5.2 Sensibilisation et formation (PR.AT)
Objectif de la catégorie
Cette catégorie garantit que tous les personnels de l’organisation sont conscients des enjeux cybersécurité, et que ceux ayant des responsabilités spécifiques sont formés de manière adaptée.
Tip
Un employé sensibilisé est souvent le premier pare-feu d’une organisation.
PR.AT-01 : Sensibilisation générale du personnel
- Formation initiale à la cybersécurité à l’arrivée
- Rappels réguliers :
- Campagnes e-learning
- Affichages, newsletters, vidéos
- Sujets recommandés :
- Phishing / social engineering
- Mots de passe
- Sécurité en télétravail
- Utilisation des outils de l’entreprise
Example
Organisation d’une semaine cybersécurité annuelle avec quiz, jeux, démonstrations pratiques.
PR.AT-02 : Formation ciblée pour les fonctions critiques
-
Profil concerné : administrateurs, développeurs, métiers sensibles (finance, RH, juridique…), responsables IT
-
Formation spécialisée :
- Développement sécurisé
- Gestion des accès privilégiés
- Droit du numérique, conformité (RGPD, DORA…)
- Analyse de logs, gestion des incidents
-
Formation obligatoire pour les tiers ayant accès aux systèmes critiques (infogérance, prestataires cloud, etc.)
Suivi et évaluation
- Enregistrement des formations suivies
- Évaluation post-formation (quizz, mise en situation)
- Indicateurs à suivre :
- Taux de couverture des populations
- Taux de réussite
- Progression annuelle
Intégration dans les processus RH
- Mention dans les fiches de poste, politique de sécurité
- Intégrée au plan de formation annuel
- Obligatoire pour la validation de la période d’essai (pour certains profils critiques)
Synthèse opérationnelle
| Élément | Bonnes pratiques |
|---|---|
| Sensibilisation | À l’embauche + campagne annuelle |
| Ciblage des profils | Développeurs, admin, finance, etc. |
| Suivi | Registre des formations + KPI |
| Évaluation | Quizz + tests de reconnaissance de phishing |
| Tiers externes | Formation SSI obligatoire par contrat |