SOCRATECHxConscio Technologies
Compléments stratégiques · Mai 2026

Sujets & concepts
en réponse à vos retours

15 nouveaux sujets répartis sur les trois axes que vous nous avez identifiés, et les deux formats dynamiques entre lesquels vous hésitiez soumis à votre choix final.

00 / Contexte

Ce document fait suite à vos retours du 18 mai 2026

Vous nous avez signalé que les thématiques intelligence artificielle, deepfake et fun facts étaient surreprésentées dans notre première proposition, et vous avez demandé des sujets sur trois nouveaux axes stratégiques.

Vous trouverez ci-dessous quinze sujets répartis en cinq par axe, chacun accompagné de trois accroches structurellement différentes pour vous laisser le choix de l'angle. Le document reste volontairement court et concis pour ne contenir que des propositions nouvelles, sans rejouer ce qui a déjà été validé.

Sur les formats dynamiques, vous avez validé Vrai ou Faux et hésitiez entre Surcoté/Souscoté et Versus. Vous trouverez les deux concepts présentés en fin de document, chacun avec une vidéo exemple et cinq items représentatifs, pour vous laisser trancher en connaissance de cause.

Axe 1 sur 3
Démarche sectorielle en sensibilisation
Pourquoi sensibiliser un soignant, un agent territorial, un commercial ou un cadre industriel exige d'adapter le contenu, le format et l'angle. La sensibilisation générique appartient à l'ancien monde.
A1
Sujet 01
Le même mail piégé ne marche pas pareil selon le secteur
On envoie un test phishing identique dans un hôpital et dans une banque, et les profils qui cliquent n'ont rien à voir.
Sectoriel Démonstratif
Contexte

Les rapports sectoriels de phishing montrent depuis 2024 que la propension à cliquer varie fortement d'une industrie à l'autre. La santé, l'hôtellerie, la production manufacturière et les services publics affichent des taux significativement plus élevés que la finance, l'assurance ou la haute technologie. Le facteur explicatif n'est ni l'intelligence ni la vigilance des collaborateurs, c'est le contexte de travail, la pression temporelle, les outils disponibles et la nature des demandes habituellement reçues.

Connexion Conscio

C'est exactement l'argument central de votre démarche sectorielle. Une plateforme qui propose le même module à six métiers différents fait du volume, pas de la sensibilisation. Conscio travaille depuis dix-huit ans sur des contenus pensés métier par métier, et c'est précisément ce qui se mesure quand on regarde l'écart de comportement à six mois.

Sources
Accroches proposées
Accroche 1
Le même mail piégé envoyé dans un hôpital et dans une banque ne déclenche jamais le même réflexe, et c'est exactement pour ça qu'une formation cyber unique ne protège plus personne.
Accroche 2
Sur cent collaborateurs, ceux qui se font piéger dans une mutuelle ne sont pas ceux qui se font piéger dans une usine.
Accroche 3
Sensibiliser à la cybersécurité sans tenir compte du secteur, c'est s'entraîner au marathon en pensant qu'on prépare un match de judo.
A1
Sujet 02
La santé française attaquée chaque semaine, formée comme tout le monde
Le secteur santé concentre une part disproportionnée des attaques cyber en France, et continue à recevoir des modules de sensibilisation génériques.
Sectoriel Santé
Contexte

Le secteur de la santé reste l'une des cibles majeures du cybercrime en France et en Europe. L'ANSSI et l'ENISA documentent régulièrement le rythme d'incidents, dont des attaques de grande ampleur sur des hôpitaux et des établissements médico-sociaux. Pourtant, la sensibilisation proposée à des soignants reprend souvent à l'identique les modules conçus pour le secteur tertiaire, avec les mêmes durées, les mêmes exemples et les mêmes formats, sans tenir compte du contexte d'usage très spécifique des équipes soignantes.

