Florian Amette

Florian Amette

July 2, 2026

Cahier des charges pour un cours cybersécurité (modèle opérationnel)

cahier des chargescours cybersécuritérecrutement formateurbriefconception pédagogique
Cahier des charges pour un cours cybersécurité (modèle opérationnel)

Cahier des charges pour un cours cybersécurité (modèle opérationnel)

Pourquoi rédiger un cahier des charges plutôt qu'un simple brief

Quand un responsable pédagogique contacte un formateur cybersécurité, la première tentation est d'envoyer quelques lignes d'e-mail : le sujet, le public, le nombre d'heures, une date. Ce brief informel suffit à ouvrir une conversation, mais il ne suffit pas à encadrer une prestation.

La différence entre un brief et un cahier des charges n'est pas une question de longueur ou de formalisme. C'est une question d'engagement mutuel. Le brief sert à qualifier : il dit « voici notre besoin, êtes-vous disponible et compétent ? » Le cahier des charges, lui, dit : « voici exactement ce que nous attendons, à quelle date, pour quel budget, et comment nous allons le mesurer. »

En cybersécurité, cette distinction prend une importance particulière. Les formations de ce domaine manipulent des environnements techniques sensibles, des outils qui pourraient être détournés, et parfois des données réelles ou pseudo-réelles. Un formateur qui débute un module sans cadre précis peut partir dans une direction pédagogique qui ne correspond pas aux attentes du commanditaire — et les deux parties s'en aperçoivent trop tard, souvent à la fin du module.

Avant de rédiger ce document complet, vous pouvez vous appuyer sur notre check-liste brief cours pour vérifier que vous avez bien posé toutes les questions préliminaires. La check-liste prépare le terrain ; le cahier des charges construit le contrat.

Un cahier des charges bien rédigé présente trois avantages concrets :

  • Il réduit les malentendus sur les livrables attendus (supports, TP, corrigés, évaluation).
  • Il protège les deux parties en cas de désaccord sur la qualité ou le périmètre du travail fourni.
  • Il accélère la montée en régime du formateur, qui n'a pas à deviner ce qui est attendu.

Contexte organisationnel et périmètre du cours

La première section du cahier des charges doit répondre à une question simple : qui êtes-vous et pourquoi ce cours existe-t-il maintenant ? Un formateur qui comprend le contexte de sa mission est infiniment plus efficace qu'un intervenant qui arrive avec ses propres hypothèses.

Présenter l'organisation commanditaire

Décrivez votre structure en quelques lignes : type d'organisation (école d'ingénieurs, entreprise, organisme de formation, service public), secteur, taille approximative, et position du service commanditaire dans l'organigramme. Si votre organisation est soumise à des réglementations sectorielles spécifiques (secteur financier, santé, opérateurs d'importance vitale), mentionnez-le ici. Cela conditionne directement les exemples que le formateur devra choisir et les normes qu'il devra citer.

Préciser le périmètre du cours

Définissez clairement :

  • Le niveau du public : débutants sans bagage technique, praticiens déjà en poste, étudiants en master spécialisé.
  • La durée totale et le découpage des séances (ex. : 4 journées de 7 heures, ou 12 modules de 2 heures en distanciel).
  • Le format de délivrance : présentiel, distanciel synchrone, hybride, e-learning asynchrone.
  • L'inscription dans un programme plus large : est-ce un module isolé ou une brique d'un parcours certifiant ? S'il s'intègre dans un cycle de cours GRC et gouvernance, par exemple, le formateur doit pouvoir articuler son contenu avec les autres modules sans créer de redondances.

Indiquer la genèse du besoin

Expliquez pourquoi ce cours est commandé maintenant. Une réforme réglementaire imminente ? Un audit interne qui a mis en lumière des lacunes ? Une décision de direction de monter en compétences sur un domaine précis ? Cette information n'est pas anecdotique : elle indique au formateur le niveau d'urgence, la sensibilité politique du sujet, et l'état d'esprit dans lequel se trouvera le public.


