A.6.3Sensibilisation, formation et éducation à la sécurité
En 1 phrase : Tous vos collaborateurs doivent savoir reconnaître un phishing, gérer leurs mots de passe et signaler un incident, et vous devez le prouver.
Pourquoi ce contrôle est critique
74 % des incidents cyber commencent par une erreur humaine (rapport Verizon DBIR 2024). Le maillon faible n'est ni votre firewall ni votre EDR — c'est un collaborateur qui clique sur un lien piégé, partage un mot de passe, ou perd un laptop dans le métro.
ISO 27001 exige (clauses 7.2 et 7.3 + A.6.3) que vous soyez en mesure de prouver que chaque collaborateur a été sensibilisé. Pas seulement « on envoie un email tous les 6 mois ». Une vraie preuve : registre, scores, suivis.
Applicable à vous ?
Réponse rapide : oui à 100 %. Dès que vous avez ≥ 1 collaborateur, A.6.3 est applicable. Aucune exception légitime, sauf l'auto-entrepreneur unipersonnel.
Pour les prestataires et freelances qui ont accès à votre SI, ils doivent aussiêtre inclus dans votre programme de sensibilisation (ou justifier formellement par un NDA + clause sécurité).
Lignes directrices ISO 27002:2022
ISO 27002:2022 (§ 6.3) précise les 6 axes du programme de sensibilisation :
- Communiquer clairement la PSSI et les politiques thématiques aux collaborateurs
- Couvrir les obligations légales et contractuelles applicables (RGPD, NIS2, NDA)
- Former à la reconnaissance des menaces (phishing, vishing, ingénierie sociale)
- Apprendre à signaler un incident ou une suspicion (canal interne, hotline)
- Sensibiliser aux bonnes pratiques (mots de passe, MFA, télétravail, BYOD, écran propre)
- Évaluer régulièrement l'efficacité (taux de réussite phishing simulé, tests de connaissance)
Comment l'implémenter : 3 niveaux
- Module e-learning sécurité (1 h) à l'embauche, signature obligatoire
- Rappel annuel par email + module e-learning (30 min)
- Registre Excel des formations effectuées (date, collaborateur, score)
- Procédure de signalement d'incident affichée (intranet ou bureau)
- Plateforme dédiée : KnowBe4, Cofense, Mailinblack, Riot, Hoxhunt
- 4 campagnes de phishing simulé/an avec scoring par collaborateur
- Modules e-learning thématiques (phishing, MFA, RGPD, télétravail)
- Tableau de bord : taux de réussite, taux de complétion, retoqués
- Module de remédiation pour les retoqués (15 min en plus)
- Programme par segment : devs (OWASP), commerciaux (BEC), RH (BEC)
- Phishing simulé adaptatif (difficulté progressive selon scores)
- Tests pratiques (clé USB abandonnée, tailgating, vishing)
- Champions sécurité par BU (relais formels)
- Métriques avancées : Security Behavior Maturity, ROI sensibilisation
Phrase exacte pour votre SOA
A.6.3 ne peut être qu'Inclus en pratique.
Identifié par l'analyse de risques (atelier 5 EBIOS RM, scénario "phishing ciblé compte Support"). Exigence contractuelle client ACME (formation annuelle). Risque humain élevé : 74% des incidents commencent par erreur humaine.
Plateforme KnowBe4 active depuis février 2026. 4 campagnes phishing simulé Q1 (taux de réussite 87%). 100% des collaborateurs ont complété l'e-learning de janvier 2026 (registre extrait du LMS).
Rapports KnowBe4 mensuels + registre kyrionn-formations.xlsx + procédure PROC-SENSI-v2.1 + PV revue de direction Q1 2026 traitant les retoqués
Mettre en place A.6.3 : 3 chemins concrets
- 1Connecter votre LMS ou CSV collaborateurs
- 2Module e-learning IA personnalisé par profil
- 3Phishing simulé intégré (4 campagnes/an)
- 4Tableau de bord taux + retoqués
- 5Registre exportable PDF pour audit
- 1Souscription plateforme dédiée
- 2Import des collaborateurs
- 3Choix des modules + planning campagnes
- 4Suivi des résultats
- 5Reporting manuel pour audit
- 1Trouver des modules e-learning gratuits (CNIL, ANSSI)
- 2Créer un quiz Google Forms annuel
- 3Suivre dans Excel les complétions
- 4Faire 2 phishings test maison/an
- 5Risque élevé : registre incomplet
Contrôles liés à A.6.3
Communication de la PSSI
Si non-respect des règles
NDA signés
Signalement par les collaborateurs
Bonne pratique enseignée
Bonne pratique enseignée