À quelle fréquence les collaborateurs doivent-ils suivre une formation à la sécurité ? Version courte : pas une fois par an et pas chaque semaine. La pratique montre qu'un rythme de modules courts (mensuels ou bimensuels) plus quelques simulations de phishing par an fonctionne mieux que le cours annuel classique. Mais qu'est-ce qui est praticable, que dit la loi, et comment choisir un tempo qui convient ?
Pourquoi la formation annuelle ne suffit plus
L'approche classique : un cours d'une heure par an, case cochée. Pour la comptabilité ça tient encore, pour le comportement plus depuis longtemps.
Le paysage des menaces est trop dynamique pour des mises à jour annuelles. Phishing IA, deepfake, quishing, contournement MFA : routine en 2026, absents des formations de 2024.
DORA art. 13 demande « régulier » avec efficacité mesurable. Les autorités lisent cela comme au moins trimestriel.
Ce que la recherche et la pratique indiquent comme optimal
Modèle qui fonctionne :
- Modules courts de 4-8 minutes chaque mois, répartis par thème.
- 2-4 simulations de phishing par an. Trimestriel = juste milieu.
- Une fois par an une « formation de base » formelle couvrant la conformité.
- Approfondissement par rôle 1-2x par an pour les fonctions à risque.
- Microlearning immédiat après clic phishing.
Différences sectorielles et cadences de conformité
Finance : DORA art. 13. Mensuel pour fonctions à risque plus approfondissement semestriel.
Santé et secteur public : Cbw, NEN 7510. Quatre modules par trimestre plus base annuelle.
Éducation et PME : six à dix modules plus deux simulations par an souvent atteignables.
Ce qu'il faut éviter : fatigue et complétion creuse
Deux problèmes en cas de fréquence trop élevée :
Fatigue. Modules obligatoires hebdomadaires = résistance.
Complétion creuse. Lecture sans apprentissage. Métriques de comportement n'évoluent pas.
Bon indicateur : taux de signalement en simulation. En hausse = bon tempo.
Comment ancrer cela dans un programme de sensibilisation
Programme annuel praticable :
Onboarding : module de base 15-20 min en blocs.
Rythme mensuel : un module de microlearning par mois.
Rythme trimestriel : une simulation phishing par trimestre.
Rythme semestriel : approfondissement par rôle.
Rythme annuel : formation du conseil Cbw art. 24.
Administration démontrable à tous niveaux.
Découvrez comment 2LRN4 traduit ce sujet en un programme opérationnel avec formation, simulation de phishing et reporting pour la direction.
Voir la page formationArticles connexes
- Microlearning pour les employés avec peu de temps
- Feuille de route sensibilisation 12 mois
- Comment fonctionnent les simulations de phishing ?
- La formation doit-elle être obligatoire ?
Sources
FAQ
À quelle fréquence former les collaborateurs ?
Modules courts mensuels plus 2-4 simulations plus base annuelle.
Une formation annuelle suffit-elle pour la conformité ?
Pour RGPD souvent oui, pour Cbw et DORA non. Microlearning mensuel = minimum.
Bonne fréquence pour les simulations ?
2-4 par an ; trimestriel = juste milieu.
Comment éviter la fatigue ?
Modules courts, thèmes variés, éviter mauvais moments.
Le rythme diffère-t-il par rôle ?
Oui. Fonctions à risque ont des modules supplémentaires 1-2x par an.
Que dit DORA ?
Art. 13 : régulier avec efficacité mesurable ; trimestriel pour les fonctions à risque.
Comment savoir si la fréquence est bonne ?
Trois chiffres : complétion, taux de clic, taux de signalement sur 6-12 mois.
Source externe : NIST - Security awareness and training