Cette formation prépare les managers d'aujourd'hui et de demain à reconnaître ces moments, à décider sous pression dans la première minute, et à tenir la barre quand tout part de travers. On n'y apprend pas la cybersécurité comme on apprend une matière. On l'y vit.
Chaque session de deux heures tient en deux temps presque égaux : une heure pour comprendre, une heure pour pratiquer, débattre, se planter en salle plutôt qu'en entreprise.
C'est une nuance énorme, et c'est elle qui guide toute la formation. L'angle est résolument décisionnel. À la sortie, l'étudiant a vu défiler une vingtaine de situations qui vont lui arriver dans sa carrière, et il a déjà eu à les jouer. Quand la vraie crise viendra, il aura un réflexe au lieu d'avoir une question.
La formation s'appuie sur Sophia, le catalogue cyber et IA d'AlphAstra. Sophia a été construit avec des médecins, des juristes, des dirigeants et des animateurs pédagogiques. Le récit, les personnages mentors, les médailles de progression et les anti-décrochages sont importés tels quels, et adaptés au présentiel.
La formation s'adresse aux étudiants en cursus Bachelor, Grande École ou Executive Education, et plus largement aux managers en poste qui veulent monter en compétence. Le ton, la profondeur des cas et la durée des modules sont ajustés une fois le public confirmé.
Aucun pré-requis technique. Un ordinateur, une messagerie professionnelle ouverte, et l'envie de se confronter à des situations inconfortables, ça suffit. L'effectif idéal se situe entre vingt et trente étudiants. Au-delà, les ateliers se dédoublent, sinon la pratique perd ce qui fait sa valeur.
Chaque compétence est observable, mesurable, et entraînée en salle. Pas de « sensibilisation au sujet de » qui ne se vérifie nulle part.
Phishing, ransomware, ingénierie sociale, deepfake, désinformation : qui attaque qui, pourquoi, et combien ça coûte vraiment.
Mots de passe, double authentification, données sensibles, comportement en déplacement. Sans ces bases, tout le reste est bavardage.
Phishing, faux site, deepfake vidéo, voix clonée. La cible des soixante secondes est exigeante, c'est ce que la vraie vie laisse.
Isoler, alerter la DSI, faire monter l'ANSSI, gérer la com interne, parler aux médias sans aggraver, tenir face aux autorités.
Deepfake, vishing IA, ingénierie sociale automatisée. On ne se défend bien que de ce qu'on comprend.
Et résister à une campagne de désinformation visant son entreprise ou son nom propre. Ce qui passait pour de la paranoïa est devenu une compétence.
Cadre de prompt solide, vérification anti-hallucination, conformité RGPD et AI Act qui n'attend pas la sanction pour exister.
On apprend en pratiquant, en débattant et en se trompant. C'est dans ce « se tromper » que la compétence s'installe.
Cinq tentatives de phishing réelles, chrono visible. Chaque étudiant a soixante secondes par mail pour le démasquer. Classement live de la promotion.
« Faut-il payer la rançon ? », « Faut-il communiquer publiquement ? », « Faut-il interdire l'IA en entreprise ? » Pas de bonne réponse, juste de bons arguments.
Un étudiant joue l'attaquant, un autre la cible. Appel vishing en direct, cellule de crise H+1, négociation avec un journaliste après une fuite.
Chaque étudiant fait l'audit OSINT de lui-même. Ce qu'on trouve en un quart d'heure suffit en général à le rendre durablement prudent.
L'outil maison d'AlphAstra est utilisé en classe pour démasquer un faux site préparé pour l'occasion, et challenger les sources que les étudiants citent.
Chacun repart avec une fiche qu'il a construite session après session. Elle lui ressemble, et lui sera utile longtemps après le diplôme.
Pas d'examen final classique. La note repose sur la participation active aux ateliers, un slalom final de douze mini-cas chronométrés, et le playbook personnel rendu en fin de formation. La pondération exacte est ajustée avec votre équipe pédagogique.
Les modules incontournables. On va à l'essentiel sans diluer.
Couverture complète du socle cyber et désinformation, plus la prise en main professionnelle de l'IA générative.
La version complète. On y ajoute la conformité réglementaire et la simulation finale en cellule de crise, qui ancre tout le reste.
Chaque carte décrit ce qui se passe dans une session. La partie en bleu, en bas, indique l'atelier interactif qui suit l'apport. Aucun module ne fait l'impasse sur cette partie pratique.
La photo réelle du paysage cyber actuel : 4 PME françaises sur 5 ciblées dans l'année, deepfake vocal triplé en douze mois. On installe aussi le vocabulaire que les étudiants entendront partout : phishing, smishing, vishing, ransomware, ANSSI, CERT-FR, NIS2.
