Skip to content
Retour aux guides
Guide

Onboarding cybersécurité : intégrer la sécurité dès l'arrivée

Comment construire un programme d'onboarding cybersécurité pour les nouveaux employés : checklist première semaine, programme progressif Jour 1 / Semaine 1 / Mois 1, première simulation de phishing pour les nouveaux arrivants, et kit de bienvenue cybersécurité prêt à utiliser.

Thomas Ferreira 12 min de lecture

Un responsable IT d’une PME de 120 personnes reçoit un appel de son service comptable. Une nouvelle collaboratrice a transféré 14 000 euros vers un IBAN inconnu après avoir reçu un email semblant venir du directeur général. Elle était en poste depuis trois semaines. L’onboarding avait couvert les outils métier, la prise en main du CRM, et la visite des locaux. La cybersécurité était prévue pour le prochain module de formation — dans deux mois.

Ce scénario se rejoue chaque semaine dans des entreprises françaises. L’onboarding est organisé, soigné sur les aspects métier, et quasiment vide sur la sécurité. Pourtant, les premières semaines d’un employé constituent la période de vulnérabilité maximale face aux attaques par phishing.

Ce guide vous donne un programme concret : checklist de la première semaine, structure Jour 1 / Semaine 1 / Mois 1, protocole pour la première simulation, et modèles de kit de bienvenue. Rien de théorique — des éléments utilisables directement.

Pourquoi l’onboarding est le moment de vulnérabilité maximale

Les études sur le comportement des nouveaux employés face aux attaques par email convergent sur un constat : un employé dans ses 90 premiers jours clique trois fois plus souvent sur un email de phishing qu’un employé installé depuis plus d’un an. Trois facteurs expliquent ce chiffre.

Ils ne connaissent pas encore leurs collègues. Un email semblant venir du directeur financier ou d’un fournisseur habituel est difficile à évaluer quand on n’a pas encore les habitudes de communication en tête. Un email suspect saute aux yeux d’un employé expérimenté. Pour un nouvel arrivant, il ressemble aux dizaines d’autres emails qu’il reçoit pour la première fois.

Ils ne connaissent pas les procédures internes. Une demande de virement urgente, une demande de réinitialisation de mot de passe d’un service interne inconnu — un employé en poste sait que ces démarches ne passent pas par email. Un nouvel arrivant présume que c’est peut-être ainsi que l’entreprise fonctionne.

Ils veulent faire bonne impression. La pression de répondre vite, de ne pas retarder un processus — c’est le carburant de l’ingénierie sociale. Les attaquants construisent des scénarios à urgence artificielle : “le DG a besoin de ça avant la réunion”, “validez votre accès avant 17h”. Face à cette pression, le réflexe de vérification n’est pas encore ancré.

Ces trois facteurs combinés font des nouveaux arrivants une cible de choix. Les attaques par spear phishing ciblant les nouveaux employés ont progressé de 40 % entre 2023 et 2025 selon les données de l’ANSSI (cyber.gouv.fr). Les cybercriminels consultent LinkedIn et les pages “Notre équipe” pour identifier les arrivées récentes et personnaliser leurs messages.

La checklist cybersécurité onboarding : 10 points à couvrir en première semaine

Cette checklist est conçue pour être partagée entre les RH et l’IT. Chaque point a un responsable et une date limite.

1. Activation du MFA sur tous les comptes sensibles — Jour 1 Messagerie, VPN, outils métier. Le MFA réduit de 99 % le risque de compromission de compte par vol d’identifiants. C’est la mesure avec le meilleur rapport protection/effort.

2. Configuration du gestionnaire de mots de passe — Jour 1 Remettez l’outil de l’entreprise, montrez comment créer des mots de passe forts sur chaque service. Règle à retenir : un service, un mot de passe unique.

3. Signature de la charte informatique — Jour 1 La charte informatique est le document de référence juridique et comportemental. La faire signer le premier jour — pas en fin de période d’essai — donne une base opposable dès l’entrée en poste.

4. Présentation du canal de signalement des emails suspects — Jour 1 Adresse spécifique, bouton dans le client mail, ou formulaire interne. Si l’employé ne sait pas comment signaler, il ne signalera pas.