Connexion Conscio

Sensibiliser un soignant n'a rien à voir avec sensibiliser un cadre tertiaire. Le temps disponible, les outils, la pression émotionnelle, le risque réel d'incident, tout change. C'est précisément cette adaptation métier que Conscio défend depuis dix-huit ans face aux acteurs qui vendent un module unique à toute l'entreprise.

Sources
Accroches proposées
Accroche 1
La santé française subit une attaque cyber majeure chaque semaine, et on continue à former les soignants avec les modules qu'on a écrits pour un commercial en assurance.
Accroche 2
Un soignant qui dispose de quatre minutes entre deux patients ne suivra jamais le même parcours de sensibilisation qu'un cadre de bureau.
Accroche 3
Quand un hôpital tombe à cause d'une attaque cyber, ce sont les blocs opératoires qu'on annule, et personne dans la sensibilisation classique n'apprend ce que ça veut dire concrètement.
A1
Sujet 03
Une mairie ne se fait pas pirater comme une PME industrielle
Les collectivités territoriales subissent un profil d'attaque très différent du secteur privé, et la sensibilisation actuelle ne le reflète pas.
Sectoriel Collectivités
Contexte

Les collectivités territoriales françaises font partie des secteurs les plus exposés selon les rapports annuels de l'ANSSI, du Clusif et de Cybermalveillance. Elles subissent un mélange spécifique d'attaques : rançongiciels sur des systèmes critiques d'état civil, défacement de sites institutionnels, intrusions sur les portails citoyens, chantage de données sensibles. À l'inverse, une PME industrielle subira plutôt du sabotage logistique, des intrusions sur l'OT, des fuites de brevets ou des fraudes au fournisseur. Deux mondes, deux pédagogies.

Connexion Conscio

L'agent territorial et le chef d'atelier industriel ne partagent ni les mêmes outils, ni les mêmes attaquants, ni les mêmes conséquences en cas d'incident. Les vendre la même formation, c'est garantir que les deux passent à côté du vrai risque. Votre approche par verticale métier est ce qui rend la sensibilisation utile aux deux.

Sources
Accroches proposées
Accroche 1
Une mairie ne se fait pas pirater de la même façon qu'une PME industrielle, et personne ne l'explique aux équipes le jour de la formation.
Accroche 2
La collectivité subit du chantage citoyen et de l'attaque sur l'état civil, l'industrie subit du sabotage et de la fuite de brevets, mais le module de sensibilisation reste rigoureusement identique.
Accroche 3
Un agent de mairie et un chef d'atelier vivent deux métiers cyber complètement différents, et le marché continue à leur vendre le même produit.
A1
Sujet 04
Le format de la formation conditionne le métier
Une équipe terrain n'apprend pas comme une équipe siège, et une équipe en flux continu n'a pas le même rapport au temps qu'une équipe projet.
Sectoriel Format métier
Contexte

La science de la formation adulte distingue depuis longtemps les formats adaptés aux métiers en flux continu, comme la santé ou la logistique, et ceux adaptés aux métiers de bureau. Le module de cinquante-cinq minutes en classe virtuelle, qui fonctionne dans le tertiaire, ne fonctionne plus en milieu hospitalier, en industrie 3x8 ou en grande distribution. La sensibilisation efficace consiste à livrer le bon contenu, au bon format, au bon moment de la journée du métier.

Connexion Conscio

Votre catalogue propose explicitement des formats adaptés au terrain, des contenus courts, des micro-modules accessibles sur mobile, des supports affichables en zone de pause. C'est exactement ce que permet une démarche sectorielle, et ce que la sensibilisation générique ne sait pas faire.

