Plan de sensibilisation cybersécurité sur 12 mois : calendrier et modèle
Modèle de plan de sensibilisation cybersécurité sur 12 mois pour PME. Calendrier mensuel, thèmes, fréquence des simulations de phishing et indicateurs de suivi.
Vous êtes responsable sécurité dans une PME. Vous savez que les formations ponctuelles ne fonctionnent pas. Vous avez peut-être déjà organisé un atelier, envoyé une note de sensibilisation, voire lancé une première simulation de phishing. Mais sans plan structuré, les effets s’évaporent en quelques semaines.
Ce guide vous donne un plan opérationnel complet sur 12 mois : un calendrier mois par mois, les thèmes à couvrir, la fréquence des simulations, les indicateurs à suivre, et la façon de reporter à votre direction. Pas de théorie générale. Un modèle prêt à exécuter.
Pourquoi un plan sur 12 mois
La formation cybersécurité ponctuelle a un défaut connu depuis le XIXe siècle : la courbe de l’oubli. Hermann Ebbinghaus a démontré que sans rappel, on oublie environ 50 % de ce qu’on vient d’apprendre en 24 heures, et 80 % en une semaine. Un module de sensibilisation suivi en janvier n’a pratiquement plus aucun effet en mars.
Le SANS Security Awareness Report 2025 le confirme avec des données terrain : les organisations qui se limitent à une formation annuelle voient leurs employés régresser à leurs comportements initiaux en 4 à 6 mois. Celles qui maintiennent un programme mensuel réduisent leur taux de clic en dessous de 5 % et y restent.
La continuité change tout. Les études de l’ENISA montrent que le changement durable de comportement nécessite entre 6 et 12 mois d’exposition répétée. La répétition espacée est plus efficace que l’immersion intensive unique.
Trois facteurs renforcent l’intérêt d’un plan structuré sur l’année.
Les obligations réglementaires exigent la continuité. L’article 20 de la directive NIS2 impose aux membres de la direction de suivre une formation régulière, et l’article 21.2.g rend obligatoire un programme de formation continue — pas une session annuelle. Un plan documenté sur 12 mois, avec ses simulations mensuelles et ses bilans trimestriels, est la réponse directe à cette exigence. L’ANSSI attend des preuves de continuité, pas un PowerPoint.
Les assureurs veulent des preuves documentées. Les questionnaires de souscription des principaux assureurs cyber français — Allianz, AXA, Hiscox, Chubb — posent désormais des questions précises sur la fréquence des simulations et l’existence d’un programme formalisé. Consulter notre page sur l’assurance cyber pour comprendre ce que les assureurs évaluent. Un programme ponctuel ne suffit plus.
Le changement de comportement prend du temps. Les données nophi.sh sur les programmes clients montrent que les entreprises atteignent en moyenne 80 % de leur amélioration totale entre le 6e et le 9e mois. Les trois premiers mois établissent la conscience du risque. Les six suivants ancrent les bons réflexes. Le dernier trimestre consolide et optimise. Raccourcir ce cycle, c’est renoncer à la majorité du bénéfice.
Mois 1 : la baseline
Avant de construire un programme, vous avez besoin d’un point de départ mesurable. Le mois 1 a un seul objectif : établir votre baseline.
Lancez une simulation sans prévenir. C’est la règle d’or de la baseline : si vous annoncez la simulation à l’avance, les résultats sont faussés. Vous mesurerez le comportement des employés quand ils sont sur leurs gardes, pas leur comportement réel. Utilisez un scénario de phishing classique — notification de mise à jour de compte, alerte de sécurité, réinitialisation de mot de passe — rien de trop sophistiqué. L’objectif est de mesurer le comportement naturel, pas de piéger les gens.
Les trois métriques à capturer :
- Taux de clic : pourcentage d’employés ayant cliqué sur le lien simulé. La référence sectorielle pour des entreprises sans programme de sensibilisation tourne entre 15 et 35 % selon le SANS Security Awareness Report 2025.
- Taux de signalement : pourcentage d’employés ayant signalé l’email comme suspect. Dans la plupart des organisations sans programme actif, ce taux est inférieur à 5 %. C’est le chiffre le plus révélateur : les gens qui ne cliquent pas ne signalent pas nécessairement.
- Temps médian de clic : combien de temps après la réception les employés cliquent-ils ? Un temps court (moins de 5 minutes) indique une réactivité impulsive. C’est le profil le plus risqué, car il indique un manque de réflexe de vérification.
