Sensibilisation Gratuite & Sans Inscription

Formation Cybersécurité
Phishing · Mots de passe · MFA

La sensibilisation cybersécurité utilisateur la plus complète du web français. Conforme NIS2, DORA, RGPD : reconnaître un phishing, sécuriser ses mots de passe avec un gestionnaire et le MFA, protéger son poste de travail, et savoir réagir à un incident. Pour tous les collaborateurs, du standardiste au dirigeant.

15 chapitres · 5 h 30 Conforme NIS2 · DORA Examen blanc 25 questions Référentiel ANSSI · CNIL
Sensibilisation théorique, sans certification professionnelle

Travail-Industrie n'est pas un organisme certifié Qualiopi cybersécurité ni habilité par l'ANSSI. Ce module est une sensibilisation pour utilisateurs (« collaborateur sensibilisé », pas « professionnel cyber »). Il vous permet de comprendre les enjeux NIS2, DORA, RGPD et d'adopter les bons réflexes au quotidien, mais ne remplace pas une certification professionnelle type CISSP, CISM, CompTIA Security+ ou un cursus ANSSI SecNumacadémie. Il peut en revanche servir de support de sensibilisation interne ou de pré-requis avant une formation certifiante OPCO.

Conforme NIS2 / DORA

Cadre réglementaire 2025-2026 : NIS2 (UE 2022/2555), DORA (UE 2022/2554), RGPD article 32.

≈ 5 h 30

5 modules progressifs : cadre, phishing, mots de passe, poste de travail, incident.

Référentiels ANSSI

SecNumacadémie, guide d'hygiène informatique ANSSI, NIST SP 800-63B, CNIL.

Parcours pédagogique

Programme de la sensibilisation cybersécurité

5 modules pour faire de chaque collaborateur un maillon fort de la chaîne de sécurité

1

Cadre réglementaire & enjeux cybersécurité 2026

NIS2, DORA, RGPD, panorama des menaces 2026, et le facteur humain : pourquoi la cybersécurité concerne chaque salarié.

  • NIS2, DORA, RGPD : le cadre réglementaire qui s'impose à toutes les entreprises
  • Panorama des menaces 2026 : ransomware, phishing, BEC, supply chain
  • Le facteur humain : pourquoi 80 % des incidents commencent par un clic
  • Quiz du Module 1
Commencer
2

Phishing et ingénierie sociale

Reconnaître un phishing en 5 secondes, comprendre les variantes (spear, BEC, vishing, smishing) et les leviers psychologiques de l'ingénierie sociale.

  • Anatomie d'un phishing : 7 signaux d'alerte à reconnaître en 5 secondes
  • Spear phishing, BEC, vishing, smishing : les variantes ciblées qui coûtent cher
  • Ingénierie sociale : les 6 leviers psychologiques exploités par les attaquants
  • Quiz du Module 2
Commencer
3

Mots de passe robustes et authentification multi-facteurs (MFA)

Construire des mots de passe / passphrases résistants, utiliser un gestionnaire, activer le MFA et comprendre la hiérarchie SMS / TOTP / FIDO2 / Passkey.

  • Mot de passe robuste, passphrase, temps de craquage : la science derrière la pratique
  • Gestionnaires de mots de passe : Bitwarden, 1Password, KeePass, comment choisir
  • MFA / 2FA : SMS, TOTP, FIDO2, Passkey — la hiérarchie de sécurité
  • Quiz du Module 3
Commencer
4

Sécurité quotidienne au poste de travail

Verrouillage, chiffrement, sauvegardes 3-2-1, Wi-Fi public, VPN, BYOD, télétravail : les bons réflexes au quotidien.

  • Verrouillage de session, chiffrement, règle 3-2-1 des sauvegardes
  • Wi-Fi public, VPN, déplacement professionnel : la sécurité en mobilité
  • BYOD, télétravail, données pro vs perso : le bon partitionnement
  • Quiz du Module 4
Commencer
5

Incident, signalement et responsabilités

Que faire après un clic suspect, comment signaler en interne, à la CNIL et au CERT-FR, et qui est responsable de quoi dans l'organisation.

