Sensibiliser à la sécurité de l’information : ancrer les bons réflexes pour protéger les actifs de l’entreprise.

Dans de nombreuses organisations, la sensibilisation à la sécurité de l'information et la cybersécurité est encore trop souvent confondue avec la formation. Pourtant, il s’agit de deux démarches complémentaires, mais fondamentalement différentes.

Sensibiliser, ce n’est pas former

Un plan de sensibilisation ne vise pas à transformer les collaborateurs en experts de la sécurité de l’information, mais à développer les bons réflexes et corriger les comportements à risque. Les collaborateurs n’ont pas besoin de connaître le jargon technique. Ce qu’ils veulent, c’est comprendre les risques qui peuvent impacter leur travail, leur mission ou leur vie privée, et savoir comment les éviter. Ils doivent aussi percevoir l’impact de leurs comportements — positif ou négatif — sur la sécurité globale de l’entreprise.

Une approche centrée sur l’humain

Une campagne de sensibilisation efficace se construit au plus près du quotidien des équipes. Elle doit prendre en compte la réalité du terrain, les contraintes de travail, les habitudes numériques et les outils utilisés. L’approche idéale est itérative et participative, basée sur l’écoute active et l’amélioration continue.

Les retours des collaborateurs servent à ajuster :

- le contenu (exemples concrets, scénarios réalistes) ;

- le format (présentiel, en ligne, webinaire, vidéo, affiches, quiz, événements) ;

- le langage et le ton (formel ou informel) ;

- la langue, le moment et même la durée de la communication de sensibilisation.

Organiser une campagne de sensibilisation : un vrai projet à piloter

Mettre en place une campagne de sensibilisation à la cybersécurité ne s’improvise pas. C’est un véritable projet à part entière, qui nécessite une gestion rigoureuse et structurée.

Au-delà de la conception des messages et du choix des supports, la réussite d’une telle initiative repose sur une approche complète du management de projet, intégrant la planification, le suivi des ressources, la communication et la gestion des risques.

Concrètement, cela signifie :

La gestion du périmètre : définir clairement les activités incluses dans la campagne ( création de modules e-learning, d’affiches, de quiz, d’animations ).

La gestion du planning : établir un planning précis avec des jalons clairs (conception, test pilote, lancement, évaluation).

La gestion des coûts : planifier et suivre le budget, en tenant compte des dépenses liées à la production de contenus, aux outils de diffusion ou à la communication interne.

La gestion de la qualité : s’assurer que les messages sont pertinents, validés par des experts, et mesurables à travers des indicateurs comme le taux de participation ou les résultats aux quiz.

La gestion des ressources : mobiliser les compétences nécessaires — chef de projet, expert cybersécurité, graphiste— et fournir les outils adaptés (LMS, outils de suivi, plateformes collaboratives).

La gestion des communications : garantir la cohérence et la clarté du message, en choisissant les bons canaux (intranet, mails, affichage, webinaires) et en maintenant un ton engageant.

La gestion des risques : anticiper les difficultés possibles, comme une faible participation ,le retard d’un fournisseur, et prévoir des actions correctives (relances, incentives, formats alternatifs).

La gestion des approvisionnements : sélectionner et coordonner les prestataires externes (agences de communication, concepteurs pédagogiques, fournisseurs de contenu et des solutions …).

La gestion des parties prenantes : impliquer les acteurs clés — direction, DSI, RH, managers — pour garantir l’adhésion et la légitimité du projet. Mettre en place une stratégie efficace pour gérer les différentes parties prenantes qui peuvent influencer positivement ou négativement l’atteinte des objectifs de la campagne de sensibilisation.

La gestion de l’intégration : assurer la cohérence de l’ensemble des actions et objectifs, par exemple en élaborant une charte de projet fixant une ambition mesurable (réduire les incidents de phishing de 30 %).

En combinant ces dix dimensions, une campagne de sensibilisation devient une démarche structurée, mesurable et durable, capable d’ancrer une véritable culture de sécurité au sein de l’organisation.

Quelques thématiques clés

• Culture et posture cyber : Comprendre les risques, reconnaître la valeur des données, adopter les bons réflexes.

• Menaces humaines et sociales : Identifier le phishing, les fraudes et les manipulations psychologiques.

• Authentification et mots de passe : Utiliser des mots de passe robustes, activer la MFA.

• Sécurité des équipements : Mettre à jour, verrouiller et sécuriser ses appareils.

• Sécurité des emails et de la navigation : Détecter les messages et sites frauduleux, protéger sa vie privée.

• Protection des données : Respecter la loi marocaine 09-08 ou le RGPD et prévenir les fuites d’informations.

• Réaction aux incidents : Reconnaître un incident et adopter les bons réflexes.

• Sécurité au travail : Utiliser les outils collaboratifs de façon responsable.

• Nouvelles menaces : Rester informé sur l’évolution des attaques (IA, deepfakes, ransomware…).

Ces thèmes peuvent être abordés sous forme de campagnes variées : événements présentiels, quiz, affiches, vidéos, jeux, simulations de phishing, etc.

Et la formation dans tout ça ?

La formation s’adresse principalement aux équipes en charge de la sécurité : gestion des risques et conformité, opérations de cybersécurité, gouvernance et pilotage, déploiement de solutions techniques. Ces formations peuvent être généralistes ou spécialisées, mais elles doivent toujours expliquer l'essence de chaque mesure de sécurité. Une mesure n’est réellement efficace que si elle est comprise et partagée.

En conclusion

La sensibilisation ne cherche pas à instruire, mais à faire comprendre, faire adhérer et faire agir. Elle s’appuie sur des messages simples, concrets et récurrents pour construire une culture de sécurité collective ou un pare-feu humain efficace.

« La cybersécurité n’est pas qu’une affaire d’outils ou de processus : c’est avant tout une affaire de comportements. »