PolicyForge
Tous les articles
5 min

Comment rédiger une politique de sensibilisation et formation

Une politique de sensibilisation définit comment vous formez les collaborateurs à reconnaître et contrer les menaces. Voici quoi inclure — intégration, tests de phishing, cadence — avec un modèle gratuit.

Pourquoi la sensibilisation est un contrôle, pas un détail

Les personnes sont la couche la plus ciblée de toute organisation. Une politique de sensibilisation et formation définit comment les collaborateurs sont formés à reconnaître le phishing, manipuler les données et signaler les incidents — transformant vos équipes du maillon le plus faible en couche de détection. Les auditeurs attendent la preuve que la formation a réellement lieu.

Quoi inclure

  1. Périmètre — tous les collaborateurs, prestataires et, le cas échéant, formations par rôle.
  2. Formation d'intégration — réalisée avant ou peu après l'octroi des accès.
  3. Formation récurrente — au moins un rappel annuel, avec suivi de la complétion.
  4. Simulations de phishing — tests périodiques, suivis de formation plutôt que de sanction.
  5. Modules par rôle — formation renforcée pour les développeurs, admins et la finance (cible fréquente de fraude).
  6. Traçabilité — preuves de complétion conservées pour les audits.
  7. Efficacité — mesurer et améliorer (taux de complétion, taux de clic au phishing).

Erreurs fréquentes

  • Un diaporama à l'intégration et plus rien ensuite.
  • Des tests de phishing utilisés pour sanctionner, ce qui détruit la culture de signalement.
  • Aucune trace de complétion, donc impossible de prouver la formation à un auditeur.

Alignement référentiels

Correspond à l'Annexe A 6.3 d'ISO 27001:2022 (sensibilisation, éducation et formation), aux critères SOC 2, et à la fonction Protéger du NIST CSF (PR.AT).

Générez-la en quelques minutes

Voir un exemple de politique de sensibilisation et formation ou générez la vôtre gratuitement.