Sources
Accroches proposées
Accroche 1
Un soignant ne suivra jamais une formation cyber d'une heure entre deux patients, c'est pour ça que la sensibilisation qui marche commence par adapter le format au métier.
Accroche 2
La sensibilisation efficace ne consiste pas à mettre tout le monde devant le même module pendant cinquante-cinq minutes, mais à livrer le bon contenu au bon moment de la journée du métier.
Accroche 3
Une équipe terrain qui n'a pas d'ordinateur fixe ne se forme pas comme une équipe siège, et c'est cette évidence que la majorité des programmes oublie encore.
A1
Sujet 05
L'angle d'attaque change radicalement selon le secteur
L'industrie tombe par sa supply chain, le retail par le paiement client, l'assurance par la fraude documentaire. Un seul programme pour tous, c'est protéger les mauvaises portes.
Sectoriel Angle d'attaque
Contexte

Les rapports d'incidents par secteur publiés annuellement par IBM, Verizon, l'ANSSI et le NCSC documentent clairement que l'angle d'entrée varie selon l'industrie. L'industrie manufacturière est massivement attaquée via ses fournisseurs et ses chaînes logistiques. Le retail est ciblé par fraude au paiement et compromission des terminaux. L'assurance subit la fraude documentaire et la collecte de données médicales. Sensibiliser une banque comme on sensibilise une mairie revient à entraîner ses équipes à reconnaître des menaces qu'elles ne verront jamais.

Connexion Conscio

Votre approche sectorielle ne porte pas seulement sur la forme, elle porte aussi sur la nature des menaces traitées dans chaque module. C'est la promesse de fond qu'il faut continuer à incarner : un soignant apprend à repérer ce qui menace l'hôpital, un opérateur industriel apprend à repérer ce qui menace l'usine.

Sources
Accroches proposées
Accroche 1
Dans l'industrie l'attaque arrive par le fournisseur, dans le retail elle arrive par le paiement client, et une seule formation pour les deux garantit que personne ne voit venir le vrai risque.
Accroche 2
Chaque secteur a son point de bascule cyber, et confondre celui d'une assurance avec celui d'une collectivité revient à protéger les mauvaises portes.
Accroche 3
Sensibiliser une banque comme on sensibilise une mairie, c'est entraîner ses équipes à reconnaître des attaques qu'elles ne verront jamais et passer à côté de celles qui arrivent vraiment.
Axe 2 sur 3
Démarche orientée résultats et impact
Ce que les RSSI réclament aujourd'hui : prouver que la sensibilisation change le comportement, pas seulement la complétude. Réponse directe à votre slogan « la sensibilisation, c'est bien, les résultats, c'est mieux ».
A2
Sujet 06
La formation suivie ne dit rien du comportement changé
Un taux de complétude élevé est rassurant. Il ne mesure pas ce qui s'est passé six mois plus tard dans la tête et les gestes des collaborateurs.
Résultats Mesure
Contexte

Dans la quasi-totalité des plateformes de sensibilisation, la mesure principale reste le taux de complétude des modules. C'est une métrique pratique, facile à reporter en comité de direction, et complètement déconnectée de la sécurité réelle. Le modèle Kirkpatrick, référence académique de l'évaluation de la formation depuis les années 1950, distingue quatre niveaux : la réaction immédiate, l'apprentissage acquis, le comportement modifié, et l'impact organisationnel. Le niveau 1 rassure, seuls les niveaux 3 et 4 protègent.

Connexion Conscio

Votre dispositif d'impact 360°, vos mesures de transfert de compétences et votre NPS à plus de 28 sont précisément les indicateurs qui décrivent les niveaux 3 et 4 du modèle Kirkpatrick. Là où le marché s'arrête au taux de complétude, vous mesurez ce qui compte vraiment, c'est le différenciateur central à mettre en avant.

Sources
Accroches proposées
Accroche 1
Une formation cyber suivie à 95 pourcents rassure tout le monde, sauf que personne ne mesure si le comportement a changé six mois après.
Accroche 2
La complétude d'un module, c'est le premier indicateur qu'on regarde et le plus trompeur de tous.
Accroche 3
Cocher la case formation suivie ne protège pas une entreprise, ça protège juste le rapport d'audit qui sera lu une fois par an.
A2
Sujet 07
Le taux de clic au phishing est une fausse métrique de sécurité
On célèbre le taux de clic qui baisse, alors qu'il mesure la peur ponctuelle, pas la sécurité durable.
Résultats Métrique
Contexte