Segmentez les résultats par département dès le départ. La comptabilité et les ressources humaines ont typiquement des taux de clic plus élevés que l’IT, car elles reçoivent plus d’emails légitimes demandant des actions urgentes (virements, relevés, contrats). Connaître cette distribution vous permettra de cibler les formations et de construire des scénarios pertinents.
Communiquez les résultats à la direction, pas aux employés. La baseline n’est pas un examen. Ne publiez pas les résultats en interne. Présentez-les à votre direction comme le point de départ d’un programme d’amélioration : « Voici où nous en sommes. Voici où nous serons dans 12 mois. »
Fixez vos objectifs pour la fin d’année à ce stade. Les objectifs réalistes pour un programme annuel bien conduit : taux de clic sous 5 %, taux de signalement au-dessus de 25 %, temps médian de clic allongé d’au moins 50 %.
Le calendrier mensuel
Ce calendrier couvre les 12 mois d’un programme complet. Pour chaque mois : le thème de la simulation, le type de scénario, le focus de la micro-formation, et les actions de reporting.
| Mois | Thème | Type de simulation | Formation associée | Action |
|---|---|---|---|---|
| M1 | Baseline | Phishing email générique | — | Mesure des KPI initiaux |
| M2 | Mots de passe et MFA | Fausse alerte de sécurité, réinitialisation de mot de passe | Bonnes pratiques mots de passe, activation MFA | Déploiement MFA si non fait |
| M3 | Fraude au président / BEC | Email usurpant la direction, demande de virement urgent | Reconnaître le BEC, vérification par téléphone | Procédure de double validation |
| M4 | Phishing par pièce jointe | Fausse facture PDF, faux contrat Word | Analyser les pièces jointes, extensions dangereuses | Revue des règles anti-spam |
| M5 | Bilan T1 + signalement | Exercice de signalement (email suspect connu) | Utiliser le bouton de signalement, procédure interne | Rapport T1 à la direction |
| M6 | Fraude au changement de RIB | Email usurpant un fournisseur, modification de coordonnées bancaires | Processus de vérification RIB, double validation fournisseur | Revue des procédures comptables |
| M7 | Phishing mobile / smishing | SMS simulé avec lien frauduleux | Reconnaître le smishing, réflexes mobile | Communication sur politique BYOD |
| M8 | Vigilance période estivale | Email ciblant les remplaçants, usurpation RH | Risques spécifiques aux remplaçants, accès temporaires | Briefing sécurité renforts estivaux |
| M9 | Bilan T2 + télétravail | Faux portail VPN, fausse notification Teams/Slack | Sécurité en télétravail, réseaux Wi-Fi publics | Rapport T2 + revue politique télétravail |
| M10 | QR code phishing (quishing) | Email avec QR code menant vers une fausse page | Reconnaître le quishing, vérifier les URL | Sensibilisation sur les nouveaux vecteurs |
| M11 | Phishing saisonnier | Fausse promotion Black Friday, fausse carte cadeau fin d’année | Méfiance envers les offres urgentes, vérification des expéditeurs | Alerte préventive avant Black Friday |
| M12 | Bilan annuel + plan N+1 | Simulation de récapitulatif (mise à jour logiciel, alerte sécurité) | Récapitulatif des bonnes pratiques de l’année | Rapport annuel + proposition budget N+1 |
Les mois clés en détail
Mois 3 — Fraude au président (BEC) : c’est le scénario le plus coûteux en entreprise. Le FBI estime les pertes mondiales liées au BEC à plus de 50 milliards de dollars cumulés depuis 2013. La simulation consiste à envoyer un email semblant venir d’un membre de la direction, demandant un virement urgent ou une action confidentielle. La formation qui suit doit insister sur un réflexe simple : toute demande financière ou sensible reçue par email, même d’un supérieur, se vérifie par un autre canal avant d’être exécutée.
Mois 6 — Fraude au changement de RIB : ce scénario cible spécifiquement les équipes comptabilité et finance. Un email usurpe un fournisseur connu et annonce un changement de coordonnées bancaires. La formation doit déboucher sur une procédure concrète : rappel du fournisseur sur le numéro connu (pas celui fourni dans l’email) avant tout changement de RIB. Cette procédure doit être formalisée dans vos processus comptables, pas seulement dans une formation.