Mots de passe robustes, gestionnaires (Bitwarden, 1Password, Dashlane), double authentification généralisée, comportements en déplacement (Wi-Fi public, perte, vol). Sans ce socle, tout ce qui suit reste théorique.
Les cinq signaux qui déclenchent l'alarme intérieure : expéditeur, URL, urgence fabriquée, fautes inattendues, pièce jointe trop pratique. Une fois le modèle posé, on attaque la pratique.
Comment un rançongiciel s'installe, comment il se propage, pourquoi il ne faut jamais payer, et ce qu'on fait dans les premières soixante secondes. La chronologie de la réaction est aussi importante que la décision.
Comment l'œil et l'oreille peuvent encore détecter un deepfake en 2026 (yeux, dents, contours, intonation), quand ils ne le peuvent plus, et les outils sur lesquels s'appuyer. Le but n'est pas la paranoïa, c'est le doute productif.
Les quatre leviers que les attaquants exploitent sans relâche : autorité, urgence, exclusivité, validation sociale. Les comprendre, c'est aussi mieux lire ses interactions professionnelles ordinaires.
Quand une vague de faux avis tombe en 48 heures, ce n'est jamais un hasard. On apprend à reconnaître une campagne coordonnée et à choisir entre trois postures rarement enseignées en école : le silence, la réponse, le signalement DGCCRF.
Le cadre RCORCF pour structurer un prompt qui tient (Rôle, Contexte, Objectif, Ressources, Contraintes, Format), l'itération en trois passes, et les cinq endroits où une IA hallucine le plus : citations, chiffres, noms, dates, mentions légales.
Ce qu'un manager doit savoir de l'AI Act (art. 4, 14, 50), du RGPD côté cyber (art. 5, 32, 33), de NIS2 (art. 20) et de DORA (art. 13, 17). L'objectif n'est pas d'en faire un juriste, c'est qu'il reconnaisse un sujet de conformité avant qu'il devienne un sujet de contentieux.
La session de bouclage. Un scénario tombe en début de séance (rançongiciel, deepfake du PDG, fuite client), tiré au sort. Les étudiants forment une cellule de crise. Le temps est réel, la pression aussi. C'est l'épreuve qui révèle ce que la formation a réellement installé.
| Outil | Ce qu'on en fait en salle | Accès |
|---|---|---|
| WebScore, par AlphAstra | Évaluation de la crédibilité d'un site sur 15 critères avec IA Claude. On démasque un faux site préparé pour l'occasion, et on challenge les sources citées. | Compte enseignant fourni |
| Bitwarden | Manipulation réelle d'un gestionnaire de mots de passe : création de coffre, partage sécurisé, génération de mots de passe forts. | Gratuit |
| Intel FakeCatcher · Deepware | Détection de deepfake vidéo. Les étudiants soumettent des extraits, parfois piégés, pour voir où la machine se plante encore. | Gratuit ou freemium |
| VirusTotal · URLscan | Vérification d'URL et de pièces jointes suspectes en direct, à partir des mails de phishing du module 3. | Gratuit |
| Have I Been Pwned | Vérification de fuites de données, et exploitation pour la red team personnelle. | Gratuit |
| Une IA générative | Claude, ChatGPT ou Mistral. Chaque étudiant en utilise une sur ses propres cas au module 8. | Compte personnel |
| SignalConso (DGCCRF) | Signalement de faux avis et atteintes à la marque, à partir d'un cas réel de désinformation. | Gratuit, service public |
Pas une certification réglementaire, mais un balayage propre de ce qu'un manager doit avoir vu pour ne pas se faire surprendre dans ses premières années de poste.
La formation se mesure aussi à ce qui reste un an plus tard, quand l'étudiant est en stage ou en poste. Quatre choses au minimum.
Construite session après session, versionnée et capitalisable. Elle lui ressemble parce qu'il l'a construite lui-même.
Un cadre de prompt qui fonctionne, une check-list anti-hallucination, une mémoire des cas où il s'est planté en classe.
Tirée des ateliers de la promotion. Qu'il pourra rouvrir dans cinq ans en se demandant comment il réagirait aujourd'hui.
Alignée sur les exigences de l'AI Act article 4 et de NIS2 article 20.
Responsable technique d'AlphAstra. C'est lui qui a conçu et développé le programme Sophia dont est tirée cette formation, ainsi que WebScore (évaluation de la crédibilité de sites web) et ArGus (veille anti-désinformation). Il intervient en double casquette : la rigueur de quelqu'un qui construit ces outils tous les jours, et le regard de quelqu'un qui a vu la même attaque réussir contre des entreprises différentes pour les mêmes raisons.
Premier échange en visio sous huit jours. Devis adapté à votre public et à votre volume sous deux semaines.
Démarrer la conversation