La directive NIS2 fait de la sensibilisation cyber une obligation légale, dirigeants compris. Voici comment en faire un levier d'engagement plutôt qu'une contrainte.
La directive NIS2 n'est plus une perspective lointaine : elle redéfinit les obligations de cybersécurité de plus de 15 000 entités en France. Parmi ces obligations, l'une est souvent sous-estimée par les directions : former et sensibiliser l'ensemble des collaborateurs, dirigeants compris. Pour beaucoup de responsables formation et de RSSI, la question n'est plus « faut-il former ? » mais « comment former à grande échelle sans que la sensibilisation cyber ne devienne une contrainte de plus ? ». C'est exactement là que la formation gamifiée NIS2 change la donne.
Depuis 2018, Albus Factory conçoit des serious games de cybersécurité sur mesure : +300 projets, +300 000 joueurs, 100 % de satisfaction. Nous avons notamment accompagné Naval Group sur la gestion de crise cyber, auprès de 660 collaborateurs IT. Cet article décrypte ce que NIS2 impose réellement en matière de formation, et comment transformer cette exigence réglementaire en véritable culture de sécurité.
La directive NIS2 (directive (UE) 2022/2555) élargit considérablement le périmètre de la cybersécurité réglementée en Europe. En France, sa transposition s'opère via la loi de résilience des infrastructures critiques et de renforcement de la cybersécurité, dont l'adoption est attendue à l'été 2026. L'ANSSI, désignée autorité compétente, a publié en mars 2026 son Référentiel Cyber France (ReCyF), qui constitue la feuille de route opérationnelle des entités concernées.
Au coeur du texte, deux obligations de formation que vous ne pouvez pas ignorer. La directive NIS2 impose que les organes de direction suivent une formation pour identifier les risques cyber et en évaluer la gestion : ils en portent désormais la responsabilité personnelle. En parallèle, l'entreprise doit offrir une sensibilisation régulière à l'ensemble de ses collaborateurs. La conformité passe donc par un dispositif de formation continu, documenté et engageant, jamais par un module ponctuel coché une fois par an.
Le texte distingue deux catégories d'organisations. Les entités essentielles (énergie, santé, transport) et les entités importantes (chimie, agroalimentaire, fabrication) sont soumises à des régimes de contrôle et des sanctions différents : jusqu'à 10 M€ ou 2 % du chiffre d'affaires mondial pour les premières, 7 M€ ou 1,4 % pour les secondes. Au-delà de l'amende, c'est la responsabilité directe des dirigeants qui est engagée, un changement de paradigme par rapport à la première version de NIS.
Concrètement, l'article 20 fait de la gouvernance cyber une affaire de dirigeants : ils approuvent les mesures de gestion des risques, se forment et veillent à ce que leurs équipes en fassent autant. L'article 21 précise les mesures attendues, dont la sensibilisation continue. Pour les responsables formation, l'enjeu devient clair : déployer une sensibilisation à la cybersécurité qui touche réellement tous les publics, du comité de direction aux équipes terrain.
Votre enjeu, tel que nous l'entendons régulièrement : la cybersécurité est un sujet perçu comme technique, abstrait, éloigné du quotidien des collaborateurs non spécialistes. Les formations classiques (e-learning linéaire, présentations réglementaires) génèrent de la conformité de surface, pas des réflexes durables. C'est précisément ce défi qu'a relevé Naval Group, acteur majeur de la défense navale.

Albus Factory a conçu « Le Grand Défi Cyber » : un escape game digital où les joueurs incarnent une équipe confrontée à une cyberattaque en temps réel. Détection de l'intrusion, analyse des indices, coordination sous pression, mise en place des contre-mesures : la simulation place les participants en situation de décision plutôt que d'écoute. Le dispositif a mobilisé 660 collaborateurs IT sur 3 sessions, avec un taux de participation de 70 % et une note de satisfaction de 4,8/5. Découvrez les coulisses du projet Le Grand Défi Cyber de Naval Group.
