🎓Sensibilisation
Programme de sensibilisation cybersécurité : campagnes de phishing simulé, modules e-learning, formations en présentiel pour devs et non-tech. Mesurable, progressif, sans culpabilisation.
Le contexte
En 2026, le Verizon DBIR rapporte que 82 % des breaches impliquent un facteur humain : phishing, ingénierie sociale, credentials compromis, ou erreur de configuration. Et pourtant, beaucoup d'entreprises traitent la sécurité comme un problème purement technique. Pare-feu, MFA, antivirus. Sans former les gens qui les utilisent.
Le problème : la sécurité enseignée traditionnellement est ennuyeuse, paternaliste, et inefficace. Vidéo annuelle de 45 minutes regardée en accéléré, quiz qu'on rate pour de rire, retour à la routine 24h plus tard. Le taux de clic sur phishing ne baisse jamais sous 15 % avec ces approches — alors qu'il devrait être < 3 %.
Notre approche : programme continu et mesurable. Campagnes de phishing simulé mensuelles avec scénarios réalistes et évolutifs. Modules e-learning courts (3-5 min), gamifiés, ciblés par profil (dev, marketing, RH, dirigeants). Formations présentielles pour les sujets critiques (secure dev, gestion d'incident). Pas de culpabilisation — les personnes qui cliquent reçoivent un debrief constructif, pas un blâme. Résultat mesuré : taux de clic divisé par 5 en 6 mois.
82%
Breaches impliquant l'humain
Verizon DBIR 2025 — phishing, ingénierie sociale, credentials
5×
Réduction clic phishing
Taux de clic divisé par 5 après 6 mois de programme actif
3-5 min
Module e-learning
Format court adapté aux emplois du temps, gamifié
0
Culpabilisation
Approche constructive — debrief, pas blâme, pour les clics phishing
Ce qu'on propose
Du phishing simulé pour la masse à la formation secure dev pour les techs, on couvre tous les profils.
Campagnes mensuelles ciblées.
Emails de phishing simulés envoyés tous les mois avec scénarios évolutifs (urgence facture, faux Microsoft 365, lien Dropbox compromis, deepfake direction). Mesure du taux de clic, identification des profils à risque. Debrief constructif pour ceux qui cliquent.
20 modules courts gamifiés.
Bibliothèque de modules e-learning de 3-5 min chacun : phishing, mots de passe, MFA, sécurité mobile, ingénierie sociale, RGPD, télétravail, sécurité physique. Accès par SSO, suivi de progression, certificats individuels.
Pour les développeurs.
Formation OWASP Top 10 par exemples concrets dans le langage de l'équipe. Injection SQL/NoSQL, XSS, CSRF, désérialisation, IDOR, SSRF. Atelier pratique avec exercices CTF. Sensibilisation aux dépendances vulnérables (CVE).
Au-delà du phishing email.
Sensibilisation aux attaques téléphoniques (vishing), SMS (smishing), chat (Slack/Teams), même en personne (tailgating). Cas concrets récents. Atelier de simulation avec scénarios joués. Formation des managers et IT.
Cibles privilégiées des attaques.
Programme dédié aux dirigeants : whaling, fraude au président, deepfakes voix/vidéo, voyages à risque. Format individuel ou petit groupe. Confidentiel. Focus sur les risques spécifiques au rôle exécutif.
Pour les non-tech qui traitent du PII.
Formation RGPD pour RH, commerciaux, support, marketing : ce qu'on a le droit de faire avec les données, comment répondre à une demande utilisateur, comment gérer un email de prospection. Cas pratiques, pas théorie.
Notre approche
On démarre par mesurer le niveau actuel, on déploie progressivement, on mesure les progrès en continu.
Première campagne de phishing simulé sans préparation pour mesurer le taux de clic actuel. Cartographie des populations (devs, marketing, RH, dirigeants). Identification des sujets prioritaires selon le secteur et les risques métier.
Mise en place de la plateforme e-learning (KnowBe4, SoSafe, Hoxhunt, ou solution custom). Upload des modules. Création des parcours par profil. Communication interne pour annoncer le programme. Onboarding des équipes RH et IT.
Campagnes mensuelles de phishing simulé avec scénarios évolutifs. Formations présentielles pour les sujets critiques (secure dev, dirigeants). Modules e-learning poussés mensuellement. Debriefs personnalisés pour les profils à risque.
Point trimestriel : analyse des métriques (clic phishing, complétion e-learning, scores quiz), identification des profils en progression et ceux qui stagnent, ajustement des scénarios et formations. Reporting au COMEX.
Plateformes & outils
Combinaison de plateformes premium et d'outils open-source selon le budget.
Plateformes Awareness premium
KnowBe4 · SoSafe · Hoxhunt · Proofpoint · Cofense
KnowBe4 leader US (énorme catalogue contenus). SoSafe européen RGPD-friendly. Hoxhunt très efficace côté engagement. Proofpoint pour les enterprise déjà équipées.
Phishing simulé open-source
Gophish · King Phisher · SET · Phishery
Gophish standard open-source mature. King Phisher plus complet. SET (Social Engineering Toolkit) pour scénarios avancés. Phishery pour les attaques HTTP basic auth.
Contenu e-learning
Articulate Rise · Genially · Powtoon · Loom
Articulate Rise pour les modules sérieux et professionnels. Genially pour le côté interactif et gamifié. Powtoon pour les vidéos courtes. Loom pour les vidéos personnelles rapides.
Secure dev training
Secure Code Warrior · HackEDU · TryHackMe · OWASP Top 10
Secure Code Warrior très efficace pour les devs (CTF interne). HackEDU pour les parcours guidés. TryHackMe pour la pratique offensive. OWASP gratuit pour le contenu de référence.
Quiz & gamification
Quizizz · Kahoot · Mentimeter · Typeform
Kahoot pour les sessions en groupe (effet jeu). Quizizz pour l'autoévaluation. Mentimeter pour les questions interactives en formation. Typeform pour les évaluations finales.
Mesure & reporting
Custom dashboards · Looker · Notion · Tableau
Dashboards centralisés des métriques sécurité (clic phishing, complétion, scores). Looker pour le BI sérieux. Notion pour les présentations COMEX simples. Tableau si déjà en place.
Garanties chiffrées
5×
Baisse clic phishing
Taux de clic divisé par 5 sur 6 mois de programme actif. Si non atteint, on prolonge sans facturer.
100%
Modules accessibles
Tous les modules e-learning disponibles dans la langue de chaque collaborateur. FR/EN obligatoires.
0
Culpabilisation
Approche constructive. Les clics sur phishing donnent lieu à un debrief pédagogique, pas un blâme RH.
< 5 min
Module unitaire
Format court adapté à un emploi du temps chargé. Pas de vidéo de 45 min imbuvable.
Tarification
Plutôt que des forfaits abstraits, on cadre selon ton contexte : périmètre, complexité, délais, contraintes. Tu nous écris en 3 phrases ce que tu veux faire — on te revient avec un devis ferme sous 48h ouvrées.
Réponse sous 48 h ouvrées Demander un devis →Ton mail est prêt 🚀
On a ouvert ton client mail avec toutes les infos pré-remplies. Appuie sur Envoyer et l'équipe te répond sous 24h ouvrées.
