La DGSI déploie 1000 conférences par an pour sensibiliser les entreprises aux cyberattaques

Un agent de la DGSI qui débarque dans une salle de réunion, ça calme tout le monde. Pas parce qu’il sort un badge magique, mais parce qu’il raconte des histoires qui sentent le vécu. Depuis une dizaine d’années, le service sort de l’image « monde feutré » pour parler aux boîtes, avec un format simple: conférences, démonstrations, cas réels. Et le volume est massif: un peu plus de mille interventions par an, selon plusieurs interlocuteurs du terrain.

Le truc, c’est que ça laisse des traces. Des entreprises demandent à revoir la DGSI tous les ans, comme un rappel vaccinal. Certaines ont même intégré la demi-journée dans l’onboarding, au point que des nouveaux la citent en entretien annuel comme « temps fort ». On est sur de la sensibilisation qui change des habitudes, pas sur un PDF « bonne pratique » qui finit dans un dossier oublié.

Pourquoi la DGSI fait des conférences, pas des cours théoriques

La mécanique est assez claire: la DGSI ne vient pas faire un cours académique sur le phishing. Elle vient raconter des scénarios d’ingérence et de compromission, et surtout montrer comment ça s’enclenche dans la vraie vie. C’est plus proche d’une démonstration que d’un e-learning. Du coup, le message passe parce qu’il colle aux gestes du quotidien: un mot de passe réutilisé, un PC perso, un déplacement à l’étranger.

Le format « conférence + échanges » a un avantage bête mais énorme: tu peux adapter à l’audience. Une PME industrielle n’a pas les mêmes angles morts qu’un cabinet de conseil, ni les mêmes contraintes qu’un acteur stratégique. La DGSI insiste sur l’idée d' »enjeux propres » à chaque organisation, et ça évite le discours unique. Dans les faits, c’est souvent là que les gens se reconnaissent et arrêtent de penser « ça n’arrive qu’aux autres ».

Le chiffre qui parle, c’est ce rythme d’un peu plus de 1000 conférences par an, en hausse parce que de plus en plus d’entreprises en demandent. Ce n’est pas anecdotique, c’est une politique de diffusion. Et si ça monte, c’est qu’il y a une demande interne: des RSSI, des directions, parfois des RH, qui cherchent un électrochoc crédible pour embarquer les équipes.

Il y a aussi un effet « autorité » qu’on peut critiquer, mais qu’il faut regarder en face. Quand un agent raconte un cas réel, les débats stériles du style « oui mais nous on a Microsoft, on est protégés » s’arrêtent net. Le message devient concret: une faille, c’est souvent une habitude. Et une habitude, ça se corrige par répétition, pas par une affiche dans l’open space.

La demi-journée DGSI qui transforme l’onboarding en rituel sécurité

Ce qui ressort des retours d’entreprises, c’est l’idée d’un « avant/après ». Pas une formule marketing, un constat de terrain. Un dirigeant explique avoir mis la sensibilisation au cur de l’onboarding et de la politique de sécurité. Résultat: c’est tellement intégré que lors des entretiens annuels, les nouveaux arrivants en parlent spontanément comme d’un moment marquant. Ça dit un truc simple: tu peux créer une mémoire collective.

Pourquoi l’onboarding est un bon levier? Parce que tu attrapes les gens au moment où ils apprennent les codes internes. Si tu places la sécurité au même niveau que « comment poser ses congés » ou « comment on valide une note de frais », tu envoies un signal: ici, c’est normal de se méfier, de demander, de signaler. Et tu évites le schéma classique où la cybersécurité arrive après coup, quand un incident a déjà eu lieu.

Le choix de certaines entreprises de refaire la sensibilisation une fois par an est révélateur. Ça sert à deux choses: former les nouveaux, et mettre à jour les anciens sur les menaces émergentes. Parce que l’attaque change de forme. Aujourd’hui, tu as des usages numériques qui explosent: réseaux sociaux pro, outils grand public, IA générative. Si tu ne fais qu’une session unique, tu crées une illusion de maîtrise qui s’évapore en six mois.

Le revers de la médaille, c’est que ça peut devenir un « rituel » vidé de sens si la boîte ne suit pas derrière. Une demi-journée qui marque, c’est bien. Mais si tu laisses ensuite des mots de passe faibles, pas d’authentification forte, des accès trop larges, tu fabriques de la frustration. Les salariés se disent « on nous fait peur », puis ils voient que rien ne change. La sensibilisation doit coller à des décisions concrètes, sinon elle se retourne contre toi.

BYOD, réseaux sociaux, déplacements: les cas concrets qui font tilt

La DGSI martèle des situations très banales, et c’est ça qui fait mal. Exemple raconté dans ses mises en garde: un salarié se connecte à la plate-forme commerciale de sa boîte avec son ordinateur personnel, sans anonymisation ni chiffrement. Un membre de sa famille utilise aussi la machine. À un moment, comportement « bizarre », pas expliqué. Des mois plus tard, le RSSI retrouve l’identifiant et le mot de passe du salarié sur le darkweb.