Le taux de clic au phishing simulé reste l'indicateur le plus utilisé du marché. Il est facile à mesurer, parle aux directions, et baisse rapidement après quelques campagnes. Sauf qu'il mesure surtout l'effet immédiat de la peur ou de la méfiance ponctuelle. Une équipe qui ne clique plus n'est pas forcément une équipe qui a compris, c'est parfois juste une équipe qui se méfie de tout pendant deux semaines. La vraie mesure de la maturité d'une organisation cyber, c'est le ratio entre les mails signalés par les équipes et les mails ignorés.

Connexion Conscio

Vous accompagnez vos clients à mesurer ce qui compte vraiment, c'est-à-dire les comportements à six mois et la capacité des équipes à signaler. C'est ce déplacement de l'indicateur, du clic vers le signalement, qui distingue un programme efficace d'une case cochée.

Sources
Accroches proposées
Accroche 1
On célèbre quand le taux de clic au phishing baisse, alors qu'il ne mesure qu'une chose, la peur du moment, jamais la sécurité durable.
Accroche 2
Votre taux de clic est tombé à trois pourcents le mois dernier, et la vraie question reste de savoir combien de mails suspects vos équipes ont signalé pendant la même période.
Accroche 3
Mesurer la cybersécurité au seul taux de clic, c'est noter une équipe de foot au nombre de fautes évitées et oublier de regarder qui sait jouer.
A2
Sujet 08
La sensibilisation se mesure à 4 niveaux, pas seulement à la complétude
Le modèle Kirkpatrick, référence depuis soixante-dix ans, propose quatre niveaux. La cybersécurité reste massivement bloquée au premier.
Résultats Modèle
Contexte

Le modèle Kirkpatrick distingue quatre niveaux d'évaluation d'une formation : la réaction immédiate des apprenants, l'apprentissage acquis mesuré par un quiz, le comportement observé sur le terrain plusieurs semaines après, et l'impact organisationnel mesuré sur les indicateurs métier. La quasi-totalité des programmes de sensibilisation cyber s'arrête entre les niveaux 1 et 2. Or seuls les niveaux 3 et 4 disent quelque chose d'utile sur la sécurité réelle d'une entreprise.

Connexion Conscio

Votre démarche d'impact 360° et votre mesure de transfert de compétences sont des indicateurs Kirkpatrick de niveau 3 et 4. C'est la grille de lecture académique qui permet d'expliquer, en une slide à un directeur général, pourquoi vous mesurez ce que les autres ne mesurent pas.

Sources
Accroches proposées
Accroche 1
Un module suivi, c'est le niveau 1 sur 4 de la sensibilisation, et le niveau 4, c'est l'incident évité six mois plus tard.
Accroche 2
La plupart des programmes cyber s'arrêtent au quiz de fin de module, alors que c'est précisément à partir de là que la mesure intéressante commence.
Accroche 3
Mesurer la satisfaction d'une formation, c'est facile, mesurer le comportement qui en sort, c'est ce qui différencie un vrai programme d'une case cochée.
A2
Sujet 09
La mesure à froid est la seule qui dit la vérité
Le test juste après la formation rassure. Le test six mois après, sans rappel, dit ce qu'il en reste vraiment.
Résultats Rétention
Contexte

La science cognitive distingue depuis Ebbinghaus en 1885 deux types de tests : le test à chaud, juste après la formation, qui mesure surtout la mémoire immédiate, et le test à froid, plusieurs semaines ou mois plus tard, qui mesure la rétention réelle. Les travaux de Roediger et Karpicke en 2006 et de Cepeda et collègues sur l'apprentissage espacé confirment qu'une équipe qui réussit un quiz juste après une formation ne dit rien de sa compétence réelle six mois plus tard. La sensibilisation cyber qui mesure son impact uniquement à chaud reste donc structurellement aveugle à son propre effet.