5. Remise du kit de bienvenue cybersécurité — Jour 1 ou Jour 2 Email avec les contacts IT de sécurité, numéro d’urgence, et fiche de réflexes rapides (voir section Template). Un support physique sur le bureau est plus efficace qu’un email que personne ne retrouve.

6. Formation de sensibilisation initiale — Semaine 1 (J2 à J5) Session de 20 à 30 minutes. Contenus minimum : reconnaître un email de phishing (exemples concrets), que faire face à une demande urgente et inhabituelle, comment contacter l’IT.

7. Règles de mots de passe et verrouillage de session — Semaine 1 Longueur minimum, politique de renouvellement, verrouillage automatique du poste. Un poste laissé déverrouillé dans un open space est une surface d’attaque réelle.

8. Bases de la sécurité des emails — Semaine 1 Identifier l’adresse réelle de l’expéditeur (pas le nom affiché), vérifier un lien avant de cliquer, se méfier des pièces jointes non sollicitées même d’une source apparemment connue.

9. Procédures de validation des demandes sensibles — Semaine 1 Ce qui ne se demande jamais par email : virements, modifications de coordonnées bancaires, partage d’identifiants. Une règle claire sur les procédures légitimes protège contre la fraude au président.

10. Règles de confidentialité et traitement des données — Semaine 1 Ce qui peut être transmis par email, ce qui ne peut pas. Pour les postes manipulant des données personnelles ou financières, ce point mérite une attention particulière.

Jour 1, Semaine 1, Mois 1 : le programme progressif

L’onboarding cybersécurité ne s’improvise pas le matin du premier jour. Il doit être planifié et intégré au parcours d’intégration global. Voici la structure en trois temps.

Jour 1 : les fondamentaux non négociables

Le premier jour est dense. L’objectif n’est pas de former — c’est de sécuriser. Quatre actions concrètes, dans cet ordre :

  1. Accès et authentification : création du compte, activation du MFA, remise du gestionnaire de mots de passe. L’IT configure, le nouvel employé active. Durée : 30 minutes maximum.
  2. Documents de référence : signature de la charte informatique, remise du kit de bienvenue. Ne pas se contenter d’envoyer un email — passer cinq minutes pour expliquer les points clés de la charte.
  3. Contacts de sécurité : qui appeler en cas de doute, comment signaler un email suspect, et le numéro d’urgence en cas d’incident avéré. Trois informations, mémorisables en deux minutes.
  4. Règle de base : “En cas de doute, ne cliquez pas et appelez l’IT.” Une règle simple, mémorable, et couvrant 90 % des situations à risque.

Semaine 1 : la formation initiale

Entre le Jour 2 et le Jour 5, organisez une session de sensibilisation de 20 à 30 minutes. Pas plus : l’attention est déjà mobilisée par une dizaine d’autres apprentissages. Concentrez-vous sur trois thèmes :

Les attaques les plus probables selon le poste. Pour un comptable : fraude au virement et au changement de RIB. Pour un responsable RH : usurpation de la direction pour obtenir des données employés, ou fausses notifications de logiciel RH. Pour un commercial : faux portail client, fausse notification CRM. La personnalisation par rôle rend la formation concrète et mémorable.

Les réflexes à ancrer. Un seul principe simple suffit pour couvrir la majorité des cas : toute demande urgente et inhabituelle se vérifie par un autre canal avant d’être exécutée. Peu importe l’expéditeur apparent, peu importe l’urgence annoncée.

La démonstration pratique. Montrez un vrai email de phishing (exemple anonymisé) et demandez au nouvel employé d’identifier les signaux d’alerte. L’apprentissage par l’exemple est plus efficace que la description abstraite.

Mois 1 : consolidation et intégration

La fin du premier mois marque la transition de l’onboarding vers le programme standard.

Entre la Semaine 4 et la Semaine 6 : lancez la première simulation de phishing personnalisée (voir section suivante).

À la fin du Mois 1 : vérifiez que les fondamentaux sont en place via un contrôle IT rapide. MFA actif sur tous les comptes ? Gestionnaire de mots de passe utilisé ? Charte signée dans le dossier RH ?

Dès le Mois 2 : le nouvel arrivant rejoint le programme mensuel de simulation et de sensibilisation de l’entreprise. L’onboarding sécurité n’est pas une étape isolée — c’est l’entrée dans un programme continu.

