Cyber-hygiène et formation (Article 21 §2 NIS2) — Défendre la première ligne face aux menaces modernes

Ce que dit l'article 21 §2 — texte de la mesure et intention

L'article 21, paragraphe 2, point (g) de la directive NIS2 impose aux entités essentielles et importantes de mettre en œuvre « les pratiques de base en matière de cyber-hygiène et la formation à la cybersécurité ». Cette mesure reconnaît que le facteur humain reste la première vulnérabilité des systèmes d'information.

La directive articule cette exigence avec les responsabilités de gouvernance : l'article 20 prévoit que les membres des organes de direction sont tenus de suivre une formation et sont encouragés à offrir régulièrement une formation similaire aux membres de leur personnel afin que ceux-ci acquièrent des connaissances et des compétences suffisantes pour déterminer les risques et évaluer les pratiques de gestion des risques en matière de cybersécurité.

L'objectif est double : réduire la surface d'attaque liée aux comportements à risque et transformer les collaborateurs en détecteurs actifs de menaces. L'article 21 ne prescrit pas une obligation ponctuelle, mais un processus d'amélioration continue, qui doit intégrer les évolutions de la menace, les retours d'expérience et l'adaptation des profils de risques propres à chaque fonction.

Référentiels et standards qui s'articulent

Guide d'hygiène informatique de l'ANSSI

Le guide d'hygiène de l'ANSSI propose 42 mesures concrètes pour protéger efficacement les systèmes d'information. Selon le guide, les formations doivent être régulières, adaptées aux différents profils métiers, et accessibles aux collaborateurs non techniques ; elles doivent au minimum aborder les objectifs et les enjeux de sécurité de l'entité, la protection des informations sensibles, les réglementations en vigueur (RGPD, NIS2…).

Le guide ANSSI, publié en 2013 et régulièrement actualisé, constitue un socle pratique et pragmatique pour les organisations françaises, notamment les PME et ETI. Il s'articule parfaitement avec les exigences ISO 27001 : ses 42 mesures couvrent de nombreux contrôles de l'annexe A du standard, facilitant ainsi le processus de conformité ISO 27001.

ISO 27001:2022 et ISO 27002:2022

La norme ISO 27001:2022 impose, dans sa clause 7.2, que le personnel de l'organisation dispose de la compétence nécessaire pour assurer la sécurité de l'information. ISO 27002:2022, complémentaire de l'ISO 27001, fournit des lignes directrices détaillées permettant d'identifier, de sélectionner et de mettre en œuvre des mesures de sécurité adaptées aux risques réels.

Les formations doivent être planifiées en fonction des rôles, répétées régulièrement (au minimum mensuellement selon certaines recommandations) et couvrir les collaborateurs permanents, les nouveaux arrivants ainsi que les tiers et sous-traitants. Le contenu doit être actualisé en fonction de l'évolution de la menace et des incidents internes ou externes.

NIST Cybersecurity Framework 2.0

Le NIST CSF 2.0, publié en février 2024, structure la cybersécurité autour de six fonctions principales : Govern, Identify, Protect, Detect, Respond et Recover ; Govern pose les fondations stratégiques, Protect traite des mesures de protection spécifiques, et Detect repère les anomalies.

Le NIST CSF 2.0 recommande de fournir une sensibilisation et une formation de base aux collaborateurs afin qu'ils reconnaissent les tentatives d'ingénierie sociale et autres attaques courantes, signalent les attaques et activités suspectes, respectent les politiques d'utilisation acceptable et accomplissent les tâches de base en cyber-hygiène (correctifs logiciels, choix de mots de passe, protection des identifiants). Le cadre encourage les évaluations périodiques et des rafraîchissements annuels.

Référentiel Cyber France (ReCyF)

Le ReCyF, publié par l'ANSSI en mars 2026, traduit les dix mesures de l'article 21 NIS2 en vingt objectifs de sécurité pour le contexte français. Selon le ReCyF, l'alignement avec NIS2 facilite les contrôles et la démonstration de conformité. Le référentiel détaille les obligations pour entités essentielles et importantes, intégrant la proportionnalité selon le niveau de risque.