Connexion Conscio

Votre dispositif inclut explicitement des mesures à froid via les modules de réactivation et les tests de phishing simulés à distance de la formation. C'est ce qui transforme une plateforme cyber en outil de pilotage, plutôt qu'en outil de reporting.

Sources
Accroches proposées
Accroche 1
Une équipe qui réussit le quiz juste après la formation, on s'en doutait, mais une équipe qui le réussit encore six mois plus tard sans rappel, c'est ça la vraie mesure.
Accroche 2
Le test à chaud rassure, le test à froid décide, et la majorité des plateformes ne propose toujours que le premier.
Accroche 3
Personne n'est en sécurité parce qu'il a coché juste hier, on est en sécurité parce qu'on reconnaît un piège dans six mois sans qu'on nous l'ait remis dans les mains.
A2
Sujet 10
Vendre la cyber au comité de direction avec des chiffres de transfert
Une direction générale ne comprend pas le risque cyber, elle comprend les chiffres qui montrent qu'il baisse. Sans ces chiffres, le RSSI promet, avec eux, il pilote.
Résultats Comité de direction
Contexte

Le RSSI est devenu un poste exposé politiquement face au comité de direction. Chaque budget cyber doit être défendu avec un retour sur investissement, et la plupart des plateformes de sensibilisation ne lui fournissent que des taux de complétude et des taux de clic. Or ces deux indicateurs ne convainquent jamais durablement une direction financière. Ce qui change la conversation, c'est un chiffre de transfert de compétences mesuré sur le terrain, à six mois, comparé à une mesure de départ. C'est cela qui transforme le RSSI d'empêcheur en stratège.

Connexion Conscio

Votre NPS à plus de 28, vos 51 pourcents de montée en compétences mesurée et votre impact 360° à 7,5 sur 10 sont exactement les chiffres qui font la différence au comité de direction. Votre rôle, c'est de transformer un budget formation en investissement défendable.

Sources
Accroches proposées
Accroche 1
Au prochain comité de direction, vous aurez un budget cyber à défendre, et sans chiffres de transfert de compétences vous n'aurez que des promesses à présenter.
Accroche 2
Une direction générale ne comprend pas le risque cyber, elle comprend les chiffres qui montrent si le risque a baissé ou pas.
Accroche 3
Un RSSI qui arrive en comité de direction avec un taux de complétude n'est pas écouté, un RSSI qui arrive avec un transfert de compétences mesuré devient un stratège.
Axe 3 sur 3
Pourquoi sensibiliser et lever les freins
Les arguments à mettre dans la bouche du RSSI pour vendre la sensibilisation en interne, désamorcer les objections classiques, et défendre le budget face à une direction financière.
A3
Sujet 11
Huit incidents cyber sur dix viennent d'un humain
La technologie seule n'a jamais protégé durablement une organisation. La sensibilisation reste l'investissement le plus rentable.
Pourquoi sensibiliser Argument fondamental
Contexte

Le rapport annuel Data Breach Investigations Report de Verizon, référence mondiale, confirme depuis plusieurs années que la grande majorité des incidents de sécurité ont une cause humaine, qu'il s'agisse d'un clic, d'une erreur de configuration, d'une compromission par ingénierie sociale ou d'une faute de manipulation. L'IBM Cost of Data Breach Report et le rapport du World Economic Forum sur les risques cyber convergent vers le même constat. La technologie défensive reste indispensable, mais ne suffit plus à protéger durablement une entreprise contre des attaques qui ciblent désormais le maillon humain en priorité.

Connexion Conscio

Votre conviction fondatrice est exactement là. Le collaborateur n'est pas le maillon faible, c'est un capteur de risques qu'on peut équiper. Et c'est précisément pour ça qu'investir dans la sensibilisation, ce n'est pas une option à côté du pare-feu, c'est la seule manière de couvrir la majorité du risque.