  • J'ai cliqué : les 5 minutes pour agir et limiter la casse
  • Signalement interne, CERT-FR, CNIL : les bons réflexes et les délais
  • Responsabilités : salarié, employeur, DPO, RSSI, fournisseurs
  • Quiz du Module 5
Commencer

Prêt pour l'examen blanc ?

Après les 5 modules, validez votre maîtrise théorique avec un examen blanc de 25 questions couvrant phishing, mots de passe, MFA, sécurité poste de travail et conduite à tenir en cas d'incident.

Accéder à l'examen

Cybersécurité utilisateur : pourquoi former tous les salariés est devenu obligatoire en 2026

NIS2, DORA, RGPD : trois textes qui changent la donne pour les entreprises françaises

Depuis l'entrée en application de la directive NIS2 (UE 2022/2555) en octobre 2024, transposée en droit français par la loi du 30 avril 2025, la formation à la cybersécurité de l'ensemble du personnel est légalement obligatoire pour environ 15 000 entités françaises classées « essentielles » ou « importantes » — contre seulement 500 sous l'ancien régime NIS1. Cette directive couvre 18 secteurs critiques : énergie, transports, santé, eau potable et eaux usées, infrastructures numériques, services TIC, administration publique, espace, services postaux, gestion des déchets, fabrication/distribution d'aliments, industrie chimique, recherche, fournisseurs de services numériques (cloud, places de marché, moteurs de recherche), entreprises de plus de 50 salariés ou réalisant plus de 10 M€ de chiffre d'affaires.

À cela s'ajoute le règlement DORA (Digital Operational Resilience Act, UE 2022/2554), applicable depuis le 17 janvier 2025 à l'ensemble du secteur financier européen : banques, assurances, sociétés de gestion, fonds, et leurs prestataires informatiques critiques (CSP — Critical Service Providers). DORA impose des exigences strictes en matière de gestion des risques TIC, de tests de résilience opérationnelle (TLPT — Threat-Led Penetration Testing), de notification d'incidents majeurs sous 4 heures, et de formation des collaborateurs. Le RGPD, quant à lui, impose depuis 2018 (article 32) que toute entreprise traitant des données personnelles mette en place des « mesures techniques et organisationnelles appropriées », ce qui inclut la formation de tous les collaborateurs susceptibles d'accéder à ces données.

Les sanctions sont dissuasives : jusqu'à 10 millions d'euros ou 2 % du chiffre d'affaires annuel mondial pour NIS2, idem pour le RGPD, et des amendes encore plus lourdes pour DORA (jusqu'à 1 % du CA quotidien jusqu'à mise en conformité). Ces montants ne sont plus théoriques : la CNIL a prononcé en 2024 plusieurs sanctions de plus de 50 millions d'euros contre des entreprises ayant insuffisamment formé leurs équipes au phishing et à la gestion des incidents.

Le facteur humain : 80 à 95 % des cyberattaques commencent par un email

Selon les rapports annuels de l'ANSSI, du CERT-FR, de Verizon (Data Breach Investigations Report) et du FBI (Internet Crime Report 2024), 80 à 95 % des cyberattaques réussies en entreprise commencent par une action humaine : un clic sur un lien de phishing, l'ouverture d'une pièce jointe piégée, le renseignement d'identifiants sur un faux site, la communication d'informations confidentielles par téléphone à un attaquant. Aucun firewall, aucun antivirus, aucun EDR (Endpoint Detection and Response) ne peut compenser entièrement la défaillance humaine — d'où l'importance critique de la sensibilisation.

Plus précisément, le phishing (envoi massif d'emails frauduleux) et ses variantes ciblées (spear phishing visant une personne précise, BEC / Business Email Compromise visant les comptables ou dirigeants, vishing par téléphone, smishing par SMS) représentent à eux seuls plus de 70 % des points d'entrée des incidents. Les identifiants compromis (mots de passe faibles, réutilisés ou volés) sont en deuxième position. Les vulnérabilités techniques non corrigées, souvent perçues comme la principale menace, n'arrivent qu'en troisième position des causes initiales d'incidents — preuve que la défense périmétrique technique ne suffit plus dans un monde où l'attaquant cible directement l'utilisateur.