Mise en œuvre opérationnelle — étapes concrètes pour une entité régulée

Étape 1 : Réaliser un diagnostic de maturité

Avant de structurer un programme de formation, il faut mesurer le niveau actuel de sensibilisation et de compétences. Réalisez des tests de phishing simulé, des questionnaires de connaissance et des audits comportementaux pour identifier les lacunes. Selon l'ANSSI, des programmes courts et réguliers augmentent significativement l'efficacité des actions de sensibilisation.

Étape 2 : Définir une politique de formation continue

Élaborez une politique documentée qui précise :

• Les publics cibles (direction, utilisateurs métiers, administrateurs SI, sous-traitants)
• Les objectifs pédagogiques par rôle
• Les méthodes pédagogiques (e-learning, ateliers, simulations, campagnes de phishing)
• La fréquence minimale (au moins annuelle pour la formation générale, trimestrielle pour les campagnes de phishing simulé)
• Les modalités d'évaluation et de suivi

L'article 21 impose des formations continues et des programmes de sensibilisation ; la formation doit permettre au personnel de contribuer effectivement à l'analyse des risques, à la gestion des incidents, à la continuité des activités et à la sécurité de la chaîne d'approvisionnement.

Étape 3 : Adapter le contenu aux menaces réelles

Les trois types de cyber-attaques les plus courantes sont le phishing (73 % des entreprises concernées), l'exploitation d'une faille (53 %) et l'arnaque au président (38 %) ; 43 % des organisations françaises ont subi au moins une cyber-attaque réussie au cours de l'année écoulée.

Les modules de formation doivent aborder :

• La reconnaissance des tentatives de phishing, spear-phishing, smishing et vishing
• Les bonnes pratiques de gestion des mots de passe et l'authentification multifactorielle
• La détection de l'ingénierie sociale et des deepfakes générés par IA
• La gestion des appareils personnels et des accès distants
• Les procédures de signalement d'incidents
• Le respect des politiques internes (classification des données, chiffrement, usage de Shadow IT)

Le facteur humain reste impliqué dans environ 60 % des brèches selon le DBIR 2025 (erreurs, manipulation, abus) ; 46 % des attaques exploitent des erreurs humaines.

Étape 4 : Déployer des campagnes de phishing simulé

Les simulations permettent de mesurer la vulnérabilité réelle de l'organisation et de sensibiliser en situation quasi-réelle. Les employés à distance cliquent sur des e-mails malveillants trois fois plus souvent que ceux travaillant au bureau. Menez des campagnes régulières, variées (e-mail, SMS, QR code), et adaptées aux scénarios observés dans votre secteur.

Étape 5 : Former les dirigeants et les rôles clés

L'article 20 établit que les membres des organes de direction doivent approuver les mesures de gestion des risques de cybersécurité et peuvent être tenus responsables de toute violation des obligations ; les conseils d'administration et comités de direction doivent désormais approuver formellement les mesures de sensibilisation et en surveiller la mise en œuvre.

Prévoyez des sessions spécifiques pour les COMEX, CODIR et responsables de BU : enjeux juridiques (responsabilité personnelle), exemples d'attaques ciblées (BEC, arnaque au président), obligations de gouvernance, pilotage de la cybersécurité au niveau stratégique.

Étape 6 : Mesurer l'efficacité et piloter l'amélioration continue

Mettez en place des indicateurs de performance (KPI) :

• Taux de participation aux formations obligatoires
• Taux de clic sur phishing simulé (objectif < 5 % après 6 mois)
• Nombre de signalements d'incidents par le personnel
• Temps moyen de détection d'une tentative de phishing signalée par un utilisateur

Organisez des revues trimestrielles pour ajuster le contenu en fonction de l'évolution de la menace et des retours terrain. L'article 21 impose des formations « continues » et des programmes « appropriés », ce qui établit des obligations de continuité temporelle, d'adaptation contextuelle, de mesure d'efficacité et de supervision par la direction.

Prestataires ANSSI à mobiliser pour cette mesure

PACS – Prestataire d'Accompagnement et de Conseil en Sécurité

Un PACS peut accompagner l'organisation dans la définition de la politique de formation, la cartographie des compétences, le choix des plateformes de e-learning et l'animation d'ateliers de sensibilisation sur mesure. Il intervient également pour auditer l'efficacité du dispositif et proposer des améliorations continues.

