Pourquoi Cybervécu existe
Quand j'ai commencé à parler de cybersécurité autour de moi, j'ai entendu deux choses, toujours.
D'un côté, le ras-le-bol. « La cyber, ça me fait perdre du temps. Ça plombe ma productivité. » La sécurité numérique vécue comme une charge, pas comme un réflexe.
De l'autre, un détachement déconcertant. « Ça ne me concerne pas, je suis tout petit, personne ne s'intéresse à moi. » Mon père, électricien, raisonnait ainsi. Un proche débordé cherchait simplement à « ne pas perdre encore plus de temps » sur le sujet.
J'ai essayé. Vraiment. Je leur ai montré des vidéos. J'ai testé des jeux de société cyber. J'ai préparé des présentations. Rien ne s'imprimait. Rien n'était adapté à leur secteur. Rien ne ressemblait à leur quotidien réel. Au mieux, un haussement d'épaules. Au pire, l'agacement de qui sent qu'on lui parle d'un risque qui se passe ailleurs, chez d'autres, dans une autre vie.
C'est dans mon métier que j'ai compris ce qui manquait. Une approche qui ne raconte pas le risque, mais qui le fait vivre. Qui ne montre pas un hacker en sweat noir, mais votre boîte mail à vous. Qui ne dit pas « la cyber est importante », mais qui vous fait décider sous pression dans le décor exact où vous travaillez chaque jour.
Cybervécu, c'est reproduire votre quotidien pour vous protéger face aux cyberattaques.
Pas plus compliqué que ça.
Lise BENOIT
La voix de Matis
J'en avais marre de travailler avec des outils qui me faisaient regarder des vidéos ou lire des fiches sur la cybersécurité. Je m'ennuyais, je ne retenais rien, et je me disais qu'au fond personne ne se faisait vraiment hacker. Jusqu'au jour où j'ai vu des proches se faire attaquer de plus en plus souvent et mesurer le risque réel.
Dans le rush du quotidien, je me suis dit que ça pouvait aussi m'arriver. Avec les tensions mondiales qui montent et l'accès de plus en plus facile à des outils puissants pour soutirer de l'argent sans effort, une vidéo YouTube de trois minutes par an ne suffisait plus, on le sait tous.
Il nous est apparu évident qu'un outil de cybersécurité devait offrir une expérience qui se vit : un jeu qu'on a envie de faire, dont on parle avec ses collègues à la pause, avec des cas qu'on reconnaît dans son quotidien. J'avais envie de voir des affiches dans nos bureaux qui rappellent les bons réflexes, d'être formé de façon moderne via de fausses offres avec QR code où je me ferais avoir, un contenu interactif et ludique, des situations auxquelles on pourrait vraiment être confronté si quelqu'un de malveillant voulait nous nuire.
J'ai listé tout ce qui me frustrait chez la concurrence et on en a fait une règle d'or à éviter absolument.
C'est une méthode conçue en pensant aux apprenants en priorité, à leurs besoins et envies réels, avec pour objectif leur mémorisation. En s'inspirant de centaines de cas réels survenus partout dans le monde, on a produit la méthodologie et l'outil qu'on aurait voulu avoir nous-mêmes en tant que collaborateurs.
Matis SONZINI
Le constat et la réponse Cybervécu
Le constat
Quatre-vingt-dix pour cent des cyberattaques réussies commencent par une erreur humaine Cyberdéfense, Ministère des Armées, 2024. Pourtant, la majorité des sensibilisations cyber actuelles parlent de code, pas de gestes du quotidien. Elles montrent un hacker en sweat noir, un écran générique, un chiffre choc. L'apprenant hoche la tête, et le mardi suivant clique quand même sur la fausse facture.
Le problème n'est ni l'information, ni la capacité de l'apprenant. Le problème est que rien ne s'imprime dans son quotidien réel. La mémoire humaine fonctionne par contexte Tulving, 1973. Si la formation ne ressemble pas à son écran de travail, son cerveau range le risque dans la case « ailleurs » et ferme l'épisode.