La première simulation de phishing : quand et comment la mener pour les nouveaux arrivants

La première simulation pour un nouvel employé est un moment pédagogique fort. Bien conçue, elle consolide les réflexes vus en formation. Mal conçue ou trop précoce, elle décourage sans enseigner.

Quand lancer la première simulation

Pas avant la Semaine 3. Dans les deux premières semaines, le nouvel employé ne connaît pas encore les communications habituelles. Une simulation trop tôt mesure la désorientation, pas la vigilance.

La fenêtre idéale : Semaine 4 à Semaine 6. Le nouvel arrivant reconnaît les expéditeurs internes, comprend les procédures, et a suivi la formation initiale — encore fraîche, mais les réflexes pas encore ancrés. C’est le moment d’impact maximal.

Pas plus tard que le Mois 2. Un employé jamais simulé pendant six mois peut développer une fausse confiance difficile à corriger.

Comment personnaliser le scénario

Pour la première simulation d’un nouvel arrivant, un scénario adapté au poste est plus formateur qu’un email générique.

Équipes financières et comptables : fausse notification d’outil de paiement, email usurpant un fournisseur avec changement d’IBAN, demande urgente semblant venir de la direction.

Équipes RH : fausse notification d’un logiciel RH, demande de confirmation de coordonnées pour la paie, usurpation d’un organisme social.

Équipes commerciales : fausse notification CRM, faux email d’un client important demandant une action urgente.

Tous profils : email usurpant un outil interne (messagerie, Teams, Slack) avec demande de réauthentification.

Comment exploiter le résultat pédagogiquement

Que le nouvel employé clique ou non, la simulation a une valeur pédagogique.

S’il clique : la page de débrief qui s’affiche immédiatement après le clic est le moment d’apprentissage le plus efficace. Montrez les signaux d’alerte que le message contenait, rappelez le réflexe à adopter, et proposez un court module de rappel. Ne signalez pas l’incident à sa hiérarchie — c’est une formation, pas une évaluation.

S’il ne clique pas : envoyez-lui un message positif de l’IT. “Tu as bien réagi face à cet email de test — voici ce que tu aurais pu faire si tu avais un doute.” Renforcer le bon comportement par un retour positif ancre le réflexe.

S’il signale l’email : c’est le meilleur résultat possible. Remerciez-le explicitement. Ce comportement — signaler plutôt que simplement ne pas cliquer — est celui que vous cherchez à développer dans toute l’organisation.

Intégration avec votre charte informatique

La charte informatique et l’onboarding cybersécurité ne fonctionnent bien qu’ensemble.

La charte informatique pose le cadre légal : règles d’utilisation des systèmes, obligations de signalement, et base légale des simulations de phishing. Sans elle, un employé qui conteste une simulation peut arguer qu’il n’avait pas été informé.

L’onboarding traduit la charte en comportements concrets. Signer un document de plusieurs pages sans explication pratique n’ancre pas les réflexes. La session de sensibilisation de la Semaine 1 doit faire le lien entre les règles et les situations réelles que le salarié rencontrera.

Trois points de la charte méritent une explication orale pendant l’onboarding :

L’obligation de signalement — pas seulement la règle théorique, mais le canal concret et ce qui se passe après.

La mention des simulations de phishing — la charte doit indiquer que l’entreprise peut procéder à des tests de sécurité. L’onboarding est le moment d’expliquer ce que cela signifie concrètement, sans donner le calendrier.

Les procédures de validation des demandes sensibles — virements, modifications de coordonnées, partages d’accès. Ces règles doivent être connues dès le premier mois.

Si votre charte ne mentionne pas encore ces points, consultez le guide rédiger votre charte informatique avant de lancer votre programme d’onboarding.

Template : le kit de bienvenue cybersécurité

Ce kit comprend trois éléments complémentaires. Adaptez-les à votre contexte, à vos outils, et à votre charte graphique.

Email de bienvenue cybersécurité (à envoyer le Jour 1)

Objet : Bienvenue — vos repères de sécurité informatique

Bonjour [Prénom],

Bienvenue dans l’équipe. Pour démarrer dans les meilleures conditions, voici les informations de sécurité informatique à avoir en tête dès aujourd’hui.

