire ; les dispositions s\u2019appliquent imm\u00e9diatement d\u00e8s l\u2019entr\u00e9e en vigueur de la l\u00e9gislation.<\/p>\n N\u00e9anmoins, selon l\u2019\u00e9tude T\u00dcV sur la cybers\u00e9curit\u00e9 2025, seuls 50 % des entreprises concern\u00e9es connaissent la directive NIS2. La moiti\u00e9 ignore m\u00eame qu\u2019elle rel\u00e8ve de son champ d\u2019application.<\/p>\n La classique e\u2011mail de phishing, truff\u00e9e de fautes d\u2019orthographe et provenant d\u2019un exp\u00e9diteur suspect, appartient d\u00e9sormais au pass\u00e9. Selon KnowBe4, 82,6 % des e\u2011mails d\u2019hame\u00e7onnage int\u00e8grent aujourd\u2019hui des \u00e9l\u00e9ments g\u00e9n\u00e9r\u00e9s par l\u2019IA : textes parfaitement conformes \u00e0 la grammaire, formules d\u2019appel personnalis\u00e9es et contenus adapt\u00e9s au contexte. Les messages de phishing cr\u00e9\u00e9s par l\u2019IA affichent un taux de clics de 54 %, soit environ 4,5 fois plus \u00e9lev\u00e9 que les tentatives traditionnelles.<\/p>\n Plus inqui\u00e9tant encore : la mont\u00e9e en puissance du vishing bas\u00e9 sur la technologie Deepfake. Au premier trimestre 2025, ces attaques reposant sur le clonage vocal via Deepfake ont bondi de plus de 1 600 % par rapport au trimestre pr\u00e9c\u00e9dent. L\u2019exemple le plus marquant reste celui d\u2019un collaborateur financier du bureau d\u2019ing\u00e9nierie britannique Arup, qui a transf\u00e9r\u00e9 25 millions de dollars am\u00e9ricains apr\u00e8s avoir particip\u00e9 \u00e0 une fausse visioconf\u00e9rence o\u00f9 des avatars num\u00e9riques, g\u00e9n\u00e9r\u00e9s par IA, repr\u00e9sentaient le directeur financier et plusieurs dirigeants. Une \u00e9tude r\u00e9alis\u00e9e par T\u00dcV confirme que 51 % des experts en cybers\u00e9curit\u00e9 en Allemagne observent d\u00e9j\u00e0 des cyberattaques soutenues par l\u2019IA. Dans les grandes entreprises, ce chiffre atteint m\u00eame 81 %.<\/p>\n Parall\u00e8lement, seuls 10 % des entreprises allemandes recourent \u00e0 l\u2019IA pour renforcer leur propre d\u00e9fense. Les cybercriminels adoptent cette technologie bien plus rapidement que les organisations charg\u00e9es de la protection. Cette situation creuse une importante lacune en mati\u00e8re de sensibilisation : les employ\u00e9s form\u00e9s \u00e0 rep\u00e9rer les fautes d\u2019orthographe ou les adresses exp\u00e9diteurs inhabituelles demeurent totalement impuissants face aux attaques g\u00e9n\u00e9r\u00e9es par l\u2019IA.<\/p>\n \n \u00ab 91 % des entreprises estiment que leur niveau de cybers\u00e9curit\u00e9 est bon ou tr\u00e8s bon. Pourtant, une entreprise sur sept a \u00e9t\u00e9 victime d\u2019une cyberattaque r\u00e9ussie au cours de l\u2019ann\u00e9e \u00e9coul\u00e9e. Cette divergence entre perception et r\u00e9alit\u00e9 constitue l\u2019un des risques majeurs. \u00bb Le type m\u00eame de formation en cybers\u00e9curit\u00e9 : une session en ligne de 45 minutes en janvier, un contr\u00f4le obligatoire, puis l\u2019oubli jusqu\u2019au mois de janvier suivant. La taux de clics sur les e-mails d\u2019hame\u00e7onnage baisse temporairement pour remonter \u00e0 son niveau initial dans les trois mois. Des formations ponctuelles ne modifient pas le comportement. Pour entra\u00eener un v\u00e9ritable changement, il faut r\u00e9p\u00e9tition, pertinence et retour d\u2019information.<\/p>\n Le rapport KnowBe4 sur le benchmarking du secteur de l\u2019hame\u00e7onnage 2025 offre la plus vaste base de donn\u00e9es jamais compil\u00e9e sur ce sujet : 14,5 millions d\u2019utilisateurs r\u00e9partis au sein de 62 400 organisations, soit 67,7 millions de tests d\u2019hame\u00e7onnage simul\u00e9s. Les r\u00e9sultats sont sans \u00e9quivoque. Avant toute formation, le taux moyen de clics sur des e-mails d\u2019hame\u00e7onnage s\u2019\u00e9tablit \u00e0 33,1 % : un collaborateur sur trois clique sur un lien malveillant. Apr\u00e8s 90 jours de formation continue, ce taux chute de plus de 40 %. Au bout de douze mois, il n\u2019est plus que de 4,1 %. Cela repr\u00e9sente une r\u00e9duction de 86 %.