Objectifs pédagogiques SMART et prérequis

C'est la section que les commanditaires rédigent le plus vite — et le plus mal. « Comprendre les fondamentaux de la cybersécurité » n'est pas un objectif ; c'est une ambition. Un objectif pédagogique SMART est Spécifique, Mesurable, Atteignable, Réaliste et Temporellement borné.

Formuler des objectifs actionnables

Pour chaque objectif, utilisez un verbe d'action observable. Quelques exemples concrets adaptés à la cybersécurité :

  • À l'issue de la formation, le participant sera capable de réaliser une analyse de risques selon la méthode EBIOS RM sur un périmètre défini en moins de quatre heures.
  • Le participant sera capable d'identifier les dix catégories de vulnérabilités du classement OWASP et d'associer chacune à une contre-mesure de premier niveau.
  • Le participant sera capable de rédiger une politique de mot de passe conforme aux recommandations de l'ANSSI pour une PME de moins de 250 salariés.

Chaque objectif doit rester vérifiable en fin de module. Si vous ne pouvez pas imaginer une question d'examen ou un exercice pratique qui teste cet objectif, c'est qu'il est trop vague.

Lister les prérequis sans ambiguïté

Les prérequis mal formulés sont une source majeure d'incidents pédagogiques. Évitez les formulations du type « notions de base en informatique ». Précisez : savoir utiliser la ligne de commande Linux (niveau débutant), avoir déjà configuré un réseau local, connaître les principes de la cryptographie symétrique.

Si le cours s'inscrit dans un parcours certifiant — par exemple comme préparation à la ISO 27001 Lead Auditor — indiquez explicitement quelles unités du référentiel certification sont couvertes et lesquelles sont hors périmètre.

Niveaux de maîtrise attendus

Pour chaque objectif, précisez le niveau de maîtrise visé selon une taxonomie reconnue (Bloom, par exemple) : sensibilisation, compréhension, application, analyse. Un cours de sensibilisation au phishing pour des non-techniciens n'exige pas le même niveau de maîtrise qu'un module de pentest pour des développeurs seniors. Cette précision évite au formateur de sur- ou sous-calibrer la charge cognitive des séances.


Contenus, TP, évaluation et livrables

Structurer le plan de cours attendu

Vous n'avez pas à écrire le cours à la place du formateur, mais vous devez fixer les jalons thématiques incontournables. Listez les grandes thématiques à couvrir, dans l'ordre logique, et indiquez pour chacune une durée indicative et le type de séquence attendue (apport théorique, démonstration, atelier pratique, étude de cas).

Si certains sujets sont hors périmètre — par exemple, si la cryptographie avancée est traitée dans un autre module — dites-le explicitement. Un formateur ne doit pas deviner ce qu'il ne doit pas faire.

Définir les travaux pratiques

Les TP sont souvent le point le plus sous-documenté des cahiers des charges cyber. Précisez pour chaque TP :

  • L'objectif pédagogique ciblé (quel savoir-faire le participant doit-il démontrer ?)
  • L'environnement technique requis (VM locale, range cloud, CTF dédié, sandbox en ligne)
  • Le niveau d'autonomie attendu (guidé pas à pas, semi-guidé, ou « capture the flag »)
  • Le périmètre légal : les TP se déroulent exclusivement sur des environnements de lab dédiés, jamais sur des systèmes de production réels

Cette dernière précision est obligatoire et non négociable. Elle protège l'organisation, les participants, et le formateur.

