Formation de sensibilisation à la cybersécurité qui change réellement les comportements

janvier 28, 2026 | By kyle@algocog.ai | Cybersécurité

L’histoire du taux de clic que peu d’entreprises aiment partager

De nombreuses entreprises affirment avec fierté que leurs employés ont suivi une formation de sensibilisation à la cybersécurité. Les vidéos ont été regardées, les politiques signées, les attestations complétées. Pourtant, les taux de clic sur les courriels d’hameçonnage dépassent encore souvent les 20 %.

Les employés ont fait ce qui était demandé, et ils cliquent quand même.

Le problème n’est pas le manque de sensibilisation. C’est l’absence de changement de comportement. Une formation qui réduit réellement les incidents mise sur la répétition, la pertinence et le renforcement dans le temps. Pour les PME de Montréal, le succès se mesure simplement : moins de clics à risque et un signalement plus rapide lorsqu’un message semble suspect.

C’est précisément l’objectif des services de cybersécurité pour PME offerts par AET Solutions.

Concevoir un programme qui modifie les comportements

Les programmes de sensibilisation efficaces n’ont rien à voir avec les formations annuelles traditionnelles. Les longues séances une fois par année surchargent les employés et sont rapidement oubliées. Les programmes qui fonctionnent reposent plutôt sur un rythme constant de courtes formations diffusées tout au long de l’année.

Les modules de micro-apprentissage de cinq à huit minutes, centrés sur un seul scénario réaliste, donnent de bien meilleurs résultats que les longues vidéos génériques. Offrir le contenu en français et en anglais réduit les frictions et améliore l’adhésion, tandis que l’utilisation d’exemples concrets liés aux outils utilisés au quotidien — comme Microsoft 365, les plateformes comptables ou les outils de partage de fichiers — rend la formation crédible et utile.

Lorsque cette approche est intégrée à un environnement bien structuré, par exemple à l’aide de services TI gérés, le changement de comportement est beaucoup plus durable.

Simulations d’hameçonnage et indicateurs qui comptent vraiment

De nombreuses organisations se limitent à mesurer qui a cliqué sur un courriel d’hameçonnage. Ce chiffre, pris isolément, apporte peu de valeur. Les indicateurs réellement utiles permettent de suivre l’évolution du comportement dans le temps.

Parmi les mesures clés : la tendance globale du taux de clic, le pourcentage d’employés qui signalent les messages suspects, le délai avant le premier signalement à l’équipe TI et la présence de clics répétés chez les mêmes utilisateurs. Le succès ne signifie pas l’élimination complète des clics, mais une détection plus rapide et une diminution constante des comportements à risque.

Un centre de support TI réactif est essentiel pour recevoir rapidement les signalements et intervenir avant que l’incident ne prenne de l’ampleur.

L’implication des gestionnaires fait toute la différence

La sensibilisation progresse beaucoup plus rapidement lorsque les gestionnaires s’impliquent activement. Lorsque les dirigeants participent aux mêmes simulations que leurs équipes et discutent ouvertement des résultats, le message est clair : la cybersécurité est une responsabilité partagée.

Les programmes efficaces valorisent les équipes qui signalent rapidement les courriels suspects, accompagnent les employés qui cliquent à répétition de façon confidentielle plutôt que de les exposer publiquement, et intègrent les comportements de sécurité dans les discussions régulières de performance. Cette approche s’inscrit naturellement dans une stratégie globale de gestion du risque cyber.

Renforcer les politiques là où elles comptent vraiment

Une formation efficace doit renforcer des politiques concrètes et applicables, et non des menaces abstraites. Les employés doivent comprendre clairement les attentes concernant l’utilisation des gestionnaires de mots de passe et des mots de passe uniques, l’authentification multifacteur obligatoire pour les courriels et l’accès à distance, l’usage des appareils personnels et des clés USB, ainsi que les étapes exactes à suivre pour signaler une activité suspecte.

Ces politiques sont beaucoup plus faciles à appliquer lorsqu’elles sont soutenues par des outils et des processus mis en place via des services TI structurés.

Exemple de programme de sensibilisation sur 90 jours

Un déploiement structuré et progressif produit de bien meilleurs résultats qu’une formation ponctuelle.

Au cours du premier mois, l’accent est mis sur les bases de l’hameçonnage. Une simulation initiale combinée à un court module de formation permet d’établir des points de référence pour les taux de clic et de signalement.

Le deuxième mois vise le vol d’identifiants, avec des simulations ciblées destinées à réduire les clics répétés et à renforcer les bonnes pratiques.

Le troisième mois se concentre sur la fraude par courriel d’entreprise, à l’aide de simulations imitant des communications de direction et d’exercices de signalement pour accélérer l’escalade et la réponse.

Ce type de démarche est généralement documenté dans les ressources et guides pratiques d’AET Solutions afin d’assurer un suivi clair.

Foire aux questions

À quelle fréquence la formation de sensibilisation doit-elle être offerte ?
Des formations mensuelles de courte durée, combinées à des revues trimestrielles, entraînent un changement de comportement plus durable que des formations annuelles.

Les simulations d’hameçonnage sont-elles risquées ?
Lorsqu’elles sont bien conçues, les simulations sont sécuritaires, contrôlées et essentielles pour mesurer les comportements réels sans exposer l’entreprise à des risques.

Ce type de formation est-il adapté aux PME ?
Oui. Les PME sont souvent ciblées précisément parce que la formation est inexistante ou incohérente.

Prochaine étape : projet pilote et diagnostic initial

AET Solutions propose un projet pilote de formation en sensibilisation à la cybersécurité destiné aux PME de Montréal. Celui-ci inclut des simulations d’hameçonnage de référence et un programme structuré de 90 jours.

👉 Demandez un diagnostic de départ pour évaluer votre niveau de risque actuel et constater rapidement l’évolution des comportements au sein de votre équipe.