Phishing : pourquoi reconnaître les signaux d'alerte est devenu une compétence vitale

Un email de phishing moderne est de plus en plus sophistiqué : utilisation d'IA générative (ChatGPT-like) pour produire un français impeccable, logos parfaitement reproduits, noms de domaine quasi-identiques aux légitimes (homoglyphes, « rn » au lieu de « m »), urgence artificielle pour pousser à l'action immédiate, exploitation d'événements d'actualité (élections, scandales, livraisons attendues, fiches de paie, notes de frais). Pourtant, malgré cette sophistication, 7 signaux d'alerte récurrents permettent d'identifier la quasi-totalité des phishings : expéditeur suspect ou usurpé, urgence inhabituelle, demande d'identifiants ou de virement, pièce jointe inattendue (.zip, .exe, .docm), liens dont l'URL réelle diffère du texte affiché, fautes ou tournures inhabituelles, et — le plus important — toute demande sortant du cadre habituel des échanges. Cette formation vous apprendra à appliquer ces 7 contrôles en moins de 5 secondes.

Mots de passe et MFA : la hiérarchie de sécurité en 2026

Le mot de passe seul, même complexe, n'est plus suffisant en 2026. Les bases de données de mots de passe volés (« leaks ») cumulent désormais plus de 15 milliards de combinaisons identifiant / mot de passe exposées (HaveIBeenPwned, COMB+, RockYou2024). Tout salarié qui utilise un mot de passe figurant dans ces bases est à risque immédiat de credential stuffing (essais automatisés sur tous les services en ligne). La parade : utiliser un gestionnaire de mots de passe (Bitwarden, 1Password, KeePass, Dashlane) générant des mots de passe uniques de 16+ caractères pour chaque service, et activer systématiquement le MFA (Multi-Factor Authentication) sur tout compte sensible.

La hiérarchie de sécurité du MFA en 2026, du moins sûr au plus sûr : SMS (vulnérable au SIM swapping, déprécié par le NIST depuis 2017 mais mieux que rien), TOTP (codes à 6 chiffres générés par une application type Google Authenticator, Authy, 1Password — bonne sécurité), FIDO2 / WebAuthn (clé physique YubiKey, Titan, ou intégrée à l'OS — résistante au phishing en temps réel), Passkey (FIDO2 stocké dans l'OS ou un gestionnaire de mots de passe, synchronisé entre appareils — meilleure expérience utilisateur et meilleure sécurité du marché en 2026). Pour vos comptes professionnels critiques (email, cloud d'entreprise, accès VPN), exiger au minimum un TOTP ou une Passkey est devenu un standard de fait.

Que faire après un incident : 72 heures pour notifier la CNIL

Quand l'incident se produit malgré toutes les précautions — et il finira par se produire — la rapidité de réaction conditionne entièrement l'ampleur des dégâts. La règle d'or : signaler immédiatement à la DSI, RSSI ou via l'outil de signalement interne (souvent un bouton dans le client mail), sans tenter de masquer l'incident. La majorité des sanctions CNIL et URSSAF retombent sur les entreprises qui ont caché ou tardé à notifier — pas sur celles qui ont été victimes de bonne foi et ont réagi rapidement.

Légalement, l'article 33 du RGPD impose une notification à la CNIL dans les 72 heures suivant la prise de connaissance d'une violation de données personnelles, sauf si la violation n'est pas susceptible d'engendrer un risque pour les personnes. Si le risque est élevé (atteinte à la vie privée, usurpation d'identité, conséquences financières), l'article 34 impose également d'informer les personnes concernées dans les meilleurs délais. NIS2 va plus loin en exigeant une alerte précoce à l'ANSSI dans les 24 heures, suivie d'un rapport plus détaillé sous 72 heures et d'un rapport final sous un mois. DORA impose 4 heures pour les incidents majeurs du secteur financier. Cette formation vous apprend à identifier ces délais, à savoir qui contacter, et comment documenter un incident pour faciliter l'enquête.