La réponse Cybervécu
Cybervécu prend le problème par l'autre bout. On n'enseigne pas la cyber : on la fait vivre. L'apprenant ne lit pas un risque, il le rencontre dans un décor qui ressemble exactement au sien, prend une décision sous pression, et reçoit un débrief immédiat ancré sur ce qu'il vient de faire.
Trois principes fondent la méthode. Onze décors la matérialisent dans la plateforme ROOMCA. Huit KPIs en mesurent l'efficacité.
Les trois principes fondateurs
Le décor reconnu
La mémoire humaine n'apprend pas un risque abstrait. Elle apprend un risque qui ressemble à son contexte. Si l'écran de la formation ne ressemble pas à votre écran de travail, votre cerveau range le risque dans la case « ailleurs ».
Les décors sont calqués sur les outils réels (Outlook, iOS, Android, Teams, Zoom). Chaque scénario est calibré sur l'un des dix-neuf secteurs métier que ROOMCA couvre : finance, santé, tech, commerce, industrie, éducation, secteur public, juridique, transport, agroalimentaire, laboratoire, services, interne (RH/IT), énergie, luxe, e-commerce, télécom, audiovisuel et vie quotidienne.
Un soignant joue un scénario où il voit un mail Ameli dans une boîte qui ressemble à la sienne, avec mails de la veille, signature interne, calendrier en barre latérale. Pas un hacker en sweat noir. Pas un écran générique.
La décision sous pression
On n'apprend pas la cyber en la lisant. On l'apprend en agissant, en se trompant, et en ressentant l'impact de son choix. La connaissance théorique ne crée pas de réflexe. Seule la décision répétée crée un réflexe.
Chacun des onze décors Cybervécu demande une action concrète : cliquer, refuser, valider, trier, scanner, choisir. Chaque décision, son délai et son contexte sont enregistrés côté admin (taux de clic mail, taux de scan QR, taux de signalement, temps de décision moyen).
L'apprenant ne lit pas « il faut vérifier l'expéditeur ». Il décide en trente secondes s'il clique sur le mail Ameli, comme dans la vraie vie. S'il clique, le scénario poursuit avec la conséquence (faux site de connexion). S'il refuse, le scénario poursuit avec la validation (signalement à l'IT).
Le débrief immédiat
Un retour différé ne s'imprime pas. Un retour à chaud, ancré sur la décision qui vient d'être prise, oui. Le cerveau associe la leçon à l'expérience qui vient d'avoir lieu, pas à un cours abstrait reçu trois jours plus tard.
Après chaque bloc, un débrief court s'affiche : ce qu'il fallait remarquer, pourquoi, et la règle d'or à retenir. Pas un rapport hebdomadaire. Pas un mail de synthèse en fin de session. Un débrief en moins de quinze secondes, dans l'écran, juste après la décision.
L'apprenant clique sur le faux mail Ameli. Immédiatement, le débrief : « Voici l'indice que vous auriez pu repérer : le domaine était ameli-fr-securite.com, pas ameli.fr. Règle d'or : toujours vérifier le domaine avant de cliquer, surtout sur les mails qui parlent d'argent ou d'identité. »
Les onze décors Cybervécu
Chaque décor reproduit un endroit du quotidien numérique d'un collaborateur, et demande une décision dont l'apprenant ressent l'impact. Tous les décors ci-dessous existent comme briques du Builder ROOMCA aujourd'hui.
