La plupart des cyberattaques qui aboutissent ne forcent pas une porte technique. Elles passent par quelqu’un qui a cliqué sans vérifier.
Un responsable IT nous a contactés après avoir découvert, lors d’un audit, que plusieurs collaborateurs de son entreprise avaient cliqué sur un lien suspect dans un email dont l’objet était simplement : « Votre bulletin de salaire de mars ».
Aucune alerte n’avait été remontée. Personne n’avait signalé quoi que ce soit. L’incident était passé inaperçu pendant des semaines.
Ce n’est pas un cas exceptionnel : c’est ce qu’on voit régulièrement chez des PME romandes qui ont pourtant investi dans des outils de sécurité corrects. La question n’est donc pas de savoir si vos collaborateurs sont négligents. C’est de savoir ce qu’ils font vraiment quand un email douteux arrive, un mardi matin, entre deux réunions.
Découvrons ensemble.
Le phishing cible vos collaborateurs, pas vos serveurs
Les attaquants le savent depuis longtemps : contourner un firewall bien configuré est difficile. Convaincre un employé occupé de cliquer sur un lien, beaucoup moins.
Selon le rapport Verizon DBIR 2024, plus de 68 % des compromissions impliquent une erreur humaine ou une manipulation sociale. Le phishing en est la forme la plus répandue, la plus simple à déployer et la plus difficile à bloquer uniquement par la technique.
Un filtre antispam bloque les tentatives génériques. Il ne bloque pas un email personnalisé avec le prénom du destinataire, le nom de son directeur et une référence à un projet interne réel. C’est précisément ce que font les attaques ciblées, et c’est ce que les simulations de phishing apprennent à reconnaître.
Ce qu’une simulation révèle, qu’une formation ne montre pas
Une formation classique en salle ou en visioconférence a une limite structurelle : tout le monde sait que c’est un exercice. Les collaborateurs sont attentifs, prudents, un peu trop. Puis ils retournent à leur boîte mail avec 70 messages non lus.
La simulation de phishing place les gens dans la situation réelle, sans les prévenir. L’email arrive en boîte de réception, au moment où ils sont occupés, avec un objet crédible. Fausse facture, demande urgente du DG, notification de sécurité Microsoft : les scénarios imitent les vraies menaces.
Ce qu’on mesure concrètement : le taux d’ouverture, le taux de clic sur le lien piégé, et le taux de saisie de données sur la fausse page de destination. Ces trois niveaux correspondent à trois niveaux de risque distincts. Un collaborateur qui ouvre l’email sans cliquer est dans une zone acceptable. Celui qui va jusqu’à entrer ses identifiants sur une fausse page de connexion représente une faille active, exploitable immédiatement.
Chez un de nos clients, le déploiement de Pistachio Practice, une plateforme de simulation intégrée à Microsoft 365, a permis de passer d’un taux de participation aux exercices de sensibilisation de 60 % à plus de 90 %. La différence ne tient pas à des relances internes ou à une campagne de communication. Elle tient au format : un email de test qui arrive comme un vrai email, qui se traite en 30 secondes, et qui délivre une explication immédiate en cas d’erreur. Pas de vidéo de 5 minutes. Pas de connexion à une plateforme externe.
L’effet dans la durée : un réflexe, pas un score
Le premier test produit presque toujours des résultats décevants. C’est l’objectif. Il établit un niveau de référence réel, pas un niveau théorique mesuré dans des conditions idéales.
L’intérêt d’une campagne régulière est ailleurs : elle installe un état d’alerte permanent. Quand les collaborateurs savent qu’un test peut arriver à tout moment, ils regardent différemment les emails qui leur demandent de « cliquer ici » ou de « valider leur compte ». Ce doute sain est exactement ce que cherche à produire la simulation. Pas la méfiance paralysante, le réflexe de vérification.
Les rapports par département permettent aussi d’identifier les profils qui ont besoin d’attention spécifique, sans avoir à passer par des relances manuelles. Chez notre client, cette visibilité individuelle était absente de l’ancienne solution. Elle est aujourd’hui ce que le responsable IT utilise pour arbitrer ses actions de formation.
Ce qu’on met en place chez Infologo
Nous proposons les simulations de phishing dans deux contextes.
En campagnes ponctuelles, pour établir un premier niveau de référence ou répondre à une exigence de conformité nLPD.
En déploiement continu, avec Riot ou encore Pistachio Practice pour les environnements Microsoft 365, avec des scénarios personnalisés par profil, un tableau de bord automatisé et une gestion qui ne mobilise pas les équipes IT au quotidien.
Les scénarios couvrent le phishing classique, l’usurpation de dirigeant, les QR codes malveillants et la gestion des mots de passe. Ils intègrent de vrais noms de collègues, ce qui change radicalement la perception de l’exercice.
Un point sur lequel nous sommes fermes : les résultats des simulations ne sont jamais utilisés pour sanctionner des individus. Ils servent à orienter la formation, à documenter la démarche pour les audits, et à mesurer la progression dans le temps.
Si vous ne savez pas quel pourcentage de vos collaborateurs cliquerait sur un email de phishing aujourd’hui, c’est précisément pour ça qu’on fait le test.
Contactez-nous pour échanger autour de votre projet de sensibilisation à la cybersécurité et organiser une première campagne sans engagement.