Cette sensibilisation : public, contenu, complémentarité

Cette formation gratuite de 5h30 répartie en 5 modules s'adresse à tous les collaborateurs d'une entreprise, du standardiste au dirigeant, en passant par les RH, comptables, commerciaux, techniciens et informaticiens. Elle est conçue pour servir de support de sensibilisation interne dans le cadre des obligations NIS2, DORA et RGPD, et peut être complétée par des formations plus techniques pour les profils IT (cf. notre formation DATA Maintenance — GMAO, IIoT, APM, cybersécurité OT pour les techniciens de maintenance, ou RGPD & Protection des données pour salariés pour la dimension protection des données personnelles).

Le parcours est entièrement gratuit, sans inscription, accessible 24/7 depuis tout navigateur. Il peut être suivi en autonomie, ou intégré à un plan de formation interne avec validation de connaissances via l'examen blanc final. Avertissement important : Travail-Industrie n'est pas un organisme de formation certifié Qualiopi cybersécurité ni habilité par l'ANSSI. Pour obtenir une certification professionnelle reconnue (CompTIA Security+, CISSP, CISM, CEH, ANSSI SecNumacadémie expert), il faut suivre un cursus auprès d'un organisme certifié, finançable via OPCO ou CPF.

Questions fréquentes

Cybersécurité utilisateur, NIS2, DORA, phishing, MFA

Non. Travail-Industrie n'est pas un organisme de formation certifié Qualiopi pour la cybersécurité ni un organisme habilité par l'ANSSI. Ce module est une sensibilisation théorique destinée à former les utilisateurs aux bonnes pratiques de cybersécurité dans le cadre des obligations NIS2, DORA et RGPD. Il ne remplace pas une certification professionnelle (CompTIA Security+, CISSP, CISM, ANSSI SecNumacadémie expert) ni une formation Qualiopi finançable par OPCO. Il peut en revanche servir de support à un plan de sensibilisation interne ou de pré-requis avant une formation certifiante.

Oui. La directive NIS2 (UE 2022/2555), transposée en droit français par la loi du 30 avril 2025, impose aux entités essentielles et importantes de mettre en place une formation à la cybersécurité de l'ensemble du personnel, y compris la direction. La sensibilisation au phishing, aux mots de passe et au MFA est explicitement mentionnée comme l'une des mesures minimales attendues.

L'ANSSI et le NIST recommandent en 2026 une longueur minimale de 12 caractères, avec une préférence pour les passphrases de 4-6 mots aléatoires (méthode Diceware), totalisant 20 caractères ou plus. Une passphrase de 20 caractères composée de mots du dictionnaire est mathématiquement plus résistante au craquage qu'un mot de passe de 10 caractères mêlant majuscules, minuscules, chiffres et symboles.

Oui. Le MFA par SMS reste mieux que pas de MFA du tout, mais il est vulnérable au SIM swapping (vol de carte SIM par ingénierie sociale), à l'interception SS7 et au phishing en temps réel. Hiérarchie 2026 : SMS < TOTP < FIDO2 / Passkey.

5 étapes en 5 minutes : (1) Ne pas paniquer, ne pas masquer. (2) Déconnecter immédiatement la machine du réseau. (3) Si identifiants saisis : changer le mot de passe et tous les comptes utilisant le même. (4) Signaler à la DSI / RSSI. (5) Documenter (capture, heure, actions).

72 heures après prise de connaissance (article 33 RGPD), sauf si la violation n'est pas susceptible d'engendrer un risque pour les personnes. Si risque élevé : information directe des personnes (article 34). Sanctions jusqu'à 10 M€ ou 2 % CA mondial.

NIS2 : ~15 000 entités françaises de 18 secteurs critiques, > 50 salariés ou > 10 M€ de CA. DORA : secteur financier (banques, assurances, fonds) et leurs prestataires IT critiques depuis le 17 janvier 2025. Plateforme MonEspaceNIS2 de l'ANSSI pour vérifier.

Variante ciblée du phishing visant à provoquer un virement frauduleux ou la divulgation de données sensibles (fraude au président, au fournisseur, au virement). 2,9 milliards $ de pertes mondiales en 2023 (FBI). En France, ~250 000 € par incident en moyenne selon l'ANSSI.