Les programmes de formation cyber en PME peinent à suivre le rythme des usages numériques et des attaques. Plusieurs acteurs explorent des formats plus courts, plus réguliers et adaptés au mobile pour renforcer l’attention des utilisateurs.
Les incidents liés à l’erreur humaine restent fréquents dans les PME. Les campagnes de phishing ciblé se multiplient. Les attaquants exploitent des gestes quotidiens : clic sur un lien, ouverture d’une pièce jointe, partage d’identifiants.
« Pour bon nombre de salariés, la cyber demeure encore, au mieux ennuyeuse, au pire effrayante.«
Romain Basset, cofondateur de belfor.io
Dans ce contexte, les formats traditionnels de sensibilisation, souvent structurés autour de modules de 30 à 60 minutes, sont questionnés. Leur durée mobilise fortement les équipes. Le caractère ponctuel de ces sessions limite l’ancrage mémoriel. Enfin, la diffusion de ces modules reste parfois perçue comme une obligation de conformité plutôt que comme un outil opérationnel.
Plusieurs éditeurs expérimentent désormais des approches inspirées des usages mobiles et des réseaux sociaux. L’objectif est d’augmenter la fréquence d’exposition aux messages, tout en réduisant la durée unitaire des contenus.
Modules de 30 à 60 minutes : un taux d’engagement en question
Les formats longs présentent un avantage : ils permettent de traiter un sujet en profondeur. Ils couvrent souvent plusieurs thématiques en une seule session. Mais leur consommation réelle interroge. En PME, les contraintes opérationnelles limitent la disponibilité des collaborateurs. Les sessions dépassant 30 minutes sont rarement suivies en totalité. Leur mémorisation dans le temps reste incertaine, surtout sans rappels réguliers.
Le modèle ponctuel pose aussi la question de l’évolution des menaces. Une session annuelle peut rapidement devenir obsolète face à des techniques d’attaque qui changent en quelques mois. La logique de conformité domine encore certains dispositifs. L’objectif est alors de démontrer qu’une action de formation a eu lieu. La mesure fine des comportements, elle, reste plus complexe à mettre en œuvre.
Vidéos verticales de 45 secondes : vers un micro-learning mobile
Parmi les alternatives testées, le micro-learning progresse. Le principe repose sur des contenus très courts, diffusés de manière répétée. Certains acteurs proposent des vidéos verticales d’environ 45 secondes, conçues pour être consultées sur smartphone. Le format vertical correspond aux usages des applications sociales. La brièveté vise à réduire la friction d’accès. La répétition permet de renforcer la mémorisation par exposition régulière.
Ces dispositifs sont souvent associés à des simulations de phishing adaptatives. Une simulation de phishing consiste à envoyer un faux courriel d’attaque pour observer les réactions. L’adaptation repose sur l’analyse des comportements précédents : clic, signalement, absence de réaction. L’objectif n’est plus seulement de former, mais de mesurer et d’ajuster. On parle alors de gestion du risque humain, ou Human Risk Management. Cette approche cherche à corréler les données issues des simulations, des formations suivies et des comportements observés.
Belfor.io : une plateforme incubée au Campus Cyber de Lille
C’est sur ce positionnement qu’apparaît belfor.io, société fondée en février 2026 par Florent Cahagne et Romain Basset, deux anciens de Vade. Incubée au Campus Cyber de Lille, elle présentera sa solution lors d’Incyber Europe 2026 avant un lancement commercial annoncé en avril.
» Les MSP sont en première ligne pour protéger des milliers de PME. Ils méritent des outils réellement adaptés à leur réalité opérationnelle «
Florent Cahagne, cofondateur de belfor.io
La plateforme combine micro-contenus vidéo verticaux d’environ 45 secondes, simulations de phishing adaptatives et recommandations personnalisées. Elle est conçue en mode multi-tenant, permettant à un prestataire de gérer plusieurs environnements clients depuis une même interface.
Romain Basset, cofondateur de belfor.io, détaille cette démarche : « Pour bon nombre de salariés, la cyber demeure encore, au mieux ennuyeuse, au pire effrayante. Nous voulons changer cela : l’utilisateur reste la clé de voûte de la sécurité d’une entreprise, particulièrement dans les PME. Nous devons savoir lui parler. »
La solution est proposée en marque blanche et pensée pour un déploiement rapide. Le modèle économique vise à intégrer la sensibilisation cyber dans une offre de services récurrente plutôt que comme une action ponctuelle.