<\/p>\n Ce que ces programmes ont en commun : ils s\u2019appuient sur des simulations d\u2019hame\u00e7onnage (mensuelles, avec une difficult\u00e9 progressive), des modules de micro-learning (de 3 \u00e0 5 minutes, hebdomadaires ou d\u00e9clench\u00e9s par des \u00e9v\u00e9nements sp\u00e9cifiques), la gamification (tableaux de classement par d\u00e9partement, badges, d\u00e9fis entre \u00e9quipes) ainsi que sur un simple bouton de signalement int\u00e9gr\u00e9 \u00e0 Outlook ou Gmail. L\u2019objectif n\u2019est pas simplement de garantir la conformit\u00e9 aux obligations de formation, mais bien de d\u00e9velopper une culture de la s\u00e9curit\u00e9 au sein de l\u2019entreprise, o\u00f9 les employ\u00e9s signalent activement les e-mails suspects avant de cliquer dessus.<\/p>\n L\u2019indicateur cl\u00e9 n\u2019est pas le taux de clics, mais le taux de signalement : combien d\u2019employ\u00e9s signalent volontairement les e-mails suspects ? Dans les entreprises ayant mis en place des programmes matures, ce taux d\u00e9passe souvent les 70 %. Autrement dit, sept collaborateurs sur dix d\u00e9tectent une tentative d\u2019hame\u00e7onnage et la signalent avant qu\u2019un pr\u00e9judice ne soit caus\u00e9.<\/p>\n Aujourd’hui, quiconque souhaite souscrire ou renouveler une assurance cyber se rend compte que les formations de sensibilisation ne sont plus un simple \u00ab\u202fplus\u202f\u00bb appr\u00e9ci\u00e9, mais bien un crit\u00e8re essentiel pour l’acceptation du risque par l’assureur. Allianz mentionne explicitement ces formations parmi ses douze crit\u00e8res fondamentaux applicables aux assur\u00e9s. AXA, quant \u00e0 elle, propose gratuitement pendant six mois un portail de sensibilisation inclus dans sa police cyber. Le questionnaire de risques Cyber du GDV comprend \u00e9galement des questions sp\u00e9cifiques relatives aux mesures de formation.<\/p>\n En l’absence de preuve attestant de la mise en \u0153uvre de telles formations, les entreprises s’exposent \u00e0 des surprimes ou \u00e0 des exclusions de garantie en cas de dommages li\u00e9s au phishing. \u00c0 une \u00e9poque o\u00f9 le co\u00fbt moyen d’une attaque par phishing s’\u00e9l\u00e8ve en Allemagne \u00e0 4,15 millions d’euros, il s’agit l\u00e0 d’un risque que nul directeur financier ne devrait prendre \u00e0 la l\u00e9g\u00e8re.<\/p>\n Le calcul est simple. Pour une entreprise de taille interm\u00e9diaire comptant 200 employ\u00e9s, un programme de sensibilisation co\u00fbte entre 10 000 et 20 000 euros par an. Chez KnowBe4, le tarif d\u00e9bute \u00e0 18 dollars am\u00e9ricains par utilisateur et par an, tandis que Proofpoint propose un abonnement \u00e0 partir de 25 dollars am\u00e9ricains. \u00c0 cela s\u2019ajoutent 2 \u00e0 4 heures mensuelles consacr\u00e9es \u00e0 la gestion interne du programme.<\/p>\n En face, chaque incident de phishing entra\u00eene en moyenne 4,15 millions d\u2019euros de co\u00fbts. La r\u00e9duction du taux de clics, passant de 33 % \u00e0 4 %, diminue le risque d\u2019une attaque r\u00e9ussie de 86 %. M\u00eame en adoptant une estimation prudente des risques : si ce programme permet d\u2019\u00e9viter neuf attaques r\u00e9ussies sur dix au cours des dix prochaines ann\u00e9es, il aura largement justifi\u00e9 son investissement.