Mois 8 — Période estivale : les remplaçants et les personnes en CDD sont statistiquement plus vulnérables au phishing. Ils connaissent moins les fournisseurs habituels, ont accès à des ressources sans en maîtriser toutes les règles, et hésitent à remettre en question une demande venant d’un supérieur. Ce mois doit inclure un briefing sécurité ciblé sur les nouvelles arrivées temporaires.
Mois 10 — Quishing : le quishing — phishing via QR code — a fortement progressé depuis 2024 car de nombreux filtres email ne scannent pas les QR codes. L’email semble banal (mise à jour de compte, accès à un document), mais le QR code dirige vers une page frauduleuse. Les employés n’ont pas encore les réflexes acquis pour les liens classiques. Ce mois est le bon moment pour introduire ce vecteur.
La fréquence idéale
La question de la fréquence est souvent celle que les responsables sécurité craignent le plus de se voir poser par leurs collègues. La réponse est la suivante.
Une simulation par mois, c’est le minimum. En dessous, l’effet pédagogique s’évapore entre les campagnes. Le SANS Security Awareness Report 2025 montre que les organisations qui simulent mensuellement réduisent leur taux de clic de 60 à 80 % en 12 mois. Celles qui simulent trimestriellement n’atteignent que 30 à 40 % d’amélioration sur la même période.
Deux simulations par mois, c’est le maximum recommandé. Au-delà, le risque de fatigue et de cynisme augmente. Les employés commencent à traiter chaque email inhabituel comme une simulation potentielle — ce qui n’est pas un bon réflexe dans la vie réelle, où les vrais emails de phishing côtoient les simulations. La vigilance doit être calibrée, pas maximum en permanence.
La difficulté doit progresser. Un scénario basique en mois 1, des scénarios sophistiqués (spear phishing nominatif, usurpation de fournisseur connu) en mois 10-11. Si vous maintenez le même niveau de difficulté tout au long de l’année, les employés s’adaptent au type de simulation mais pas au phishing réel, qui lui progresse.
Les bilans trimestriels rythment le programme. Mois 5, 9 et 12 sont des mois de bilan, non de campagne intensive. Le rapport T1 présenté à la direction au mois 5 montre les premières améliorations et justifie la poursuite du programme. Il doit contenir l’évolution du taux de clic, du taux de signalement, et les trois actions correctives prioritaires pour le trimestre suivant.
Les indicateurs à suivre
Un programme sans métriques est un programme sans pilotage. Voici les cinq indicateurs à suivre et à faire évoluer sur 12 mois.
Taux de clic : l’indicateur principal. Pourcentage d’employés ayant cliqué sur le lien ou ouvert la pièce jointe de la simulation. Objectif de fin d’année : sous 5 %. Ce chiffre est votre indicateur de vulnérabilité — plus il est bas, moins votre organisation est exposée au phishing réel.
Taux de signalement : le plus sous-estimé. Pourcentage d’employés ayant signalé l’email suspect via le canal officiel. C’est un indicateur de proactivité : un employé qui signale protège ses collègues. Objectif : dépasser 25 % en fin d’année, contre souvent moins de 5 % en baseline.
Temps médian de clic : mesure la vitesse de réaction. Les clics dans les cinq premières minutes indiquent un comportement impulsif. À mesure que le programme progresse, ce délai doit augmenter — signe que les employés prennent le temps de vérifier avant d’agir.
Taux de complétion des formations : pourcentage d’employés ayant suivi le module de micro-formation déclenché après un clic. Un taux inférieur à 70 % signale un problème de motivation ou de disponibilité. À adresser rapidement car la formation post-clic est le moment d’apprentissage le plus efficace.
Évolution par département : ne regardez pas seulement la moyenne globale. Le département avec le taux de clic le plus élevé en début d’année peut devenir le meilleur en fin d’année — ou rester en retard si ses cas d’usage spécifiques ne sont pas traités. Segmenter par département permet de cibler les actions correctives.
Pour aller plus loin sur la mesure et l’interprétation de ces indicateurs, consultez notre guide complet : mesurer l’efficacité de la sensibilisation.
Communiquer sans punir
La façon dont vous communiquez les résultats détermine en grande partie si vos employés jouent le jeu ou contournent les simulations.
