Sensibilisation cybersécurité des salariés : le guide 2026
Sensibilisation cybersécurité des salariés : obligations NIS 2 et Code du travail, sanctions, prix et financement OPCO. Le guide 2026 avec Elitek.
Safwen Khalloufi
CEO - Responsable pédagogique
Sensibiliser vos salariés à la cybersécurité devient une obligation réglementaire : la directive (UE) 2022/2555 du 14 décembre 2022, dite NIS 2 (parfois écrite NIS2), fait de « la formation à la cybersécurité » une mesure obligatoire au titre de son article 21 pour 10 000 à 15 000 entités françaises, selon les estimations de l'ANSSI. Pour toutes les autres entreprises, l'article L. 4121-1 du Code du travail et l'article 32 du RGPD imposent déjà des « actions d'information et de formation » et des mesures organisationnelles appropriées.
L'enjeu n'est pas que juridique : d'après le rapport d'activité 2025 de Cybermalveillance.gouv.fr, les trois premières menaces visant les entreprises — piratage de compte, hameçonnage et fraude au virement — exploitent d'abord l'erreur humaine. Ce guide 2026 détaille qui doit former ses salariés, les sanctions encourues, les thèmes à couvrir, les prix et les financements mobilisables.
La sensibilisation des salariés à la cybersécurité est-elle obligatoire ?
Oui pour les entités essentielles et importantes au sens de la directive NIS 2, et indirectement pour tous les autres employeurs, au titre du Code du travail et du RGPD.
Que dit la directive NIS 2 sur la formation des salariés ?
Deux articles de la directive (UE) 2022/2555 placent la formation au cœur du dispositif :
- Article 21, paragraphe 2, point g) : les mesures de gestion des risques doivent couvrir « les pratiques de base en matière de cyberhygiène et la formation à la cybersécurité ».
- Article 20, paragraphe 2 : les membres des organes de direction sont « tenus de suivre une formation », et les entités sont encouragées à « offrir régulièrement une formation similaire aux membres de leur personnel ».
Le périmètre couvre 18 secteurs — énergie, transports, santé, infrastructures numériques, agroalimentaire, administrations… — en règle générale à partir de 50 salariés ou 10 millions d'euros de chiffre d'affaires. Le test en ligne MonEspaceNIS2 de l'ANSSI permet de vérifier votre situation.
Où en est la transposition française en 2026 ?
La France est en retard : l'article 41 de la directive imposait une transposition « au plus tard le 17 octobre 2024 ». Le projet de loi relatif à la résilience des infrastructures critiques et au renforcement de la cybersécurité a été adopté par le Sénat le 12 mars 2025, puis à l'unanimité par la commission spéciale de l'Assemblée nationale en septembre 2025 ; son examen en séance publique à l'Assemblée nationale est annoncé pour juillet 2026, sous réserve d'une session extraordinaire. N'attendez pas la promulgation : une mise en conformité demande plusieurs mois.
Et si votre entreprise n'est pas concernée par NIS 2 ?
Trois textes vous y obligent malgré tout :
- Article L. 4121-1 du Code du travail : l'employeur « prend les mesures nécessaires pour assurer la sécurité et protéger la santé physique et mentale des travailleurs », mesures qui comprennent « des actions d'information et de formation ».
- Article L. 6321-1 du Code du travail : l'employeur « assure l'adaptation des salariés à leur poste de travail », au regard notamment « de l'évolution des emplois, des technologies et des organisations ».
- Article 32 du RGPD : le responsable du traitement met en œuvre « les mesures techniques et organisationnelles appropriées » pour la sécurité des données. L'article 39 confie en outre au DPO le contrôle de « la sensibilisation et la formation du personnel participant aux opérations de traitement ».
Quelles sanctions si vos salariés ne sont pas formés ?
Jusqu'à 10 millions d'euros ou 2 % du chiffre d'affaires annuel mondial pour une entité essentielle qui manque à ses obligations de gestion des risques — formation comprise. La directive fixe des planchers que la loi de transposition reprendra a minima :
| Manquement | Texte applicable | Sanction maximale prévue |
|---|---|---|
| Entité essentielle : violation des articles 21 ou 23 | Article 34, paragraphe 4 de NIS 2 | Au moins 10 000 000 € ou 2 % du chiffre d'affaires annuel mondial, le montant le plus élevé étant retenu |
| Entité importante : mêmes violations | Article 34, paragraphe 5 de NIS 2 | Au moins 7 000 000 € ou 1,4 % du chiffre d'affaires annuel mondial |
| Défaut de sécurité des données personnelles | Articles 32 et 83, paragraphe 4 du RGPD | 10 000 000 € ou 2 % du chiffre d'affaires annuel mondial |
| Responsabilité des dirigeants | Article 20, paragraphe 1 de NIS 2 | Les organes de direction peuvent être « tenus responsables » des violations de l'article 21 |
La conformité engage donc la direction générale — et un programme de sensibilisation documenté reste la preuve la plus simple à produire devant une autorité de contrôle.