<\/p>\n L\u2019\u00e9quation a chang\u00e9. Avant NIS2, la sensibilisation en cybers\u00e9curit\u00e9 \u00e9tait une mesure volontaire : certaines entreprises y accordaient de l\u2019importance, tandis que la plupart la consid\u00e9raient comme une simple formalit\u00e9 \u00e0 accomplir. Depuis d\u00e9cembre 2025, c\u2019est d\u00e9sormais obligatoire par la loi. La direction g\u00e9n\u00e9rale est personnellement tenue responsable. Les assureurs cyber le requi\u00e8rent \u00e9galement. Et les attaquants ont franchi un nouveau palier qualitatif gr\u00e2ce au phishing aliment\u00e9 par l\u2019IA et au vishing bas\u00e9 sur des deepfakes.<\/p>\n La bonne nouvelle : cela fonctionne. Une r\u00e9duction de 86 % du taux de clics apr\u00e8s douze mois n\u2019est pas un chiffre marketing, mais bien le r\u00e9sultat fond\u00e9 sur les donn\u00e9es de 14,5 millions d\u2019utilisateurs. Les outils sont matures, les co\u00fbts raisonnables et le retour sur investissement ind\u00e9niable. Ce qui manque encore dans de nombreuses entreprises, c\u2019est tout simplement la d\u00e9cision de s\u2019y mettre.<\/p>\n Oui. L\u2019article 30, paragraphe 2, de la loi allemande sur la s\u00e9curit\u00e9 des infrastructures critiques (BSIG) oblige les entreprises concern\u00e9es \u00e0 dispenser des formations en cybers\u00e9curit\u00e9 et en sensibilisation. L\u2019article 38, paragraphe 3, de la m\u00eame loi va plus loin : la direction doit elle-m\u00eame participer r\u00e9guli\u00e8rement \u00e0 ces formations. Environ 30 000 entreprises en Allemagne, comptant au moins 50 employ\u00e9s ou r\u00e9alisant un chiffre d\u2019affaires annuel de 10 millions d\u2019euros, sont concern\u00e9es.<\/p>\n<\/details>\n Un rythme mensuel constitue l\u2019\u00e9quilibre id\u00e9al. Une trop grande fr\u00e9quence risque d\u2019entra\u00eener une lassitude, tandis qu\u2019une cadence trop espac\u00e9e fait perdre l\u2019effet p\u00e9dagogique. La difficult\u00e9 des exercices doit augmenter progressivement et couvrir diff\u00e9rents types d\u2019attaques : fraude au nom du PDG, faux portail de connexion Microsoft, fausse notification de livraison de colis ou message RH trompeur. Apr\u00e8s chaque clic sur une simulation, des modules de micro-learning doivent \u00eatre d\u00e9clench\u00e9s imm\u00e9diatement.<\/p>\n<\/details>\n KnowBe4 : \u00e0 partir de 18 dollars am\u00e9ricains par utilisateur et par an. Proofpoint Security Awareness : \u00e0 partir de 25 dollars am\u00e9ricains par utilisateur et par an. Pour une entreprise de 200 collaborateurs, cela repr\u00e9sente entre 3 600 et 5 000 dollars am\u00e9ricains par an. \u00c0 cela s\u2019ajoute un effort interne estim\u00e9 entre 2 et 4 heures par mois pour l\u2019administration et l\u2019analyse des r\u00e9sultats.<\/p>\n<\/details>\n Non. Les sanctions risquent de dissuader les collaborateurs de signaler les incidents. Il est pr\u00e9f\u00e9rable d\u2019activer imm\u00e9diatement un module d\u2019apprentissage apr\u00e8s le clic, en mettant l\u2019accent sur une approche positive et sur l\u2019am\u00e9lioration des pratiques. L\u2019objectif est de favoriser une culture du signalement, et non une culture de la peur. Les entreprises qui privil\u00e9gient une approche centr\u00e9e sur l\u2019apprentissage obtiennent des taux de signalement sup\u00e9rieurs \u00e0 70 %.<\/p>\n<\/details>\n Ce n\u2019est pas une obligation l\u00e9gale, mais c\u2019est un crit\u00e8re standard lors de l\u2019\u00e9valuation des risques avant la souscription. Allianz inclut la sensibilisation parmi ses douze crit\u00e8res essentiels. Le questionnaire de risque Cyber du GDV contient \u00e9galement des questions sp\u00e9cifiques \u00e0 ce sujet. En l\u2019absence de preuve de la mise en \u0153uvre de telles formations, les primes peuvent augmenter ou des exclusions de garantie peuvent \u00eatre appliqu\u00e9es en cas de dommages li\u00e9s au phishing.