Et derrière, la suite est mécanique: pas d’authentification forte sur la plate-forme, donc des tiers accèdent à la base clients. Ce cas-là, il sert à casser deux idées reçues. Un: « c’est juste mon PC, je gère ». Deux: « si on se fait voler un mot de passe, c’est pas si grave ». Dans une entreprise, un mot de passe, c’est une clé. Si tu n’as pas de second facteur, tu laisses la porte entrouverte.

Autre terrain où la DGSI insiste: les approches malveillantes sur les réseaux sociaux professionnels. Là encore, rien d’exotique. Tu reçois un message sympa, une demande de mise en relation, un lien vers un document, une invitation à un événement. Et petit à petit, tu donnes des infos: organigramme, projets, fournisseurs, habitudes de déplacement. Le risque, ce n’est pas juste le piratage, c’est la captation d’informations et l’ingérence économique.

Et puis il y a les déplacements à l’étranger, évoqués dans un « flash ingérence » récent. Ce point, beaucoup de boîtes le sous-estiment. Sur place, tu utilises parfois des réseaux inconnus, tu branches une clé USB « cadeau », tu laisses ton téléphone sans surveillance, tu discutes trop dans un hall d’hôtel. Le message de la DGSI, c’est: le numérique et le physique se mélangent. La cybersécurité, ce n’est pas que l’IT, c’est aussi des réflexes de voyage.

Shadow AI et traductions: quand l’IA devient une fuite de données

Depuis que l’IA générative est partout, la DGSI a ajouté des cas très parlants. Un des plus frappants: des salariés d’une entreprise française stratégique traduisent des documents confidentiels avec un outil grand public développé par une société étrangère, sans aval de la hiérarchie. Ce n’est pas un « crime » dans leur tête. C’est juste plus rapide. Et c’est précisément ça le danger: la fuite peut venir d’un usage pratique, pas d’une intention malveillante.

La DGSI pousse deux idées simples: encadrer les usages et utiliser de manière raisonnée. Derrière, tu retrouves des conseils concrets: définir des conditions d’usage, favoriser des IA génératives françaises, privilégier l’IA en local, former régulièrement les équipes. La formation est centrale pour démystifier, rassurer, et surtout faire comprendre ce qui sort du périmètre. Parce que si tu interdis tout sans expliquer, les gens contournent en douce.

Un autre cas évoqué touche à la due diligence. Une société utilise un outil d’origine étrangère et oriente systématiquement ses décisions selon le retour de l’outil, sans contrôle complémentaire. Là, on n’est plus seulement sur la fuite de données, on est sur la dépendance. Tu mets une brique opaque au cur d’une décision sensible, et tu acceptes ses biais, ses erreurs, ou ses manipulations potentielles. Pour une entreprise, c’est un risque stratégique, pas juste « tech ».

Nuance importante: l’IA n’est pas présentée comme le méchant absolu. Le message, c’est plutôt « vous allez l’utiliser, donc préparez-vous ». Former, cadrer, choisir les outils, documenter les usages. Et surtout, ne pas confondre vitesse et sécurité. Le pire scénario, c’est une boîte qui se croit moderne parce qu’elle a déployé un chatbot, mais qui laisse ses équipes coller des extraits de contrats, des données clients ou des plans industriels dans un service grand public.

La répétition, le nerf de la guerre: pourquoi un rappel annuel change tout

La répétition revient comme un leitmotiv, et ce n’est pas un hasard. Un rapport parlementaire cite un exemple brutal: après une attaque, une entreprise lance des campagnes de faux mails piégés pour tester ses salariés. Tout le monde avait été « sensibilisé » par l’incident. Un mois après, 34 % tombent quand même dans le piège. Ça pique, mais c’est réaliste: sous pression, les réflexes s’effondrent si tu ne les entraînes pas.

Dans le même témoignage, les conséquences sont très concrètes: 100 000 euros investis pour éviter que ça se reproduise, et 70 personnes mises en congé forcé de trois heures à trois jours. Là, tu comprends pourquoi la DGSI veut frapper les esprits avant la crise. La cybersécurité, ce n’est pas un coût abstrait. Quand ça tape, ça devient de l’arrêt de production, des équipes immobilisées, des clients inquiets, et parfois des choix douloureux en urgence.

Le rapport alerte aussi sur l’augmentation rapide de la surface d’exposition avec l’Internet des objets, et sur des évolutions technos qui changent l’échelle du problème: IA, et même ordinateur quantique à terme. Sans faire de science-fiction, l’idée est simple: plus tu connectes, plus tu multiplies les points d’entrée. Une sensibilisation annuelle, c’est une façon de garder le niveau, de remettre les compteurs à zéro, et de réinjecter des règles quand les usages dérapent.

La critique qu’on peut faire, c’est que la sensibilisation seule ne compense pas des faiblesses structurelles. Si tu n’as pas d’authentification forte, si tu laisses du BYOD sans cadre, si tu n’as pas de politique claire sur l’IA, tu demandes aux salariés d’être des pare-feu humains. Ça ne tient pas longtemps. Le bon équilibre, c’est: une parole qui marque, des processus qui suivent, et des contrôles réguliers. Sans ça, tu auras des conférences mémorables, mais des incidents quand même.