La règle absolue : jamais de données nominatives en public. Nommer un employé qui a cliqué — même indirectement — transforme l’outil de formation en outil de surveillance. L’effet est immédiat et négatif : les employés cherchent à éviter d’être pris plutôt qu’à réellement améliorer leurs réflexes. Certains vont même s’entraider pour éviter de cliquer lors des simulations, ce qui fausse les résultats sans améliorer la sécurité réelle.
Communiquez sur les progrès collectifs. « En six mois, notre taux de clic est passé de 22 % à 7 %. Bravo à toute l’équipe. » Ce message est bien plus motivant qu’un tableau comparatif par département. La progression commune crée un sentiment d’appartenance et de fierté collective.
Utilisez les statistiques par département uniquement en mode positif. Vous pouvez féliciter le département qui a le meilleur taux de signalement. En revanche, ne publiez jamais le classement des départements les moins performants. Si un département a des difficultés persistantes, adressez-le en bilatéral avec le responsable, pas en réunion générale.
La gamification positive fonctionne. Créez des challenges internes : quel département atteindra 30 % de signalement en premier ? Une récompense symbolique suffit. L’objectif est de créer une dynamique sociale autour de la vigilance, pas de surveiller les performances individuelles.
Retour positif après un signalement. Tout employé qui signale un email suspect doit recevoir un retour immédiat. Un message automatique bref suffit. L’absence de retour réduit les signalements futurs.
Adapter aux obligations réglementaires
Un programme de sensibilisation bien documenté sur 12 mois est une preuve de conformité sur plusieurs fronts simultanément.
NIS2 — Articles 20 et 21 : l’article 21.2.f (évaluation de l’efficacité) est directement couvert par vos rapports de simulation trimestriels. L’article 21.2.g (formation et cyber-hygiène) est couvert par vos modules de micro-formation mensuels. L’article 20 (formation de la direction) est couvert si votre bilan trimestriel est présenté aux dirigeants et si ceux-ci participent eux-mêmes à une simulation annuelle. Votre plan sur 12 mois génère automatiquement la documentation que l’ANSSI demandera lors d’un contrôle.
DORA — Pour le secteur financier : le règlement DORA, applicable depuis janvier 2025 aux entités financières de l’UE, impose des tests réguliers de résilience opérationnelle. Les simulations de phishing mensuel, combinées à des bilans documentés, répondent aux exigences de l’article 26 sur les tests de résilience numérique. Pour les banques, assureurs et gestionnaires d’actifs concernés, le programme de sensibilisation fait partie du périmètre DORA, pas seulement de NIS2.
ISO 27001 — Clause 7.3 : la clause 7.3 de l’ISO 27001 exige que les personnes travaillant sous le contrôle de l’organisation « aient conscience » des politiques de sécurité et des implications de leur non-respect. La clause A.6.3 (sensibilisation, éducation et formation à la sécurité de l’information) exige des formations régulières. Un programme de 12 simulations annuelles avec des modules de formation documentés constitue une preuve directe pour l’auditeur de certification.
Assurance cyber — Renouvellement annuel : les questionnaires de souscription et de renouvellement des polices cyber demandent de plus en plus souvent : « Réalisez-vous des simulations de phishing ? À quelle fréquence ? Disposez-vous de rapports documentés ? » Un programme annuel avec 12 rapports de campagne, 4 bilans trimestriels et un rapport annuel de clôture répond à ces questions avec des preuves concrètes. Certains assureurs accordent des remises de 10 à 20 % sur la prime en échange d’un programme documenté actif.
Sur 12 mois, votre programme génère automatiquement : 12 rapports de campagne, 4 bilans trimestriels, 1 rapport annuel, les taux de complétion des formations et la preuve de participation de la direction. Ce dossier est présentable à un auditeur ANSSI, un certificateur ISO ou un assureur.
Questions fréquentes
Un programme de sensibilisation sur 12 mois n’est pas un projet informatique. C’est un programme de changement de comportement à l’échelle de votre organisation. Les résultats ne sont pas immédiats, mais ils sont mesurables, durables, et documentés — trois qualités que ni un filtre email ni un antivirus ne peuvent offrir.
La première étape concrète : vérifiez si votre infrastructure email peut être usurpée par un attaquant avant même de lancer votre première simulation. Notre test de sécurité email gratuit vous donne le résultat en 30 secondes. Puis lancez votre baseline dans les 30 jours qui suivent.
Démarrer l’essai gratuit de 14 jours — baseline de phishing, calendrier pré-configuré sur 12 mois, rapports de conformité NIS2 inclus.