Simulation de phishing : méthode et bonnes pratiques pour PME
Le phishing est le vecteur d'attaque numéro un : il est impliqué dans plus de 90 % des cyberattaques réussies. La simulation de phishing — envoyer de faux emails malveillants à vos collaborateurs pour mesurer et améliorer leur vigilance — est l'outil de sensibilisation le plus efficace disponible. Voici comment l'organiser correctement.
Pourquoi simuler des attaques phishing ?
Les formations traditionnelles (PowerPoint, e-learning) ont un impact limité sur le comportement réel. Les simulations phishing créent une expérience concrète : le collaborateur qui clique sur un lien suspect reçoit immédiatement une page d'avertissement pédagogique, ancrant l'apprentissage dans l'expérience vécue. Les études montrent que les organisations pratiquant des simulations régulières réduisent leur taux de clic de 30 % initial à moins de 5 % en 12 mois.
La simulation mesure également votre exposition réelle : combien de collaborateurs cliquent sur un lien ? Combien saisissent leurs identifiants ? Combien signalent l'email ? Ces métriques permettent d'identifier les populations à risque, de cibler la formation et de démontrer l'amélioration au fil du temps.
Choisir sa plateforme de simulation
GoPhish est une solution open source gratuite, idéale pour débuter avec un budget limité. Elle permet de créer des campagnes personnalisées, de suivre les clics et soumissions de formulaires, et de générer des rapports. Nécessite une configuration technique.
KnowBe4 est le leader du marché avec une bibliothèque de 15 000+ templates de phishing et une plateforme de formation intégrée. Tarif : 15 à 30 € par utilisateur et par an. Idéal pour les organisations cherchant une solution complète clé en main.
Proofpoint Security Awareness combine simulation phishing et formation contextualisée. Forte intégration avec les outils Microsoft 365 et Google Workspace.
Terranova Security est un acteur canadien avec une interface en français, populaire en France et au Canada. Bon rapport qualité-prix pour les PME francophones.
Concevoir des scénarios réalistes et progressifs
La difficulté des scénarios doit être progressive. Commencez par des templates "faciles" (emails avec des fautes d'orthographe évidentes, noms de domaine suspects) pour établir une baseline. Progressez vers des scénarios "moyens" (email imitant votre DSI, notification RH) puis "difficiles" (spear phishing ciblé avec nom du collaborateur, référence à un projet réel).
Les thèmes les plus efficaces (taux de clic élevés) : notification de réinitialisation de mot de passe (Microsoft 365 / Google), colis en attente de livraison (DHL, Colissimo), notification de voicemail ou de fax, invitation à une réunion Teams urgente, notification de document partagé. Adaptez les templates à votre contexte : utilisez le nom de domaine de votre entreprise, les logos de vos outils internes.
Métriques clés et exploitation des résultats
Les indicateurs à suivre : taux d'ouverture (% d'emails ouverts), taux de clic (% de liens cliqués — l'indicateur principal), taux de soumission (% ayant saisi leurs identifiants sur une fausse page), taux de signalement (% ayant signalé l'email au SOC ou au IT). Le taux de signalement est un indicateur positif souvent négligé : un collaborateur qui signale un phishing contribue activement à la défense.
Segmentez les résultats par département, niveau hiérarchique et ancienneté pour identifier les populations à risque. Les profils les plus vulnérables sont souvent les nouveaux arrivants, les collaborateurs non-techniques et les équipes travaillant sous forte pression temporelle (comptabilité lors des clôtures, RH lors des campagnes de recrutement).
Éthique et communication autour des simulations
La transparence sur l'existence d'un programme de simulation (sans révéler les dates) est recommandée : informez les collaborateurs que des simulations ont lieu régulièrement, sans préciser quand. Cette approche est plus éthique que la surprise totale et maintient quand même l'efficacité pédagogique. Associez le CSE à la mise en place du programme si votre taille le justifie.
Ne stigmatisez jamais publiquement les collaborateurs qui ont cliqué. L'objectif est pédagogique, pas punitif. La page d'avertissement affichée après un clic doit être bienveillante et éducative. Les organisations qui utilisent les simulations comme outils de sanction constatent une baisse de confiance et une réticence à signaler les vraies attaques — l'effet inverse de l'objectif recherché.