Pourquoi vos salariés sont-ils la première cible des attaquants ?
Parce que les attaques les plus fréquentes ne percent pas un pare-feu : elles trompent un collaborateur. Le rapport d'activité 2025 de Cybermalveillance.gouv.fr, publié en mars 2026, classe ainsi les menaces visant les entreprises et associations :
- Piratage de compte : 21 % des demandes d'assistance (+45 % en un an), souvent via un mot de passe réutilisé ou volé ; les comptes Microsoft 365 sont particulièrement visés.
- Hameçonnage : 16 % des demandes, point d'entrée privilégié des rançongiciels et du vol d'identifiants.
- Fraude au virement : 13,5 % des demandes (+93 %), une attaque d'ingénierie sociale qui n'aboutit que si un salarié exécute le virement.
L'ANSSI a de son côté traité 3 586 événements de sécurité en 2025, d'après son Panorama de la cybermenace. Un salarié qui reconnaît un e-mail frauduleux et alerte au bon moment constitue la première ligne de défense de l'organisation.
Comment mettre en place une sensibilisation cybersécurité efficace ?
Un programme efficace combine socle de formation pour tous, rappels réguliers et preuves opposables en cas d'audit.
Quels thèmes couvrir en priorité ?
- Hameçonnage et ingénierie sociale : reconnaître un message frauduleux et adopter le bon réflexe après un clic accidentel.
- Mots de passe et authentification multifacteur : mots de passe robustes et uniques, gestionnaire, activation de la MFA — la parade directe au piratage de compte.
- Sécurité du poste de travail et mobilité : mises à jour, verrouillage de session, supports amovibles, Wi-Fi publics, télétravail.
- Protection des données personnelles : classification, partage maîtrisé, application concrète de l'article 32 du RGPD.
- Réaction à incident : signes d'une compromission, interlocuteurs à alerter, dispositif 17Cyber de Cybermalveillance.gouv.fr.
À quelle fréquence sensibiliser vos équipes ?
Régulièrement : c'est le terme exact de l'article 20, paragraphe 2 de la directive. En pratique : un parcours complet pour chaque nouvel arrivant, un rappel annuel pour tout l'effectif, et des piqûres de rappel courtes tout au long de l'année — exercices d'hameçonnage simulé, fiches réflexes.
Comment prouver votre conformité ?
Conservez des preuves datées et nominatives. Un organisme certifié Qualiopi produit les justificatifs attendus : attestation de fin de formation précisant objectifs pédagogiques et validation des acquis, certificat de réalisation, résultats des quiz. Complétez avec un registre interne : taux de complétion, dates des campagnes, résultats des exercices.
Combien coûte la sensibilisation cybersécurité et comment la financer ?
Comptez 290 € net de taxe par salarié pour un parcours e-learning complet de 8 heures, et environ 950 € HT par personne pour une journée animée par un formateur en inter-entreprises.
| Format | Durée | Prix constaté en 2026 | Pour qui ? |
|---|---|---|---|
| E-learning tutoré | 8 h, à son rythme | 290 € net de taxe par salarié | Déployer un socle commun à tout l'effectif, télétravailleurs inclus |
| Journée inter-entreprises avec formateur | 7 h, 1 jour | Environ 950 € HT par personne | Managers, fonctions exposées et organes de direction visés par l'article 20 |
| Session intra-entreprise | 1 jour | Sur devis, dégressif selon l'effectif | Former un service entier avec des cas adaptés à votre contexte |
Côté financement, ces formations relèvent du plan de développement des compétences : elles sont finançables par votre OPCO. Le CPF, lui, est réservé aux formations certifiantes — une sensibilisation interne n'y est généralement pas éligible. Pour un déploiement massif, la formation e-learning Cybersécurité pour les utilisateurs permet de former chaque salarié à son rythme, avec un accès de 12 mois ouvert sous 48 heures.
Comment Elitek vous accompagne sur la sensibilisation cybersécurité
Elitek, organisme de formation certifié Qualiopi, propose deux formats complémentaires. La formation Cybersécurité pour les utilisateurs, 100 % e-learning (8 h, 290 € net de taxe, finançable OPCO) couvre l'hameçonnage, les mots de passe, le télétravail, le RGPD et la réaction à incident, avec quiz et certificat de réalisation. La formation Sensibilisation Cybersécurité d'une journée animée par un formateur, en présentiel ou à distance, ajoute mises en situation et échanges adaptés à votre contexte.
Au-delà de la sensibilisation, Elitek forme vos référents : formation RGPD — Devenir Délégué à la Protection des Données et formation PECB ISO 27001 Lead Implementer. Voir aussi notre guide des formations et certifications cybersécurité 2026 et nos 8 conseils pratiques pour assurer votre cybersécurité.