| Nº | Décor | Bloc Builder | Quotidien reproduit | Décision-clé |
|---|---|---|---|---|
| 01 | Boîte mail réaliste | EmailBlock | Inbox style Outlook | Cliquer ou non sur un mail |
| 02 | Téléphone (SMS + Appel) | PhoneBlock | Écran téléphone réel | Répondre, taper un code, raccrocher |
| 03 | Agenda piégé | CalendarBlock | Invitation calendrier | Accepter ou refuser |
| 04 | Notification push | NotificationBlock | MFA / 2FA | Valider ou refuser |
| 05 | IBAN / Virement | IbanBlock | Demande de RIB | Valider ou bloquer |
| 06 | Faux site web | WebpageBlock | Page de connexion | Saisir ou non |
| 07 | Photo / USB | PhotoBlock | Pièce jointe, clé USB | Ouvrir ou ignorer |
| 08 | QR Code | QrBlock | Affiche, sticker | Scanner ou non |
| 09 | Choix sous pression | DecisionBlock | Choix moral | Valider, refuser, signaler |
| 10 | Tri / discrimination | SortBlock | Trier vrais et faux | Classer correctement |
| 11 | Mémoire / réflexe | PuzzleBlock (3) | Mots croisés, mémo, tri | Ancrer un protocole par le jeu |
Critères d'un bon scénario Cybervécu
Dix critères qualité pour évaluer un scénario avant publication dans le catalogue ROOMCA. Trois familles : décor, action, apprentissage. Un scénario qui rate l'un de ces critères n'est pas Cybervécu.
Décor & contexte
- 1Le décor est calibré sur un secteur métier réel.Pas de scénario « pour tout le monde » : un scénario santé, un scénario finance, un scénario industrie. La langue et le ton correspondent au registre du métier visé.
- 2Les données personnelles personnalisent le décor, jamais la honte.Les données du collaborateur (prénom, mail, service) sont injectées via balises dynamiques pour rendre le décor reconnaissable. Elles restent sur l'infrastructure ROOMCA (France, RGPD), ne sont jamais partagées avec des tiers, et ne servent jamais à exposer un collaborateur publiquement.
- 3Le décor s'appuie sur les vraies marques du quotidien, en cadre privé pédagogique.Un scénario Cybervécu reproduit deux niveaux de marques. D'un côté, les interfaces des outils du quotidien (Outlook, Gmail, Teams, Microsoft 365, iOS, Android, Zoom). De l'autre, les contenus reçus qui sont les vrais vecteurs d'attaque : mails Ameli, La Poste, URSSAF, CPAM, fausses factures fournisseurs, faux SMS de banque, fausses notifications de livraison. C'est ce qui rend le décor reconnaissable et la méthode efficace. L'usage est strictement interne à l'organisation cliente, sans exposition publique, sans exploitation commerciale des marques, et conforme à l'exception pédagogique du droit des marques.
Action & pression
- 4Au moins une décision sous pression est demandée à l'apprenant.Cliquer, refuser, valider, signaler, scanner, choisir. Sans décision, ce n'est pas un scénario Cybervécu : c'est une vidéo.
- 5La décision-clé tombe en moins de trente secondes.Comme dans la vraie vie. Pas de méditation longue, pas de chemin évident vers la bonne réponse, pas de bouton « voir la solution » avant l'action.
- 6Au moins deux indices sont placés dans le décor.Un indice évident, accessible aux apprenants peu formés. Un indice subtil, qui récompense les attentifs. Sinon le scénario est trop facile (frustrant) ou trop dur (humiliant).
Apprentissage
- 7Un seul angle pédagogique principal par scénario.Pas trois leçons en parallèle. La mémoire ancre une chose, pas trois.
- 8Le débrief tombe à chaud.Maximum quinze secondes après la décision. Pas un mail de récap en fin de mois. Pas un rapport hebdomadaire. Un débrief dans l'écran, juste après l'action.
- 9La leçon est ancrée sur l'erreur de l'apprenant.Le débrief explique ce qu'il aurait pu repérer dans ce scénario précis, pas une règle générale tirée d'un manuel cyber.
- 10L'erreur n'humilie pas.Le ton du débrief encourage, ne moralise pas. Pas de « vous avez échoué », plutôt « voici ce que vous auriez pu repérer ». L'apprenant qui se trompe doit pouvoir rejouer.
Anti-patterns à éviter
Huit erreurs récurrentes des sensibilisations cyber classiques, que Cybervécu refuse explicitement. Si l'un de ces patterns est présent, ce n'est pas Cybervécu.
- 01La vidéo passive avec voix-off explicative.L'apprenant regarde, ne décide pas, n'imprime rien. Au mieux, il l'oublie en quittant la salle de réunion.
