Que se passe-t-il quand les collaborateurs ne suivent pas la formation à la sécurité ? Trois voies parallèles : risque accru d'incident, responsabilité possible pour l'organisation et le conseil, conséquences directes pour le collaborateur quand la formation est ancrée dans la politique et les conditions de travail. En 2026 ce n'est plus théorique. Quelles conséquences sont réelles, lesquelles disproportionnées, et comment les gérer ?
Conséquence 1 : risque d'incident accru
Qui ne connaît pas le phishing moderne clique plus tôt. Qui ne connaît pas l'AitM saisit le code MFA sur un faux site. Qui ne connaît pas la voie de signalement cache une erreur au lieu de la signaler.
Touche au-delà du seul sauteur : un clic en finance peut conduire à un vol de mot de passe, un changement de RIB fournisseur, une perte à cinq chiffres.
« Pour vous-même » ne convainc pas. « Pour votre équipe et vos clients » convainc.
Conséquence 2 : responsabilité pour l'organisation et le conseil
Les autorités examinent le programme après un incident. Sans programme démontrable : risque d'amende administrative en plus des dommages.
Cbw article 24 : responsabilité personnelle du conseil. Depuis l'entrée en vigueur échelonnée 2024-2025, des dossiers se préparent.
RGPD : absence de sensibilisation comme circonstance aggravante.
Conséquence 3 : conséquences pour le collaborateur
Trois schémas :
- Restriction d'accès tant que la base n'est pas terminée.
- Pas un négatif d'évaluation, mais point de réflexion en développement.
- Mesure droit du travail en cas de refus persistant ; rare et évaluation juridique requise.
Ce qui ne fonctionne pas
Naming and shaming : résistance sans changement.
Re-formation forcée après clic : détruit la culture de signalement.
Retenue de salaire/bonus : généralement disproportionnée.
Affichage public des clics : nocif et juridiquement problématique.
Ce qui fonctionne
Trois couches :
La plupart (90 %) : rappel avec explication, délais raisonnables, escalade automatique à la hiérarchie.
Rôles/systèmes spécifiques : restriction d'accès à certaines applis.
Conseil Cbw art. 24 : obligation ferme avec dossier.
Rendre visible ce qui marche : féliciter une équipe au fort taux de signalement.
Comment ancrer cela dans un programme de sensibilisation
Modèle de conséquences explicite dans politique et communication.
AUP et politique de formation : nommer les conséquences.
Onboarding : lier la base au déblocage d'applis.
Conseil : enregistrement séparé Cbw art. 24.
Visibilité continue plutôt que bilan annuel.
Découvrez comment 2LRN4 traduit ce sujet en un programme opérationnel avec formation, simulation de phishing et reporting pour la direction.
Voir la page NIS2Articles connexes
- Exigences de conformité
- La formation doit-elle être obligatoire ?
- Cbw article 24 : formation du conseil
- Suivre la complétion
Sources
- Cyberbeveiligingswet (texte officiel, NL)
- Autorité de protection des données néerlandaise
- RDI : supervision NIS2/Cbw
FAQ
Conséquences pour qui saute la formation ?
Trois voies : risque d'incident, responsabilité, conséquences directes.
Licenciement possible ?
En NL, cas exceptionnels après évaluation juridique.
Retenue de salaire/bonus ?
Rarement praticable ; généralement disproportionnée.
Conseil ?
Cbw art. 24 : responsabilité personnelle possible.
Re-formation forcée après clic ?
Contre-productive. Détruit la culture de signalement.
Service à faible complétion ?
Pas visible individuellement ; discussion avec la hiérarchie sur charge et pertinence.
Risque sans programme ?
Important sous Cbw et RGPD ; amendes et responsabilité personnelle possibles.
Source externe : European Commission - NIS2 Directive