Préciser les livrables attendus du formateur

Un cahier des charges doit lister précisément ce que le formateur doit remettre, dans quel format, et à quelle date. Voici un tableau type :

LivrableFormatDate de remiseResponsable
Plan de cours détailléPDF ou Google Doc partagéJ-21 avant le premier moduleFormateur
Supports de présentationPowerPoint ou équivalent (éditable)J-7 avant chaque sessionFormateur
Énoncés des TP et corrigésMarkdown ou PDFJ-7 avant chaque sessionFormateur
Questionnaire de positionnementFormulaire en ligneJ-14 avant le premier moduleFormateur + Commanditaire
Grille d'évaluation finaleExcel ou Google SheetJ-3 avant l'évaluationFormateur
Rapport de fin de modulePDF, 2-3 pages maxJ+7 après le dernier moduleFormateur

Ce tableau devient une annexe contractuelle. Chaque livrable non remis dans les délais doit déclencher une relance prévue à l'avance.

Modalités d'évaluation des participants

Précisez si l'évaluation est certificative ou non, individuelle ou collective, et quelle est la pondération entre théorie et pratique. Si un quiz en ligne est prévu, indiquez la plateforme. Si une soutenance est organisée, précisez le jury et les critères de notation.


Infrastructure, données et conformité

Environnement technique

Un cours cybersécurité n'est pas un cours de management. Il nécessite souvent une infrastructure spécifique que le commanditaire ou le formateur doit fournir. Clarifiez qui est responsable de quoi :

  • Qui provisionne les environnements de lab ? L'organisation (DSI interne), le formateur (qui amène ses propres VM ou accès cloud), ou une plateforme tierce dédiée ?
  • Quelles sont les contraintes réseau ? Accès à Internet nécessaire ? Ports ouverts ? Proxy d'entreprise ? Dans certains environnements (secteur public, défense), les contraintes réseau peuvent rendre impossible l'utilisation de plateformes cloud tierces.
  • Quel matériel fournissez-vous ? Postes, câbles Ethernet, switches managés, accès à un réseau isolé ?

Anticiper ces questions évite l'incident classique : le formateur arrive le matin du cours et découvre que le proxy bloque les accès aux outils de lab.

Données et jeux de test

Si le cours utilise des jeux de données pour les exercices (logs système, captures réseau, fichiers de configuration), précisez leur origine. Des données fictives doivent être clairement identifiées comme telles. Des données inspirées de systèmes réels — même anonymisées — doivent être traitées avec soin.

Dès lors que vous manipulez des données à caractère personnel dans un contexte pédagogique, le RGPD s'applique. Cela concerne notamment :

  • Les listes de participants (nom, e-mail, appartenance à une organisation)
  • Les données de résultats et d'évaluation
  • Les logs fictifs qui reproduiraient des données réelles d'utilisateurs

La section conformité du cahier des charges doit mentionner : la base légale du traitement, la durée de conservation des données (supports, enregistrements, résultats), et les mesures de sécurité appliquées aux données de lab.

Obligations de conformité sectorielles

Si votre organisation est soumise à des réglementations spécifiques — NIS2, DORA pour le secteur financier, référentiel HDS pour la santé, qualification SecNumCloud pour les hébergeurs — indiquez-les ici. Le formateur doit en tenir compte dans ses exemples, ses cas pratiques et ses recommandations. Un consultant GRC en poste dans un secteur régulé comprendra immédiatement l'enjeu ; un formateur généraliste sans ce contexte pourra produire un contenu techniquement correct mais réglementairement inadapté.


Planning, budget et critères d'acceptation

Calendrier opérationnel

Le planning doit couvrir l'ensemble du cycle, de la sélection du formateur à la clôture administrative. Identifiez les dates bloquantes : jury de sélection, rendu du plan de cours pour relecture, dates de formation inamovibles, rendu des évaluations, clôture budgétaire. Pour chaque date, précisez qui est responsable de la valider.

Un point souvent négligé : prévoyez explicitement un temps de relecture entre la remise du plan de cours et le début de la formation. Si le commanditaire veut pouvoir demander des ajustements, il doit s'en donner les moyens calendaires. Demander une modification substantielle 48 heures avant le cours est une impasse pour tout le monde.

