Formation Cybersécurité
Phishing · Mots de passe · MFA
La sensibilisation cybersécurité utilisateur la plus complète du web français. Conforme NIS2, DORA, RGPD : reconnaître un phishing, sécuriser ses mots de passe avec un gestionnaire et le MFA, protéger son poste de travail, et savoir réagir à un incident. Pour tous les collaborateurs, du standardiste au dirigeant.
Sensibilisation théorique, sans certification professionnelle
Travail-Industrie n'est pas un organisme certifié Qualiopi cybersécurité ni habilité par l'ANSSI. Ce module est une sensibilisation pour utilisateurs (« collaborateur sensibilisé », pas « professionnel cyber »). Il vous permet de comprendre les enjeux NIS2, DORA, RGPD et d'adopter les bons réflexes au quotidien, mais ne remplace pas une certification professionnelle type CISSP, CISM, CompTIA Security+ ou un cursus ANSSI SecNumacadémie. Il peut en revanche servir de support de sensibilisation interne ou de pré-requis avant une formation certifiante OPCO.
Conforme NIS2 / DORA
Cadre réglementaire 2025-2026 : NIS2 (UE 2022/2555), DORA (UE 2022/2554), RGPD article 32.
≈ 5 h 30
5 modules progressifs : cadre, phishing, mots de passe, poste de travail, incident.
Référentiels ANSSI
SecNumacadémie, guide d'hygiène informatique ANSSI, NIST SP 800-63B, CNIL.
Programme de la sensibilisation cybersécurité
5 modules pour faire de chaque collaborateur un maillon fort de la chaîne de sécurité
Cadre réglementaire & enjeux cybersécurité 2026
NIS2, DORA, RGPD, panorama des menaces 2026, et le facteur humain : pourquoi la cybersécurité concerne chaque salarié.
- NIS2, DORA, RGPD : le cadre réglementaire qui s'impose à toutes les entreprises
- Panorama des menaces 2026 : ransomware, phishing, BEC, supply chain
- Le facteur humain : pourquoi 80 % des incidents commencent par un clic
- Quiz du Module 1
Phishing et ingénierie sociale
Reconnaître un phishing en 5 secondes, comprendre les variantes (spear, BEC, vishing, smishing) et les leviers psychologiques de l'ingénierie sociale.
- Anatomie d'un phishing : 7 signaux d'alerte à reconnaître en 5 secondes
- Spear phishing, BEC, vishing, smishing : les variantes ciblées qui coûtent cher
- Ingénierie sociale : les 6 leviers psychologiques exploités par les attaquants
- Quiz du Module 2
Mots de passe robustes et authentification multi-facteurs (MFA)
Construire des mots de passe / passphrases résistants, utiliser un gestionnaire, activer le MFA et comprendre la hiérarchie SMS / TOTP / FIDO2 / Passkey.
- Mot de passe robuste, passphrase, temps de craquage : la science derrière la pratique
- Gestionnaires de mots de passe : Bitwarden, 1Password, KeePass, comment choisir
- MFA / 2FA : SMS, TOTP, FIDO2, Passkey — la hiérarchie de sécurité
- Quiz du Module 3
Sécurité quotidienne au poste de travail
Verrouillage, chiffrement, sauvegardes 3-2-1, Wi-Fi public, VPN, BYOD, télétravail : les bons réflexes au quotidien.
- Verrouillage de session, chiffrement, règle 3-2-1 des sauvegardes
- Wi-Fi public, VPN, déplacement professionnel : la sécurité en mobilité
- BYOD, télétravail, données pro vs perso : le bon partitionnement
- Quiz du Module 4
Incident, signalement et responsabilités
Que faire après un clic suspect, comment signaler en interne, à la CNIL et au CERT-FR, et qui est responsable de quoi dans l'organisation.
- J'ai cliqué : les 5 minutes pour agir et limiter la casse
- Signalement interne, CERT-FR, CNIL : les bons réflexes et les délais
- Responsabilités : salarié, employeur, DPO, RSSI, fournisseurs
- Quiz du Module 5
Prêt pour l'examen blanc ?
Après les 5 modules, validez votre maîtrise théorique avec un examen blanc de 25 questions couvrant phishing, mots de passe, MFA, sécurité poste de travail et conduite à tenir en cas d'incident.