Prêt à répondre aux exigences de NIS 2 ? Consultez le programme détaillé de la formation Cybersécurité pour les utilisateurs et déployez la sensibilisation dans votre entreprise dès cette semaine.
FAQ sur la sensibilisation cybersécurité des salariés
La sensibilisation à la cybersécurité des salariés est-elle obligatoire ?
Oui pour les entités essentielles et importantes de la directive NIS 2 : l'article 21, paragraphe 2, point g) impose « les pratiques de base en matière de cyberhygiène et la formation à la cybersécurité ». Pour les autres employeurs, l'article L. 4121-1 du Code du travail et l'article 32 du RGPD créent une obligation indirecte de sensibilisation.
Quelles entreprises sont concernées par la directive NIS 2 en France ?
Entre 10 000 et 15 000 entités selon les estimations de l'ANSSI, réparties sur 18 secteurs (énergie, transports, santé, numérique, agroalimentaire…), en règle générale à partir de 50 salariés ou 10 millions d'euros de chiffre d'affaires. Le test en ligne MonEspaceNIS2 de l'ANSSI permet de vérifier votre situation.
Les dirigeants doivent-ils suivre une formation à la cybersécurité ?
Oui. L'article 20, paragraphe 2 de la directive NIS 2 dispose que les membres des organes de direction des entités essentielles et importantes sont « tenus de suivre une formation » en cybersécurité. L'article 20, paragraphe 1 prévoit en outre qu'ils peuvent être tenus responsables des manquements aux mesures de gestion des risques de l'article 21.
Quelles sanctions prévoit NIS 2 en cas de manquement ?
Des amendes administratives d'un montant maximal d'au moins 10 millions d'euros ou 2 % du chiffre d'affaires annuel mondial pour les entités essentielles, et d'au moins 7 millions d'euros ou 1,4 % pour les entités importantes (article 34). L'article 20 prévoit en outre que les organes de direction peuvent être tenus responsables des manquements.
À quelle fréquence faut-il sensibiliser les salariés à la cybersécurité ?
La directive NIS 2 demande d'offrir « régulièrement » une formation au personnel (article 20, paragraphe 2). En pratique : un parcours complet pour chaque nouvel arrivant, un rappel annuel pour tout l'effectif et des piqûres de rappel courtes, comme des exercices d'hameçonnage simulé.
Combien coûte une formation de sensibilisation à la cybersécurité ?
Comptez 290 € net de taxe par salarié pour un parcours e-learning complet de 8 heures chez Elitek (accès 12 mois, certificat de réalisation), et environ 950 € HT par personne pour une journée animée par un formateur. Les sessions intra-entreprise sont chiffrées sur devis.
La sensibilisation cybersécurité est-elle finançable par le CPF ou l'OPCO ?
Le CPF est réservé aux formations sanctionnées par une certification enregistrée au RNCP ou au répertoire spécifique : une sensibilisation interne n'y est généralement pas éligible. Elle relève en revanche du plan de développement des compétences et est finançable par votre OPCO, comme la formation e-learning de 8 heures d'Elitek à 290 € net de taxe.
Sources
- Directive (UE) 2022/2555 « NIS 2 », articles 20, 21 et 34 — EUR-Lex
- Projet de loi résilience des infrastructures critiques et cybersécurité — Vie-publique.fr
- Article L. 4121-1 du Code du travail — Légifrance
- Article L. 6321-1 du Code du travail — Légifrance
- Règlement (UE) 2016/679 (RGPD), articles 32, 39 et 83 — EUR-Lex
- Rapport d'activité 2025 — Cybermalveillance.gouv.fr
- Panorama de la cybermenace 2025 — ANSSI
- La directive NIS 2 — ANSSI
Passez à l'action
Envie de vous former sur ce sujet ?
Découvrez nos formations certifiantes éligibles CPF, OPCO et France Travail. Sessions en ligne et en présentiel partout en France.
À lire aussi
Articles similaires
Formation professionnelle
Top 10 Formations CPF IT Management 2026
Découvrez le top 10 des formations CPF en IT et Management les plus demandées en 2026-2027 : PMP, Scrum, SAFe, cybersécurité, IA, cloud. Guide Elitek.
Agilité et Scrum
Vélocité Scrum : l'utiliser sans la détourner
La vélocité Scrum aide une équipe à prévoir, pas à être comparée ni pilotée comme une usine. Voici comment l'utiliser avec rigueur.
12 juin 2026
Formation incendie en entreprise : ce que dit le Code du travail
Formation incendie obligatoire : Code du travail, exercices d'évacuation tous les 6 mois, sanctions, prix et financement OPCO. Le guide 2026 avec Elitek.
12 juin 2026