Cadre budgétaire

Le budget n'a pas à être négocié dans le cahier des charges, mais il doit être cadré. Précisez :

  • La fourchette de rémunération envisagée (journée/homme ou forfait module)
  • Ce qui est inclus dans la rémunération : conception, animation, correction des évaluations, rapport de fin de module
  • Ce qui est facturé en sus : déplacements, hébergement, licences logicielles spécifiques
  • Les modalités de facturation et de paiement

Un cadre budgétaire explicite élimine les candidats hors cible dès la phase de sélection et évite les négociations de dernière minute.

Critères d'acceptation des livrables

C'est la section que les commanditaires oublient le plus souvent — et qui crée le plus de litiges. Pour chaque livrable, précisez ce qui est considéré comme acceptable et ce qui déclenchera une demande de révision.

Exemples de critères d'acceptation concrets :

  • Le plan de cours est accepté si chaque thématique listée dans la section « contenus » est couverte et si la durée allouée à chaque partie est conforme au découpage demandé (±15 %).
  • Les supports sont acceptés si les sources des informations réglementaires sont citées, si les captures d'écran d'outils sont lisibles et datées, et si le niveau de langage est adapté au public défini.
  • Les TP sont acceptés si les énoncés précisent le périmètre légal et si un corrigé commenté est fourni.
  • L'évaluation finale est acceptée si elle teste au moins les objectifs pédagogiques prioritaires identifiés dans la section SMART.

Ces critères doivent être communiqués au formateur avant qu'il commence à travailler. Ils ne sont pas des pièges : ils sont une aide à la production.

Processus de validation et de recette

Définissez qui valide quoi et dans quel délai. Le commanditaire dispose de combien de jours pour retourner ses commentaires sur le plan de cours ? Combien de cycles de révision sont inclus dans la prestation ? Qui a le dernier mot en cas de désaccord sur le contenu ?

Un processus de validation clairement documenté protège le formateur contre un commanditaire qui change d'avis en dernière minute, et protège le commanditaire contre un formateur qui livre un travail insuffisant sans possibilité de recours.


Ce qu'il faut retenir

  • Un cahier des charges engage les deux parties sur des livrables précis, des délais et des critères de qualité vérifiables. Un brief ne remplace pas ce document contractuel.
  • Les objectifs pédagogiques SMART sont le coeur du document : formulez-les avec des verbes d'action observables et précisez le niveau de maîtrise attendu pour chaque compétence ciblée.
  • Les TP doivent être cadrés juridiquement et techniquement : périmètre de lab exclusif, environnement provisionné à l'avance, responsabilités claires entre commanditaire et formateur.
  • La conformité réglementaire n'est pas optionnelle : le RGPD s'applique dès que des données de participants ou des jeux de données pseudo-réels sont manipulés. Intégrez-le dans la section dédiée dès la rédaction initiale.
  • Le tableau des livrables et les critères d'acceptation transforment le cahier des charges en outil de pilotage : chaque partie sait ce qui est attendu, dans quel format et à quelle date.
  • Le calendrier de validation doit intégrer des délais de relecture réalistes. Prévoir une fenêtre pour demander des ajustements avant le début de la formation est une décision de gestion, pas une contrainte administrative.

Vous disposez maintenant d'un cadre complet pour rédiger le cahier des charges de votre prochain cours cybersécurité. Si vous cherchez le formateur qui saura répondre à ce document avec la rigueur qu'il mérite, visitez cyberteachers.org : la plateforme met en relation les responsables pédagogiques avec des formateurs cybersécurité vérifiés, disponibles et adaptés à vos contraintes de contexte, de niveau et de calendrier.

Tous les articles →

Transformez vos formations cybersécurité avec des experts

Expert qualifié en 24h • Formation sur-mesure • Consultation gratuite

Cyber Teachers