Accéder à l'examenCybersécurité utilisateur : pourquoi former tous les salariés est devenu obligatoire en 2026
NIS2, DORA, RGPD : trois textes qui changent la donne pour les entreprises françaises
Depuis l'entrée en application de la directive NIS2 (UE 2022/2555) en octobre 2024, transposée en droit français par la loi du 30 avril 2025, la formation à la cybersécurité de l'ensemble du personnel est légalement obligatoire pour environ 15 000 entités françaises classées « essentielles » ou « importantes » — contre seulement 500 sous l'ancien régime NIS1. Cette directive couvre 18 secteurs critiques : énergie, transports, santé, eau potable et eaux usées, infrastructures numériques, services TIC, administration publique, espace, services postaux, gestion des déchets, fabrication/distribution d'aliments, industrie chimique, recherche, fournisseurs de services numériques (cloud, places de marché, moteurs de recherche), entreprises de plus de 50 salariés ou réalisant plus de 10 M€ de chiffre d'affaires.
À cela s'ajoute le règlement DORA (Digital Operational Resilience Act, UE 2022/2554), applicable depuis le 17 janvier 2025 à l'ensemble du secteur financier européen : banques, assurances, sociétés de gestion, fonds, et leurs prestataires informatiques critiques (CSP — Critical Service Providers). DORA impose des exigences strictes en matière de gestion des risques TIC, de tests de résilience opérationnelle (TLPT — Threat-Led Penetration Testing), de notification d'incidents majeurs sous 4 heures, et de formation des collaborateurs. Le RGPD, quant à lui, impose depuis 2018 (article 32) que toute entreprise traitant des données personnelles mette en place des « mesures techniques et organisationnelles appropriées », ce qui inclut la formation de tous les collaborateurs susceptibles d'accéder à ces données.
Les sanctions sont dissuasives : jusqu'à 10 millions d'euros ou 2 % du chiffre d'affaires annuel mondial pour NIS2, idem pour le RGPD, et des amendes encore plus lourdes pour DORA (jusqu'à 1 % du CA quotidien jusqu'à mise en conformité). Ces montants ne sont plus théoriques : la CNIL a prononcé en 2024 plusieurs sanctions de plus de 50 millions d'euros contre des entreprises ayant insuffisamment formé leurs équipes au phishing et à la gestion des incidents.
Le facteur humain : 80 à 95 % des cyberattaques commencent par un email
Selon les rapports annuels de l'ANSSI, du CERT-FR, de Verizon (Data Breach Investigations Report) et du FBI (Internet Crime Report 2024), 80 à 95 % des cyberattaques réussies en entreprise commencent par une action humaine : un clic sur un lien de phishing, l'ouverture d'une pièce jointe piégée, le renseignement d'identifiants sur un faux site, la communication d'informations confidentielles par téléphone à un attaquant. Aucun firewall, aucun antivirus, aucun EDR (Endpoint Detection and Response) ne peut compenser entièrement la défaillance humaine — d'où l'importance critique de la sensibilisation.
Plus précisément, le phishing (envoi massif d'emails frauduleux) et ses variantes ciblées (spear phishing visant une personne précise, BEC / Business Email Compromise visant les comptables ou dirigeants, vishing par téléphone, smishing par SMS) représentent à eux seuls plus de 70 % des points d'entrée des incidents. Les identifiants compromis (mots de passe faibles, réutilisés ou volés) sont en deuxième position. Les vulnérabilités techniques non corrigées, souvent perçues comme la principale menace, n'arrivent qu'en troisième position des causes initiales d'incidents — preuve que la défense périmétrique technique ne suffit plus dans un monde où l'attaquant cible directement l'utilisateur.
Phishing : pourquoi reconnaître les signaux d'alerte est devenu une compétence vitale
Un email de phishing moderne est de plus en plus sophistiqué : utilisation d'IA générative (ChatGPT-like) pour produire un français impeccable, logos parfaitement reproduits, noms de domaine quasi-identiques aux légitimes (homoglyphes, « rn » au lieu de « m »), urgence artificielle pour pousser à l'action immédiate, exploitation d'événements d'actualité (élections, scandales, livraisons attendues, fiches de paie, notes de frais). Pourtant, malgré cette sophistication, 7 signaux d'alerte récurrents permettent d'identifier la quasi-totalité des phishings : expéditeur suspect ou usurpé, urgence inhabituelle, demande d'identifiants ou de virement, pièce jointe inattendue (.zip, .exe, .docm), liens dont l'URL réelle diffère du texte affiché, fautes ou tournures inhabituelles, et — le plus important — toute demande sortant du cadre habituel des échanges. Cette formation vous apprendra à appliquer ces 7 contrôles en moins de 5 secondes.
