La Confédération vient de lancer une nouvelle campagne nationale de sensibilisation au phishing, baptisée S.U.P.E.R.
L’initiative est cofinancée par plusieurs acteurs publics et privés, et elle cible les comportements à risque face aux tentatives d’hameçonnage : faux e-mails de banques, fausses factures, usurpations d’identité par message. C’est bien. Mais une campagne de sensibilisation, même bien faite, ne protège pas une PME si personne dans l’équipe ne sait reconnaître un email frauduleux dans le feu de l’action.
Ce que S.U.P.E.R. propose et pourquoi c’est utile
La campagne s’appuie sur cinq réflexes résumés par l’acronyme : S‘arrêter, Utiliser son bon sens, Protéger ses accès, Examiner les liens, Rapporter les tentatives.
Selon ICT Journal, qui a relayé le lancement le 13 avril 2026, l’initiative implique des partenaires comme la FINMA et plusieurs grandes banques suisses.
Ce cadre est solide pour sensibiliser un grand public peu averti. Il donne un vocabulaire commun, des gestes simples, une logique de réflexe. Pour une PME qui n’a jamais abordé le sujet en interne, c’est un point de départ utile.
Mais il y a une limite évidente : lire une campagne et changer son comportement face à un vrai e-mail de phishing, c’est deux choses très différentes.
Le problème que la sensibilisation ne résout pas
On reçoit régulièrement des appels d’entreprises après un incident. La plupart du temps, le collaborateur qui a cliqué sur le lien frauduleux n’était pas ignorant. Il avait déjà entendu parler du phishing. Il savait que ça existait. Mais l’email était bien construit, le contexte était stressant, et il a cliqué quand même.
C’est exactement le problème que la sensibilisation théorique ne règle pas. La connaissance ne suffit pas. Ce qui change le comportement, c’est l’entraînement. Recevoir de vrais faux e-mails, construits pour tromper, envoyés sans prévenir et observer sa propre réaction. Rater l’exercice. En tirer une leçon concrète.
Lors d’un test de simulation de phishing mené pour un cabinet d’avocats vaudois de 18 personnes, 7 collaborateurs avaient cliqué sur le lien dans les 20 premières minutes. Tous avaient participé à une formation théorique six mois plus tôt. L’écart entre la connaissance déclarée et le comportement réel est systématiquement plus grand qu’on ne l’imagine.
La simulation de phishing, pas comme substitut mais comme complément
La campagne S.U.P.E.R. a le mérite d’exister et de donner une légitimité publique au sujet. Elle peut faciliter la conversation en interne : « Vous avez vu la campagne du Conseil fédéral ? Voilà ce qu’on va mettre en place de notre côté. »
Chez Infologo, on utilise Pistachio Practice, une plateforme de simulation de phishing intégrée à Microsoft 365, pour aller au-delà de la sensibilisation. Les employés reçoivent des faux e-mails de phishing personnalisés, au rythme défini par l’entreprise. Ceux qui cliquent tombent directement sur une micro-formation contextuelle. Pas une réprimande, une explication immédiate sur ce qu’ils auraient dû remarquer. Les résultats sont mesurables : taux de clic initial, évolution sur plusieurs vagues, identification des profils à risque.
Ce n’est pas une solution miracle. Certaines personnes restent vulnérables même après plusieurs cycles. Mais la courbe de progression est réelle et documentée.
Ce qu’on recommande chez Infologo
Profitez de la campagne S.U.P.E.R. pour remettre le sujet sur la table avec votre direction. Pas pour cocher une case de conformité, mais pour poser une vraie question : si un de vos collaborateurs reçoit demain un email qui imite parfaitement une notification de votre banque cantonale, qu’est-ce qui se passe ?
Selon la taille de votre équipe et votre environnement informatique, deux approches sont possibles.
Pour les PME qui veulent commencer par la formation, on propose Riot, une plateforme de micro-learning en cybersécurité. Les collaborateurs reçoivent des contenus courts, ciblés, accessibles sans compétence technique. C’est une porte d’entrée concrète, à un coût maîtrisé, qui convient aux structures de 5 à 50 personnes qui n’ont pas encore de politique de sécurité formalisée.
Pour les entreprises sous Microsoft 365 qui veulent aller plus loin, Pistachio Practice ajoute une couche de simulation active : de vrais faux emails de phishing envoyés à votre équipe, sans prévenir, avec une micro-formation immédiate pour ceux qui cliquent.
Les deux outils sont complémentaires. Riot construit les réflexes, Pistachio les teste.
Contactez-nous pour organiser une première campagne de test ou une démonstration de Riot, sans engagement.
