← Retour au blog
Blog · Formation
Mettre en place un programme de formation cyber : de la stratégie à la culture
Par Jérôme Thémée — Fondateur ESD Cybersecurity · Janvier 2025
Par Jérôme Thémée — Fondateur ESD Cybersecurity · Janvier 2025
Comment structurer un programme de formation capable de transformer les compétences individuelles en véritable culture d'entreprise.
Cet article propose une synthèse des principes clés pour structurer, piloter et faire vivre un dispositif de formation en cybersécurité au sein des organisations.
Dans le vaste domaine de la sécurité des systèmes d'information, la formation est souvent confondue avec la sensibilisation. Pourtant, ces deux démarches sont fondamentalement différentes. La sensibilisation vise à éveiller les consciences de l'ensemble des collaborateurs aux risques cyber. La formation, elle, s'adresse aux professionnels de la cybersécurité et aux métiers connexes avec un objectif de montée en compétences mesurable, de certification et d'évolution de carrière.
Cette distinction est fondamentale car elle conditionne tout le reste : les publics cibles, les contenus, les formats, les indicateurs de succès et les budgets ne sont pas les mêmes. Un programme de sensibilisation peut toucher 10 000 collaborateurs avec des modules e-learning de 15 minutes. Un programme de formation cyber cible quelques dizaines ou centaines de professionnels avec des parcours de plusieurs jours, voire plusieurs mois, et des certifications à la clé.
C'est ici qu'un programme de formation structuré entre en jeu, comme un outil efficace pour développer les compétences des équipes cyber, fidéliser les talents et anticiper les besoins de demain. L'objectif est d'aborder la formation cyber sous un jour pratique et opérationnel, en s'appuyant sur les retours d'expérience de programmes mis en place au sein du ministère des Armées et d'organismes de formation.
La sensibilisation est une démarche de masse pour tous les collaborateurs (e-learning courts, réflexes anti-phishing). La formation cible les professionnels de la cybersécurité avec des parcours structurés, des évaluations et des certifications. Les deux sont complémentaires mais ne doivent jamais être confondues, car elles impliquent des publics, des formats et des budgets radicalement différents.
Un programme de formation efficace repose sur un trio indispensable : la Direction (vision et budget), le référent cyber — RSSI ou responsable sécurité — (contenus et orchestration) et les RH (diffusion et suivi). Les obligations réglementaires (ISO 27001, DORA) imposent désormais des obligations de résultats mesurables. La formation devient une brique essentielle du SMSI.
S'appuyer sur les référentiels existants (Panorama des métiers ANSSI, ECSF de l'ENISA) plutôt que de tout recréer. Les fiches métiers détaillées de ces référentiels sont directement exploitables et reconnues au niveau national et européen. L'article propose de créer des passerelles entre métiers (carte de métro) pour visualiser les trajectoires de carrière et fidéliser les talents.
L'article propose de naviguer dans la jungle des certifications en construisant une matrice croisant métiers, niveaux d'expérience et certifications pertinentes. Du Security+ pour les débutants à la CISSP pour les experts, en passant par l'OSCP ou l'ISO 27001 Lead Auditor. Le modèle RNCP français, souvent sous-estimé, s'avère parfois plus rigoureux que certaines certifications internationales.
Suivre la trajectoire avec des indicateurs simples : jours de formation, certifications obtenues, taux de complétion (réalisation) ; évolution du niveau par compétence, passerelles activées (progression) ; capacité à recruter et fidéliser, réduction du turnover (impact). Une revue trimestrielle légère mais régulière maintient le programme vivant.
Au-delà des compétences techniques, l'article insiste sur l'importance de l'adhésion via la communication, la reconnaissance, le mentorat et la participation aux conférences (FIC, LeHack, SSTIC). Alterner formations théoriques, ateliers pratiques, entraînements sur range et CTF internes est ce qui fait la différence entre un plan subi et une montée en compétences réelle.
Méthodologie proposée par l'auteur
L'article détaille une méthodologie en 4 étapes, éprouvée au sein de programmes de formation dans le secteur défense et les organismes de formation :
Répertorier les métiers cyber via les référentiels ANSSI et ENISA
Créer les fiches métiers et les passerelles de carrière
Mixer les formats : bootcamps, labs, CTF, exercices de crise
Piloter via un tableau de bord avec des indicateurs simples
Cet article a été initialement publié dans le magazine MISC. Pour une lecture complète et approfondie de la méthodologie, des exemples détaillés (fiches métiers ENISA, politique de certification, formats de formation) et du retour d'expérience complet de l'auteur, nous vous invitons à consulter la version originale.
Article initialement publié dans MISC Magazine.
Le modèle proposé peut être adapté selon les spécificités de votre contexte. Vous pouvez commencer simplement avec un fichier Excel et quelques parcours ciblés, puis structurer progressivement le dispositif. L'essentiel est de créer ce dialogue entre le monde cyber et le monde RH, avec un langage commun et des objectifs partagés.
Découvrez nos programmes de formation professionnelle en cybersécurité ou contactez-nous pour un dispositif sur mesure.