Sources
Accroches proposées
Accroche 1
Quand huit incidents cyber sur dix démarrent par un humain qui clique, on ne défend plus une entreprise avec un pare-feu, on la défend avec ses équipes.
Accroche 2
Le pare-feu garde la périphérie, le clic ouvre la porte de l'intérieur, et la majorité des budgets cyber se concentre encore sur la mauvaise frontière.
Accroche 3
La technologie seule n'a jamais protégé durablement une organisation, et c'est précisément pour ça que la sensibilisation reste l'investissement le plus rentable du marché.
A3
Sujet 12
Le top 3 des freins à la sensibilisation dans une ETI
Pas le temps, pas le budget, pas convaincu que ça change quoi que ce soit. Les trois objections classiques, démontées une par une.
Pourquoi sensibiliser Freins
Contexte

Les études récentes de Forrester et de l'ISACA sur la maturité cyber des ETI européennes documentent les mêmes trois freins partout : le temps, qui s'oppose toujours à la production ; le budget, qui se retire à la première crise économique ; et la conviction profonde, partagée par une partie des directions, qu'une formation cyber annuelle n'a jamais changé un comportement. Les trois sont des freins solides en apparence et fragiles dès qu'on les confronte aux données réelles. Aucune équipe n'a manqué de temps quand elle a vu, mesurée, l'efficacité d'une session courte. Aucun budget n'a tenu face à la facture d'un incident humain. Et aucune direction ne réaffirme la même conviction après avoir vu un transfert de compétences chiffré.

Connexion Conscio

C'est exactement la conversation que vous menez quotidiennement avec les RSSI d'ETI françaises. Votre démarche, par sa pédagogie courte, son format métier et sa mesure d'impact, démonte les trois objections dans le même mouvement, et c'est ce qui rend votre commercial différent de celui qui vend un module générique.

Sources
Accroches proposées
Accroche 1
Pas le temps, pas le budget, pas convaincu que ça change quoi que ce soit, les trois objections à la sensibilisation se répètent depuis vingt ans et les trois sont fausses.
Accroche 2
Tous les responsables sécurité nous disent la même chose en début d'entretien, la sensibilisation on aimerait bien, mais... et ce qui vient après le mais tient toujours en trois phrases qu'on entend depuis dix ans.
Accroche 3
Refuser la sensibilisation aujourd'hui coûte plus cher que la financer, et c'est pourtant la première ligne qu'on coupe quand le budget se resserre.
A3
Sujet 13
Une équipe formée fait baisser de 1,5 million le coût d'un incident
Le chiffre annuel d'IBM, mesuré sur plusieurs milliers d'incidents, transforme la sensibilisation en investissement défendable.
Pourquoi sensibiliser Retour sur investissement
Contexte

Le Cost of a Data Breach Report d'IBM, publié chaque année depuis près de vingt ans, suit le coût moyen des incidents de cybersécurité sur plusieurs milliers d'entreprises dans le monde. Les éditions récentes documentent un écart significatif entre les organisations qui ont déployé un programme de sensibilisation et celles qui ne l'ont pas fait, de l'ordre de 1,5 million de dollars par incident sur plusieurs années. Ce n'est pas un chiffre théorique, c'est une mesure de terrain qui transforme le débat sur le retour sur investissement de la sensibilisation.

Connexion Conscio

Ce chiffre est l'argument central pour faire passer la sensibilisation du statut de centre de coût à celui d'investissement. Votre approche, axée sur le transfert mesuré, permet de défendre le budget devant n'importe quelle direction financière, parce que vous montrez précisément l'efficacité de l'investissement.