<\/p>\n<\/details>\n Les indices classiques, tels que les fautes d\u2019orthographe, ne fonctionnent plus. Il convient donc de centrer les formations sur l\u2019identification des comportements anormaux : urgence inattendue, exp\u00e9diteur inhabituel ou d\u00e9viation par rapport aux processus habituels. Parall\u00e8lement, des mesures techniques doivent \u00eatre mises en place : DMARC\/DKIM pour l\u2019authentification des e-mails, filtres e-mail bas\u00e9s sur l\u2019IA et proc\u00e9dures de v\u00e9rification suppl\u00e9mentaires pour les transactions financi\u00e8res via un second canal.<\/p>\n<\/details>\n Source de l\u2019image de couverture : Pexels \/ Tima Miroshnichenko<\/em><\/p>\n<\/div>\n Des exemples d'usage, des services et des rep\u00e8res compl\u00e9mentaires sont disponibles chez synaforce pour la s\u00e9curit\u00e9 manag\u00e9e et la conformit\u00e9<\/a>.<\/p>\n Le pare-feu est configur\u00e9, l’authentification multifactorielle activ\u00e9e, la protection des terminaux d\u00e9ploy\u00e9e. Et puis un employ\u00e9 clique sur un lien dans un e-mail trompeusement r\u00e9el.<\/p>\n","protected":false},"author":205,"featured_media":97112,"comment_status":"closed","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"_acf_changed":false,"_yoast_wpseo_focuskw":"Formation obligatoire \u00e0 la sensibilisation au NIS2","_yoast_wpseo_title":"Conscience en cybers\u00e9curit\u00e9 : pourquoi la tech ne suffit pas","_yoast_wpseo_metadesc":"Les entreprises misent sur la technologie, mais 90 % des breaches passent par l'humain. D\u00e9couvrez comment renforcer la vigilance cyber au quotidien.","_yoast_wpseo_meta-robots-noindex":"","_yoast_wpseo_meta-robots-nofollow":"","_yoast_wpseo_meta-robots-adv":"","_yoast_wpseo_canonical":"","_yoast_wpseo_opengraph-title":"","_yoast_wpseo_opengraph-description":"","_yoast_wpseo_opengraph-image":"","_yoast_wpseo_opengraph-image-id":"","_yoast_wpseo_twitter-title":"","_yoast_wpseo_twitter-description":"","_yoast_wpseo_twitter-image":"","_yoast_wpseo_twitter-image-id":"","featured_post_sortierung":0,"featured_post":0,"pre_headline":"","bildquelle":"","teasertext":"","language":"de","footnotes":""},"categories":[1280,2224],"tags":[],"class_list":{"0":"post-97018","1":"post","2":"type-post","3":"status-publish","4":"format-standard","5":"has-post-thumbnail","6":"hentry","7":"category-it-tech","9":"entry"},"wpml_language":"fr","wpml_translation_of":87988,"acf":[],"yoast_head":"\nLe plus important en bref<\/h2>\n
\n
Qu'est-ce que Conscience cybers curit ?<\/h2>\n
La fracture entre technologie et comportement<\/h2>\n
La NIS2 rend l\u2019alerte obligatoire<\/h2>\n
L\u2019IA transforme la surface d\u2019attaque<\/h2>\n
\n
\n \u00c9tude T\u00dcV sur la cybers\u00e9curit\u00e9 2025 (506 entreprises, enqu\u00eate Ipsos)<\/cite>\n<\/p>\n<\/blockquote>\nCe qui fonctionne : De la formation obligatoire au changement de comportement<\/h2>\n
Assurance cyber : la sensibilisation, condition contractuelle<\/h2>\n
Le ROI d\u2019un programme de sensibilisation<\/h2>\n
Conclusion : Former ou \u00eatre tenu responsable<\/h2>\n
Questions fr\u00e9quentes<\/h2>\n
La directive NIS2 impose-t-elle explicitement des formations de sensibilisation ?<\/strong><\/summary>\n
\u00c0 quelle fr\u00e9quence faut-il organiser des simulations de phishing ?<\/strong><\/summary>\n
Quel est le co\u00fbt d\u2019un programme de sensibilisation ?<\/strong><\/summary>\n
Faut-il sanctionner les employ\u00e9s qui cliquent sur des e-mails de phishing ?<\/strong><\/summary>\n
Les assureurs cyber exigent-ils des formations de sensibilisation ?<\/strong><\/summary>\n
Comment se prot\u00e9ger contre le phishing aliment\u00e9 par l\u2019intelligence artificielle ?<\/strong><\/summary>\n
Conseils de lecture de la r\u00e9daction<\/h2>\n
\n
Plus du r\u00e9seau MBF Media<\/h2>\n
\n
Plus sur ce sujet synaforce<\/h2>\n
\n