Le secteur bancaire, lui aussi fortement régulé, illustre la même logique appliquée à la conformité. Pour Crédit Agricole, nous avons conçu un escape game au format mallette autonome sur l'éthique et la conformité, déployable en agence sans animateur. Résultat : 95 % des participants vont au bout de l'expérience, et le dispositif est reconduit chaque année depuis 2023. La preuve qu'une obligation réglementaire peut devenir un rendez-vous attendu plutôt qu'une contrainte subie. Une logique directement transposable à la mise en conformité NIS2.
La formation gamifiée NIS2 ne se résume pas à un format unique : elle s'articule autour de trois dispositifs complémentaires, à mapper sur les publics imposés par la directive.
L'article 20 exige une sensibilisation régulière de l'ensemble du personnel. Le challenge digital répond à cet enjeu de masse : accessible sur mobile et desktop, déployable simultanément sur tous vos sites, il couvre les fondamentaux cyber (phishing, mots de passe, gestion des données sensibles) via des défis courts et un scoring par équipe. Un module e-learning gamifié ancre ces réflexes bien mieux qu'un quiz réglementaire annuel.
Pour les équipes en première ligne, le serious game en entreprise simule une attaque réelle : ransomware, intrusion, ingénierie sociale. Les joueurs suivent la « kill chain » de l'attaquant et apprennent à réagir en équipe sous pression. Cette approche est la même que celle qui a fait ses preuves sur nos projets de serious game HSE : on ne retient pas une procédure qu'on lit, on retient une situation qu'on vit.
NIS2 impose la formation des dirigeants eux-mêmes. Ce public exige un format court, scénarisé, qui parle son langage : responsabilité, arbitrage budgétaire, prise de décision en situation de crise. Une formation gamifiée dédiée au comité de direction transforme une obligation perçue comme administrative en exercice stratégique concret.
Dernier point, et non des moindres : NIS2 exige une formation documentée. Chaque dispositif Albus Factory est livré avec un tableau de bord de participation et un débrief structuré. Vous disposez ainsi d'une traçabilité exploitable face à l'ANSSI, qui démontre que vos équipes ne sont pas seulement informées, mais réellement formées. Le parcours type se déroule en quatre temps : cartographier le périmètre concerné, traduire le ReCyF et vos procédures internes en mécaniques de jeu, déployer par cible (dirigeants, IT, ensemble des collaborateurs), puis mesurer et documenter l'impact.

Oui. L'article 20 de la directive NIS2 impose aux organes de direction de suivre une formation pour identifier et évaluer les risques cyber, et de veiller à ce que l'ensemble des collaborateurs bénéficie d'une sensibilisation régulière. La formation devient une obligation de conformité, dont les dirigeants portent la responsabilité personnelle.
Plus de 15 000 entités en France, réparties entre entités essentielles (énergie, santé, transport) et entités importantes (chimie, agroalimentaire, fabrication, et de nombreux autres secteurs). Au sein de chaque organisation, l'obligation couvre à la fois les organes de direction et l'ensemble des collaborateurs.
Le budget dépend du format et du nombre de collaborateurs. Un challenge digital de sensibilisation pour plusieurs centaines à plusieurs milliers de joueurs est accessible à partir de quelques milliers d'euros. Le coeur de marché d'Albus Factory pour un serious game cyber sur mesure se situe entre 20 000 et 50 000 €. Nous publions nos grilles tarifaires : vous méritez de comparer sereinement.
La traçabilité est au coeur de la conformité NIS2. Nos dispositifs intègrent un tableau de bord de participation (taux d'engagement, scores, completion) et un débrief structuré. Vous disposez d'une preuve documentée et exploitable de la formation suivie, à la fois par les dirigeants et par les collaborateurs, conforme aux attentes de l'ANSSI.
Transformez votre obligation de sensibilisation cyber en expérience de jeu engageante et mesurable. Échangeons sur votre périmètre NIS2 et le format adapté à vos équipes.
+300 projets · +300 000 joueurs · 100% satisfaction depuis 2018
Obtenir un devis gratuit ›