Sources
Accroches proposées
Accroche 1
Une équipe formée à la cybersécurité, c'est environ 1,5 million de dollars d'écart sur le coût d'un incident, mesuré chaque année par les études IBM.
Accroche 2
La sensibilisation reste l'investissement cyber au meilleur retour, et c'est aussi celui qu'on a le plus de mal à défendre devant un directeur financier.
Accroche 3
Ne pas former ses équipes ne fait pas économiser un budget formation, ça reporte juste la facture sur la ligne incident.
A3
Sujet 14
"Nos équipes connaissent déjà les bases" est le mensonge le plus partagé
Toutes les directions le disent, tous les RSSI mesurent l'inverse au premier test à froid. Démonter cette fausse croyance, c'est ouvrir la conversation.
Pourquoi sensibiliser Fausse croyance
Contexte

La phrase "nos équipes connaissent déjà les bases" revient dans la quasi-totalité des entretiens avec des directions générales et des directions des ressources humaines avant un projet de sensibilisation. Or les mesures de connaissance à froid, publiées chaque année par Verizon, KnowBe4 et plusieurs études académiques européennes, montrent que la connaissance d'une règle de sécurité et son application réelle sont deux choses très différentes. Sous pression, le mardi à seize heures, après une journée chargée, le réflexe de vérification disparaît même chez ceux qui connaissent parfaitement la règle.

Connexion Conscio

Votre travail consiste précisément à transformer la connaissance abstraite en réflexe automatique. C'est l'écart entre savoir et faire qui justifie une sensibilisation continue, pas une session annuelle. C'est aussi ce qui permet de tenir tête à l'argument du "déjà vu".

Sources
Accroches proposées
Accroche 1
Toutes les directions affirment que leurs équipes connaissent les bases de la cyber, et tous les responsables sécurité mesurent l'inverse au premier test à froid.
Accroche 2
Connaître une règle de sécurité ne veut pas dire l'appliquer le mardi à seize heures sous pression, et c'est exactement là que se joue la sécurité d'une entreprise.
Accroche 3
La pire phrase qu'on entend en cybersécurité, c'est nos équipes savent déjà, parce qu'elle ferme la porte à la seule mesure qui dirait si c'est vrai.
A3
Sujet 15
"On a déjà fait la formation l'année dernière" n'est pas un argument
70 pourcents oublié en quarante-huit heures, plus rien au bout de douze mois. Et pourtant, c'est encore la norme dans la majorité des entreprises.
Pourquoi sensibiliser Récurrence
Contexte

La courbe d'oubli d'Ebbinghaus, validée et reproduite des centaines de fois depuis 1885, montre qu'environ 70 pourcents d'un contenu appris est oublié en quarante-huit heures sans rappel. Cepeda et collègues en 2006 ont confirmé que la rétention durable exige un apprentissage espacé, avec plusieurs réactivations courtes au fil de l'année. C'est précisément le contraire de ce que propose la majorité des plateformes de sensibilisation cyber, qui concentrent encore la formation sur une session annuelle, parfois renforcée par un mois d'octobre dédié, puis silence pendant onze mois.

Connexion Conscio

Votre démarche pédagogique en quatre étapes, interpeller, expliquer, appliquer, réactiver, est exactement bâtie sur ces résultats scientifiques. La réactivation programmée tout au long de l'année est ce qui transforme une formation cyber en compétence durable.

Sources
Accroches proposées
Accroche 1
Une formation cyber faite il y a un an, c'est 70 pourcents oublié en quarante-huit heures puis plus grand-chose au bout de douze mois, et juste une case cochée dans le rapport.
Accroche 2
La sensibilisation cyber n'a pas de date d'expiration sur le papier, mais elle en a une dans le cerveau, et cette date tombe bien plus vite que le prochain audit.
Accroche 3
Refaire la même formation chaque année, c'est exactement ce que la science cognitive recommande de ne pas faire, et c'est pourtant ce que la plupart des plateformes continuent à vendre.
Formats dynamiques

Les deux concepts entre lesquels vous hésitiez

Vous nous avez indiqué hésiter entre Surcoté/Souscoté et Versus. Voici les deux formats présentés à égalité, chacun avec une vidéo exemple et cinq items représentatifs alignés avec votre stratégie de sensibilisation. Validez celui qui vous parle le plus, ou les deux si vous souhaitez les tester en parallèle.