Mots de passe et MFA : la hiérarchie de sécurité en 2026
Le mot de passe seul, même complexe, n'est plus suffisant en 2026. Les bases de données de mots de passe volés (« leaks ») cumulent désormais plus de 15 milliards de combinaisons identifiant / mot de passe exposées (HaveIBeenPwned, COMB+, RockYou2024). Tout salarié qui utilise un mot de passe figurant dans ces bases est à risque immédiat de credential stuffing (essais automatisés sur tous les services en ligne). La parade : utiliser un gestionnaire de mots de passe (Bitwarden, 1Password, KeePass, Dashlane) générant des mots de passe uniques de 16+ caractères pour chaque service, et activer systématiquement le MFA (Multi-Factor Authentication) sur tout compte sensible.
La hiérarchie de sécurité du MFA en 2026, du moins sûr au plus sûr : SMS (vulnérable au SIM swapping, déprécié par le NIST depuis 2017 mais mieux que rien), TOTP (codes à 6 chiffres générés par une application type Google Authenticator, Authy, 1Password — bonne sécurité), FIDO2 / WebAuthn (clé physique YubiKey, Titan, ou intégrée à l'OS — résistante au phishing en temps réel), Passkey (FIDO2 stocké dans l'OS ou un gestionnaire de mots de passe, synchronisé entre appareils — meilleure expérience utilisateur et meilleure sécurité du marché en 2026). Pour vos comptes professionnels critiques (email, cloud d'entreprise, accès VPN), exiger au minimum un TOTP ou une Passkey est devenu un standard de fait.
Que faire après un incident : 72 heures pour notifier la CNIL
Quand l'incident se produit malgré toutes les précautions — et il finira par se produire — la rapidité de réaction conditionne entièrement l'ampleur des dégâts. La règle d'or : signaler immédiatement à la DSI, RSSI ou via l'outil de signalement interne (souvent un bouton dans le client mail), sans tenter de masquer l'incident. La majorité des sanctions CNIL et URSSAF retombent sur les entreprises qui ont caché ou tardé à notifier — pas sur celles qui ont été victimes de bonne foi et ont réagi rapidement.
Légalement, l'article 33 du RGPD impose une notification à la CNIL dans les 72 heures suivant la prise de connaissance d'une violation de données personnelles, sauf si la violation n'est pas susceptible d'engendrer un risque pour les personnes. Si le risque est élevé (atteinte à la vie privée, usurpation d'identité, conséquences financières), l'article 34 impose également d'informer les personnes concernées dans les meilleurs délais. NIS2 va plus loin en exigeant une alerte précoce à l'ANSSI dans les 24 heures, suivie d'un rapport plus détaillé sous 72 heures et d'un rapport final sous un mois. DORA impose 4 heures pour les incidents majeurs du secteur financier. Cette formation vous apprend à identifier ces délais, à savoir qui contacter, et comment documenter un incident pour faciliter l'enquête.
Cette sensibilisation : public, contenu, complémentarité
Cette formation gratuite de 5h30 répartie en 5 modules s'adresse à tous les collaborateurs d'une entreprise, du standardiste au dirigeant, en passant par les RH, comptables, commerciaux, techniciens et informaticiens. Elle est conçue pour servir de support de sensibilisation interne dans le cadre des obligations NIS2, DORA et RGPD, et peut être complétée par des formations plus techniques pour les profils IT (cf. notre formation DATA Maintenance — GMAO, IIoT, APM, cybersécurité OT pour les techniciens de maintenance, ou RGPD & Protection des données pour salariés pour la dimension protection des données personnelles).
Le parcours est entièrement gratuit, sans inscription, accessible 24/7 depuis tout navigateur. Il peut être suivi en autonomie, ou intégré à un plan de formation interne avec validation de connaissances via l'examen blanc final. Avertissement important : Travail-Industrie n'est pas un organisme de formation certifié Qualiopi cybersécurité ni habilité par l'ANSSI. Pour obtenir une certification professionnelle reconnue (CompTIA Security+, CISSP, CISM, CEH, ANSSI SecNumacadémie expert), il faut suivre un cursus auprès d'un organisme certifié, finançable via OPCO ou CPF.
Questions fréquentes
Cybersécurité utilisateur, NIS2, DORA, phishing, MFA