Contacts de sécurité

  • Support IT : [adresse email] — [numéro de téléphone]
  • Signaler un email suspect : [adresse de signalement ou procédure]
  • Urgence incident cyber : [numéro d’astreinte si applicable]

Les 3 réflexes à retenir

  1. En cas de doute sur un email, ne cliquez pas — signalez via [canal de signalement]
  2. Toute demande urgente et inhabituelle (virement, données personnelles, accès) se vérifie par téléphone avant d’être exécutée
  3. Verrouillez votre session quand vous quittez votre poste (Windows + L, ou paramètre de verrouillage automatique)

Ce que nous ferons ensemble Dans les prochains jours, nous organiserons une session de 30 minutes sur les bases de la sécurité email — exemples concrets, procédures internes, et ce à quoi ressemblent les vraies tentatives de phishing que nous recevons.

À très vite, [Nom du responsable IT/sécurité]

Fiche de réflexes rapides (format A5, à plastifier pour le bureau)

SÉCURITÉ EMAIL — LES RÉFLEXES CLÉS

Avant de cliquer sur un lien → L’expéditeur est-il celui qu’il prétend être ? Vérifiez l’adresse complète, pas le nom affiché → Attendiez-vous cet email ? Une demande non sollicitée mérite une vérification → Le lien mène-t-il là où il dit mener ? Survolez avant de cliquer

Si vous avez un doute → Ne cliquez pas, ne répondez pas → Signalez via [canal de signalement] → Appelez l’IT : [numéro]

Ces demandes n’arrivent jamais par email chez nous → Virements ou modifications d’IBAN → Partage de mots de passe → Demandes urgentes de la direction sans vérification préalable

En cas d’incident → Déconnectez immédiatement de la session concernée → N’éteignez pas le poste → Appelez l’IT maintenant : [numéro]

Récapitulatif une page (pour le dossier d’onboarding)

CYBERSÉCURITÉ — CE QUE VOUS DEVEZ SAVOIR EN ARRIVANT

Vos accès sont protégés par le MFA L’authentification à deux facteurs (MFA) est activée sur votre messagerie et vos accès sensibles. Si vous ne l’avez pas encore configuré, contactez l’IT aujourd’hui.

Votre gestionnaire de mots de passe [Nom de l’outil] est disponible sur [lien ou localisation]. Utilisez-le pour créer un mot de passe unique sur chaque service. Réutiliser un mot de passe professionnel sur un site personnel est l’une des causes les plus fréquentes de compromission de compte.

Les simulations de phishing font partie de la formation Vous recevrez périodiquement des emails de test. Si vous cliquez sur un lien de test, une page d’information s’affichera. Ce n’est pas une sanction — c’est une formation. Signaler un email de test est le meilleur résultat possible.

La charte informatique que vous avez signée explique les règles Si vous avez une question sur ce qui est autorisé ou non, référez-vous à la charte ou posez la question à l’IT. Il n’y a pas de question stupide en matière de sécurité.

Votre vigilance protège tout le monde Un clic sur un email frauduleux peut affecter des données clients, des comptes partenaires, ou les systèmes de toute l’équipe. La sécurité n’est pas l’affaire exclusive de l’IT — c’est un réflexe collectif.

Pour aller plus loin sur la mise en place d’un programme de sensibilisation qui s’inscrit dans la durée après l’onboarding, consultez notre guide sur le plan de sensibilisation cybersécurité sur 12 mois.

Questions fréquentes

Ce guide vous donne les bases pour transformer l’onboarding en premier rempart contre le phishing, plutôt qu’en fenêtre d’exposition. Les 30 à 90 premiers jours d’un employé sont une période à risque élevé. Traiter la cybersécurité comme une étape administrative à cocher en fin de parcours, c’est laisser cette fenêtre ouverte.

La première étape pratique : vérifiez si votre infrastructure email peut elle-même être usurpée par un attaquant cherchant à cibler vos nouveaux arrivants. Notre outil de test de sécurité email donne le résultat en 30 secondes — SPF, DKIM, DMARC vérifiés sans installation.

Démarrer l’essai gratuit de 14 jours — onboarding cybersécurité intégré, simulations pour les nouveaux arrivants, programme mensuel pour toute l’équipe.