Les risques liés à la cybersécurité n’ont pas diminué avec la pandémie de Covid-19. Bien au contraire. Les cybercriminels ont redoublé d’imagination pour profiter de cette crise qui perturbe à la fois les salariés et leur organisation dans leurs habitudes de travail. Selon le site cybermalveillance.gouv.fr, les cyberattaques ont même explosé depuis le début de l’épidémie : campagnes de phishing (hameçonnage par mail frauduleux), faux sites de vente de masques FFP2 et de gel hydroalcoolique, fausses applications de suivi de la propagation du virus et de production de justificatifs de déplacement professionnel payants ou à remplir en ligne.
Le but recherché est toujours le même : capter les données personnelles du salarié jusqu’à ses identifiants et mots de passe pour ensuite accéder aux ressources de l’entreprise. Au-delà de la pandémie, la sensibilisation au risque cyber s’impose comme une nécessité avec l’informatique, de plus en plus distribuée et déléguée aux utilisateurs. "Avec le développement du cloud et les espaces collaboratifs de travail, les utilisateurs sont de plus en plus à la manœuvre sur leur espace de données. Ils doivent être sensibilisés aux dangers correspondants. Certes il faut se protéger avec les bons outils, mais la technique ne suffit pas, il faut également prendre en compte l’usage", souligne Mylène Jarossay, la présidente du Cesin, l’association qui regroupe le plus grand nombre de responsables de la sécurité informatique des entreprises en France.
1- Adaptez le message pour les télétravailleurs
- 1.1711+0.22
10 Avril 2026
Dollar Us (USD) - quotidien$ USD/€
- 1784.36+3.25
2024
Smic brut mensuel - moyenne annuelleen €/mois
- 145.1+0.21
Décembre 2025
Indice mensuel du coût horaire du travail révisé - Salaires et charges - Tous salariés - Industrie manufacturière (NAF rév. 2 section C)base 100 en décembre 2008
Il faut adapter sa communication à cette période particulière de recours massif au télétravail. "Il y a des messages à faire passer notamment sur le bon usage du PC personnel comme outil de travail. Il faut s’assurer que les mises à jour de sécurité et des antivirus, traditionnellement assurées par les entreprises, soit bien réalisées", insiste Gérôme Billois, membre du conseil d’administration du Club de la sécurité de l’information français (Clusif). "En environnement familial, le collaborateur ne va pas forcément avoir le réflexe de verrouiller le PC pendant sa pause. C’est un tort", explique l’expert en cybersécurité. Un accident est vite arrivé. Si un enfant a pris l’habitude de connecter sa clef USB au PC de travail de ses parents pour télécharger ses devoirs, il pourrait faire de même pour récupérer un épisode de sa série favorite sur un site non protégé et… télécharger un virus. L’équipe informatique doit rappeler aux collaborateurs en télétravail l’obligation de toujours passer par les systèmes de sécurité de l’entreprise, même s’ils sont parfois contraignants.
2- Multipliez les tests
Au-delà des messages, la sensibilisation peut s’opérer en testant ses salariés. Il y a bientôt deux ans, le tour operator Kuoni (250 salariés en France) s’est équipé d’une console qui simule l’envoi de mail malicieux comme pourrait le faire un cyberpirate. Le principe : envoyer un e-mail vers l’ensemble des collaborateurs ou des services bien précis de l’entreprise mais qui semble provenir d’un émetteur externe et qui contient un lien malicieux (désactivé). La console remonte ensuite le nombre de personnes qui ont cliqué sur le lien. "Chaque campagne est l’occasion de faire de la pédagogie, de rappeler les bons conseils et les bons gestes en matière de cybersécurité", détaille Stéphane Navarro, le responsable système informatique et réseau pour Kuoni. La console propose également à ceux qui ont manqué de vigilance de suivre un court module de formation au format vidéo. Le tour operator a fait appel à l’outil Phish Threat de Sophos qui permet d’automatiser et de personnaliser une centaine de campagnes différentes de test d’e-mails malicieux. Lors d’une réelle attaque par phishing intervenue en janvier, si une dizaine de collaborateurs sont tombés dans le piège, plusieurs dizaines d’autres ont spontanément alerté l’équipe informatique dès la réception du courrier suspect. Le test de la clé USB perdue est encore plus immédiat. Il suffit pour cela de laisser traîner des clés USB à la cafétéria, dans le parking, devant les ascenseurs… Si un salarié la branche sur son PC, la clé remonte une alerte et lui rappelle l’imprudence de son geste, car elle aurait pu contenir un virus. Une leçon à moindres frais !
3- Misez sur l’humour et la vidéo
À la SNCF, on croit beaucoup à l’impact de la vidéo pour sensibiliser les 57 000 collaborateurs de la branche Réseau, capable de toucher aussi bien le technicien sur les postes d’aiguillage que le directeur de site. Depuis deux ans, la société diffuse une série de mini-vidéos dans le style de l’émission « Vis ma vie ». Elle met en scène un personnage récurrent tour à tour agent de maintenance, ouvrier sur les lignes, comptable… "Les scénarios sont construits par rapport à un contexte métier et un objectif de sécurité clairement identifié", affirme Antoine Ancel, le responsable sécurité du système d’information. Ses équipes participent d’ailleurs au script et au tournage. Les vidéos, réalisées à raison d’une toutes les six semaines environ par un prestataire extérieur, sont vues en moyenne 25 000 fois. Après les 13 épisodes de la saison 1, la deuxième saison est bientôt terminée.
Pour renforcer le message, chaque vidéo donne lieu à la production d’un poster avec des recommandations liées au risque de cybersécurité correspondant. Tout le monde n’a toutefois pas les moyens de faire appel à une société de production. C’est le cas de Mapaero, à Pamiers (Ariège), qui joue la carte de la débrouille. Ce spécialiste de la peinture aéronautique, en tant que participant au programme de cybersécurité de la filière, dispose, lui, des vidéos réalisées par les grands donneurs d’ordres (Airbus, Dassault Aviation, Thales…). "Nous profitons des réunions mensuelles des salariés pour les diffuser. Le but n’est pas d’entrer dans les détails techniques. C’est avant tout l’occasion d’échanger avec nos collaborateurs et d’évoquer des cas réels de cyberattaques intervenues au sein de la filière", commente Karl Marchand, le responsable de l’informatique de Mapaero.
La théorie oui, la pratique moins !
Près de 80 % des salariés déclarent connaître les principaux enjeux de la cybersécurité, mais seule la moitié reconnaît appliquer les bonnes pratiques au quotidien ! C’est le résultat de l’étude menée en France fin décembre 2019 par Harris Interactive auprès de 660 collaborateurs d’entreprises de 50 salariés et plus. Parmi les mauvaises pratiques avouées, une grande partie reconnaît par exemple utiliser des mots de passe identiques pour accéder à différents services informatiques et moins d’un salarié sur deux se tourne en premier lieu vers le responsable informatique pour une question relative à la cybersécurité.