+/−
Concept A
Surcoté / Souscoté
L'intervieweur lance un outil ou une pratique cyber, le porte-parole Conscio juge surcoté ou souscoté et explique en 30 secondes. Format de 5 items, ton recalibrage du risque.
On entend l'intervieweur 5 items par vidéo Recalibrage
Exemple de vidéo Surcoté / Souscoté
Vidéo proposée — Les outils qu'on croit suffisants
Surcoté
ITEM : "L'antivirus."
L'antivirus reste utile mais ne protège ni du phishing, ni de l'ingénierie sociale, ni des deepfakes, ni des erreurs humaines. 80 à 90 pourcents des incidents commencent par un humain qui clique. L'antivirus n'arrête rien de tout cela.
Surcoté
ITEM : "Le VPN grand public."
Le VPN chiffre le trafic, mais il ne rend pas anonyme, ne protège pas du phishing et n'empêche pas un faux site de voler les identifiants. C'est un outil, pas une protection magique. Et certains VPN gratuits revendent les données.
Surcoté
ITEM : "Le pare-feu d'entreprise."
Le pare-feu garde la périphérie. Sauf que les attaques modernes passent par les mails, les visios, les SMS, les appels au support informatique. MGM Resorts s'est fait piéger par téléphone sans qu'aucun pare-feu ne bouge.
Souscoté
ITEM : "Le bouton signaler un mail suspect."
Le signalement est multiplié par 4 quand on installe un bouton phishing dédié et qu'on récompense son usage. C'est l'un des outils les moins chers et les plus efficaces. Pourtant, beaucoup d'entreprises ne l'ont toujours pas.
Souscoté
ITEM : "Le gestionnaire de mots de passe."
62 pourcents des collaborateurs notent leurs mots de passe sur papier, 81 pourcents les gardent à côté de leur ordinateur. Un gestionnaire dédié règle le problème en une journée de formation. Trop peu déployé.
VS
Concept B
Versus
L'intervieweur confronte deux choses, le porte-parole Conscio choisit et explique pourquoi en 30 secondes. Format de 5 items, ton arbitrage et décision.
On entend l'intervieweur 5 items par vidéo Arbitrage
Exemple de vidéo Versus
Vidéo proposée — Pédagogie et formation cyber
Micro-learning mensuel
ITEM : "Une formation cyber annuelle de 2 heures, ou micro-learning mensuel de 10 minutes ?"
Sans rappel, 70 pourcents du contenu est oublié en 48 heures. Avec 3 rappels espacés, on tient 80 pourcents de rétention à 6 mois. Le micro-learning s'aligne sur la science cognitive depuis Ebbinghaus en 1885.
Test pédagogique
ITEM : "Test de phishing punitif avec sanction, ou test pédagogique avec retour bienveillant ?"
50 pourcents des collaborateurs cachent leurs erreurs cyber par peur de la sanction. Le test punitif fabrique du silence, pas de la sécurité. On préfère entraîner, jamais piéger.
Par le jeu
ITEM : "Apprendre par la peur ou apprendre par le jeu ?"
+70 pourcents de rétention en gamification. Signalement multiplié par 4 avec un système de score. La peur paralyse, le jeu ancre.
Cibler les profils à risque
ITEM : "Sensibiliser tous les collaborateurs de la même façon, ou cibler les profils à risque ?"
8 pourcents des salariés concentrent 80 pourcents des clics dangereux. Former tout le monde pareil, c'est l'erreur du siècle. La sensibilisation ciblée transforme infiniment plus.
Programme étalé sur l'année
ITEM : "Le Mois de la cybersécurité en octobre, ou un programme étalé sur l'année ?"
Concentrer 4 semaines puis silence de 11 mois, c'est exactement l'inverse de l'apprentissage espacé. Le rituel d'octobre rassure la communication interne, pas la sécurité réelle.
0
0 accroche(s) · 0 concept(s)

SOCRATECH — Compléments stratégiques — Mai 2026 — Document confidentiel & exclusif, copropriété Socratech & Conscio Technologies