- 02Le jeu de société cyber générique.Bonne intention, mauvais format. Sans décor numérique reproduit, le geste ludique ne se transfère pas dans le quotidien réel de l'apprenant.
- 03La présentation théorique sans interaction.Slides, voix monocorde, chiffres anxiogènes. L'apprenant écoute, hoche la tête, repart cliquer sur la fausse facture le lundi.
- 04Le QCM à choix multiples en fin de session.On teste la connaissance théorique, pas le réflexe en situation. Une bonne réponse à un QCM ne dit rien sur ce qui se passera devant le vrai mail piégé.
- 05Le hacker stéréotypé en sweat noir.Aucun apprenant ne se reconnaît dans ce décor. La mémoire range l'épisode dans « ailleurs ».
- 06Le scénario « pour tout le monde » sans calibrage métier.Si le décor n'évoque pas le quotidien spécifique du collaborateur, son cerveau classe l'épisode en hors-sujet et ferme l'apprentissage.
- 07Le débrief différé (mail récap en fin de mois).L'expérience est déjà oubliée. Le feedback différé a un effet d'apprentissage 6 à 8 fois inférieur au feedback immédiat (Hattie & Timperley, 2007).
- 08La leçon moralisatrice ou humiliante.« Vous avez échoué, vous êtes une faille humaine. » L'apprenant ferme, désengage, se braque. La honte ne forme pas un réflexe : elle l'éteint.
Les huit KPIs Cybervécu
Une méthode sans mesure est un manifeste. ROOMCA enregistre huit indicateurs concrets pour chaque scénario, accessibles côté admin.
| KPI | Définition | Cible Cybervécu |
|---|---|---|
| Taux de complétion | % de scénarios assignés effectivement terminés | ≥ 85 % |
| Temps moyen par scénario | Durée réelle du démarrage à la dernière action | 5 à 15 min |
| Taux de clic | % d'apprenants qui cliquent un mail ou un SMS piégé | Baisse de 25 % à 8 % en 8 semaines |
| Taux de scan QR | % d'apprenants qui scannent un QR contextuel piégé | Baisse de 30 % à 10 % en 8 semaines |
| Taux de signalement | % d'apprenants qui rapportent l'attaque au lieu de cliquer | Hausse de 5 % à 35 % en 8 semaines |
| Score moyen scénario | Note brute sur le score max propre à chaque scénario | Progression scénario après scénario |
| Taux de réussite | % de scénarios joués au-dessus du seuil de réussite (70 % par défaut) | ≥ 75 % |
| Score quiz mensuel | Note /100 au quiz mensuel envoyé à chaque apprenant | Moyenne ≥ 75 / 100 |
Les cibles sont indicatives et seront affinées avec les premiers clients.
Modules de pilotage côté admin
Au-delà des huit KPIs, la console admin embarque trois modules complémentaires pour piloter la culture cyber au quotidien : la gestion des groupes et seuils de réussite, la bibliothèque d'affiches Cybervécu, et le scan d'exposition (check email vs HIBP).
Bibliographie
Sciences cognitives
- Tulving, E. & Thomson, D. M. (1973). Encoding specificity and retrieval processes in episodic memory. Psychological Review, 80(5), 352-373.
- Kapur, M. (2008). Productive failure. Cognition and Instruction, 26(3), 379-424.
- Hattie, J. & Timperley, H. (2007). The power of feedback. Review of Educational Research, 77(1), 81-112.
Cybersécurité
- ANSSI (2024). Panorama de la menace cybersécurité 2024.
- FBI IC3 (2024). Internet Crime Report 2024.
- CNIL (2024). Rapport annuel.
- Cyberdéfense, Ministère des Armées (2024). Le facteur humain dans les cyberattaques.
Version 1.0 · Mai 2026
Évolutions prévues : étude longitudinale 12 mois avec un client pilote, ajout de décors selon retours, critères qualité affinés à partir de scénarios réels en production.
ROOMCA · Lyon, France · contact@roomca.fr