Lien interne : prestataires PACS

PASSI – Prestataire d'Audit de la Sécurité des Systèmes d'Information

Le PASSI peut intégrer à son audit de conformité NIS2 une évaluation du programme de formation et de sensibilisation : existence de la politique, traçabilité des formations déployées, analyse des résultats de phishing simulé, adéquation des contenus aux profils de risque, suivi des compétences. Cette évaluation s'inscrit dans la mesure 6 (« évaluation de l'efficacité des mesures de gestion des risques »).

Lien interne : prestataires PASSI

PDIS et PRIS – Détection et Réponse aux Incidents

Le PDIS (Prestataire de Détection des Incidents de Sécurité) et le PRIS (Prestataire de Réponse aux Incidents de Sécurité) bénéficient directement d'un personnel formé. Un collaborateur capable de détecter et de signaler une tentative de compromission réduit le temps moyen de détection (MTTD). Inversement, les retours des PDIS/PRIS (tentatives de phishing bloquées, modus operandi observés) enrichissent le contenu des formations.

Liens internes : prestataires PDIS, prestataires PRIS

Outils techniques recommandés

Plateformes de Security Awareness Training (SAT)

Des plateformes spécialisées permettent de déployer, gérer et suivre des campagnes de formation et de phishing simulé à grande échelle. Elles proposent des contenus multilingues, des modules adaptés aux rôles, des tableaux de bord de suivi, et s'intègrent avec les annuaires d'entreprise (Active Directory, Azure AD).

Exemples de catégories : plateformes SaaS de sensibilisation, modules e-learning interactifs, simulateurs de phishing, serious games et escape games cyber.

Outils de gestion de campagnes de phishing simulé

Ces outils permettent de créer des scénarios d'hameçonnage réalistes (email, SMS, QR code), d'envoyer des campagnes ciblées, de mesurer le taux de clic et le taux de signalement, et d'automatiser la formation juste-à-temps (micro-learning déclenché après un clic).

LMS – Learning Management Systems

Un LMS permet de centraliser l'ensemble des parcours pédagogiques, de suivre les complétion rates, de gérer les prérequis et les certifications internes, et de produire les preuves de conformité exigées par les auditeurs (traçabilité des formations obligatoires).

SIEM et plateformes de gestion des incidents

Un SIEM (Security Information and Event Management) peut être paramétré pour remonter et corréler les signalements d'utilisateurs (par exemple via un bouton de signalement intégré au client de messagerie). Cela transforme les collaborateurs formés en capteurs humains intégrés au dispositif de détection.

Tableau de bord de pilotage (KPI cyber)

Construisez un tableau de bord consolidant les métriques clés : taux de participation, taux de clic phishing simulé, nombre de signalements par trimestre, temps moyen entre détection et signalement. Partagez ces indicateurs en COMEX pour ancrer la culture de sécurité au plus haut niveau.

Cas d'incidents documentés — où l'absence/défaillance de cette mesure a aggravé l'impact

Cyberattaque du CHU de Brest (mars 2023)

Le RSSI du CHU de Brest témoigne de la cyberattaque de mars 2023 ; le 9 mars à 20h49, l'ANSSI appelle pour signaler qu'une adresse IP du CHU a potentiellement des connexions frauduleuses avec un attaquant ; la coupure d'internet pour un centre hospitalier est une décision grave (plus de géolocalisation des ambulances pour le SAMU par exemple), et à 1h du matin une communication aux équipes de nuit a été réalisée afin de préciser qu'il s'agit d'une cyberattaque qui va prendre du temps. Les retours d'expérience de ce type d'incident soulignent que la formation des équipes de nuit, des services critiques et des cadres à la reconnaissance des signaux faibles et aux procédures de crise est déterminante pour limiter la propagation.

Attaque Okta via un partenaire sous-traitant (2022)

Le groupe Lapsus$ a orchestré une attaque contre Okta en accédant au portail de modification des accès des clients après avoir volé des mails et mené une campagne de phishing ; à la base, on retrouve un VPN mal configuré et une intrusion sur l'ordinateur d'un employé de Sitel, partenaire d'Okta ; il y a eu plusieurs problèmes majeurs, dont le manque de communication de la part de Sitel et un problème d'audit de la part d'Okta sur Sitel, ce qui montre qu'il est nécessaire d'auditer régulièrement ses sous-traitants. Ce cas illustre l'importance d'étendre la formation et les exigences de cyber-hygiène aux prestataires et fournisseurs directs.

Augmentation des attaques BEC et deepfakes générées par IA

Les attaques ciblées contre des dirigeants, comme les attaques BEC, ont augmenté de 17 % entre 2021 et 2023 en France. Les modèles d'IA générative ont permis de créer des campagnes de phishing ultra-ciblées, adaptant les messages aux comportements des victimes ; les deepfakes, basés sur l'IA, ont été utilisés pour usurper l'identité de cadres dirigeants, facilitant les fraudes au président et autres escroqueries financières. L'absence de formation spécifique sur la détection des deepfakes et des arnaques au président augmente drastiquement le risque de pertes financières importantes.

Cas général : les chiffres de l'erreur humaine

90 % des cyberattaques sont dues à une erreur humaine. Un tiers des adultes ont effectué au moins une action risquée en 2022, c'est-à-dire un clic sur un lien inconnu dans un e-mail ; 44 % des adultes pensent qu'un e-mail avec une marque familière est sûr, alors que ce sont les marques les plus usurpées par les cybercriminels. Ces statistiques démontrent que l'absence de sensibilisation régulière et adaptée transforme chaque collaborateur en porte d'entrée potentielle pour les attaquants.

Sanctions et risques en cas de non-conformité

Sanctions administratives prévues par NIS2

L'article 34 de la directive NIS2 prévoit une amende pouvant atteindre 10 millions d'euros ou 2 % du chiffre d'affaires mondial pour les entités essentielles en cas de manquement grave aux obligations de l'article 21. Les entités importantes encourent des sanctions proportionnées mais potentiellement significatives (jusqu'à 7 millions d'euros ou 1,4 % du chiffre d'affaires annuel mondial).

Responsabilité personnelle des dirigeants

L'article 20 établit que les membres des organes de direction peuvent être tenus responsables de toute violation des obligations. La directive NIS2 place la formation à la cybersécurité comme une obligation légale pour les « entités essentielles et importantes », rendant les dirigeants personnellement responsables en cas de négligence avérée dans la sensibilisation des équipes. Cette responsabilité peut se traduire par des interdictions temporaires d'exercer des fonctions de direction, des amendes personnelles ou la publication d'une déclaration nominative en cas d'incident significatif.

Sanctions RGPD connexes

Lorsqu'une violation de données découle d'un défaut de formation (par exemple : clic sur phishing entraînant une exfiltration de données personnelles), la CNIL peut sanctionner l'organisation au titre du RGPD. En 2024, la CNIL a reçu 5 629 violations de données recensées ; en moyenne, la CNIL a reçu près de 15 notifications de cyberattaque par jour. Le défaut de mesures organisationnelles, incluant la formation, peut être qualifié de manquement à l'obligation de sécurité de l'article 32 du RGPD.

Risques opérationnels et financiers

Au-delà des amendes, les conséquences d'une attaque réussie par manque de formation peuvent être dramatiques. Le coût total d'une cyberattaque réussie est estimé à 58 600 € pour l'entreprise ou l'organisme public qui l'a subie ; 61 % des entreprises concernées par une cyber-attaque déclarent avoir subi des conséquences commerciales : baisse de la production, retard de livraison, etc.

L'absence d'un programme de formation structuré et documenté constitue une non-conformité facilement détectable par les autorités de contrôle. L'article 23 de NIS2 établit que les autorités compétentes peuvent exiger que des informations soient fournies et procéder à des inspections sur place ; les organisations doivent être en mesure de produire rapidement les preuves de conformité. Cela inclut : politique de formation, registres de participation, résultats de tests de sensibilisation, plans d'amélioration continue.

---

Liens internes :

• Mesure 1 : Analyse de risques et sécurité SI
• Mesure 2 : Gestion des incidents
• Mesure 3 : Continuité d'activité
• Mesure 4 : Sécurité de la chaîne d'approvisionnement
• Mesure 6 : Évaluation de l'efficacité
• Mesure 10 : MFA et communications sécurisées
• Secteur santé : santé
• Secteur finance : secteur bancaire

Liens externes :

• Directive NIS2 (EUR-Lex)
• MonEspaceNIS2 – ANSSI
• Guide d'hygiène informatique – ANSSI
• NIST Cybersecurity Framework 2.0
• ISO/IEC 27001:2022