GoPhish en entreprise : pourquoi ça ne suffit pas
GoPhish est un outil open source de référence, mais ses limites en entreprise sont réelles. Maintenance, formation, conformité : analyse complète.
GoPhish est l’un des outils de simulation de phishing les plus téléchargés au monde. Plus de 13 000 étoiles sur GitHub, une licence MIT sans restriction, une communauté de pentesters et de chercheurs en sécurité qui l’utilisent quotidiennement. Pour un outil gratuit, c’est remarquable.
Mais entre un outil de pentest et un programme de sensibilisation en entreprise, il y a un gouffre. GoPhish a été conçu pour le premier usage. Le responsable IT d’une PME de 80 personnes qui cherche à réduire le risque de phishing sur 12 mois, avec de la formation, du reporting et de la conformité réglementaire, découvre vite que « gratuit » ne signifie pas « adapté ».
Cet article n’est pas un réquisitoire contre l’open source. GoPhish fait certaines choses très bien, et il existe des contextes où c’est le bon choix. L’objectif est de poser les faits : ce que GoPhish fait, ce qu’il ne fait pas, ce que cela implique concrètement pour une entreprise, et quand il vaut mieux passer à une autre approche. Pour un comparatif fonctionnalité par fonctionnalité, consultez notre page comparatif GoPhish.
GoPhish : origines et fonctionnement
GoPhish est un framework open source de simulation de phishing créé par Jordan Wright en 2013. Le projet est écrit en Go (Golang), distribué sous licence MIT, et hébergé sur GitHub (github.com/gophish/gophish).
Le principe de fonctionnement est direct. Vous téléchargez le binaire (ou compilez depuis le source), vous l’installez sur un serveur Linux, vous configurez un serveur SMTP d’envoi, puis vous créez vos campagnes via une interface web. GoPhish gère l’envoi des emails, le tracking des ouvertures et des clics, et affiche les résultats dans un tableau de bord. L’API REST permet d’automatiser les opérations courantes : création de groupes, lancement de campagnes, récupération de résultats.
Quelques caractéristiques techniques à retenir :
- Self-hosted uniquement. Il n’existe pas de version SaaS officielle de GoPhish. Vous devez provisionner, configurer et maintenir votre propre serveur.
- Projet communautaire. Pas d’entreprise commerciale derrière le projet. Pas de support garanti, pas de SLA, pas de feuille de route contractuelle.
- Dernière version stable : 0.12.1. Le rythme de développement a sensiblement ralenti au fil des années.
- Public principal : les pentesters. GoPhish est un outil de test d’intrusion avant d’être un outil de sensibilisation. La communauté l’utilise principalement pour des évaluations ponctuelles lors d’audits de sécurité.
GoPhish a démocratisé la simulation de phishing en la rendant accessible à quiconque sait administrer un serveur. C’est un apport réel à la communauté sécurité, et il serait malhonnête de le nier.
Ce que GoPhish fait bien
Avant de parler des limites, il faut reconnaître les forces réelles de l’outil. Critiquer GoPhish pour ne pas être un SaaS managé reviendrait à reprocher à un couteau suisse de ne pas être une cuisine équipée.
Gratuit, sans compromis ni licence cachée
Licence MIT, usage commercial sans restriction. Pas de tarification par utilisateur, pas de renouvellement annuel, pas de fonctionnalités verrouillées derrière un tier payant. Pour une organisation dont le budget sécurité est proche de zéro, c’est un argument qui pèse. Le code est ouvert, auditable, modifiable. Vous pouvez forker le projet et l’adapter à vos besoins spécifiques sans demander la permission à personne.
Contrôle total sur l’infrastructure et les données
L’hébergement on-premise signifie que les données de campagne ne quittent jamais votre infrastructure. Aucun tiers n’accède aux adresses email de vos collaborateurs, aux résultats de campagne, ni aux identifiants collectés lors des tests. Pour les organisations soumises à des contraintes de confidentialité strictes (défense, recherche, santé), ce contrôle total est un avantage tangible.
API REST solide et documentée
L’API de GoPhish est bien conçue et couvre l’ensemble des fonctionnalités : gestion des groupes d’utilisateurs, création de templates, lancement et suivi de campagnes, récupération des résultats au format JSON. Des bibliothèques Python communautaires existent pour l’automatisation. Un administrateur système compétent peut scripter la quasi-totalité des opérations.
Outil de référence pour les tests d’intrusion ponctuels
Pour un red teamer qui conduit un audit de sécurité comprenant un volet ingénierie sociale, GoPhish est souvent le meilleur choix. Déployer une campagne ciblée, mesurer les résultats, produire un rapport technique, décommissionner le serveur. Pour cet usage ponctuel et technique, GoPhish remplit parfaitement son rôle.
Les limites de GoPhish quand on passe à un programme continu
Le problème n’est pas ce que GoPhish fait. C’est ce qu’il ne fait pas, et ce que votre équipe devra combler elle-même, campagne après campagne, mois après mois.
L’installation n’est que le début du travail
Installer GoPhish n’est pas un clic sur « Démarrer ». Le processus d’installation complet implique :
- Provisionner un serveur. VPS ou machine réservée sous Linux. Dimensionner la mémoire et le stockage en fonction du nombre de destinataires.
- Installer et configurer GoPhish. Télécharger le binaire ou monter un conteneur Docker. Configurer les paramètres réseau, les ports, le fichier de configuration.
- Configurer un serveur SMTP d’envoi. Soit un SMTP distinct (Postfix, hMailServer), soit un service tiers (Amazon SES, Mailgun). Avec authentification, enregistrements SPF, DKIM et DMARC pour éviter que vos simulations finissent en spam.
- Acheter et configurer un domaine séparé. Les emails de simulation ne peuvent pas partir de votre domaine principal (risque de blacklisting). Il faut un domaine séparé, avec une réputation à construire progressivement.
- Obtenir un certificat SSL. Let’s Encrypt ou certificat commercial, à renouveler régulièrement.
- Configurer la sécurité réseau. Règles de pare-feu, restriction d’accès à l’interface d’administration, protection contre les scans et les intrusions.
- Mettre en place des sauvegardes. La base de données SQLite de GoPhish contient l’historique de toutes vos campagnes. Sans sauvegarde, une panne de disque efface tout.
Comptez 2 à 5 jours de travail pour un administrateur système expérimenté. Et c’est uniquement la mise en service initiale. Ensuite viennent les mises à jour du système d’exploitation, les correctifs de sécurité de GoPhish et de ses dépendances, la surveillance des logs, la gestion des incidents serveur, le renouvellement des certificats, la maintenance de la réputation du domaine d’envoi.
Pour une PME de 80 personnes dont le responsable IT gère déjà le réseau, les postes, le support utilisateur et les applications métier, cette charge n’est pas absorbable.
Zéro formation intégrée : le problème le plus lourd
C’est la limite la plus significative pour un usage en entreprise. Quand un collaborateur clique sur un lien de phishing dans une campagne GoPhish, il est redirigé vers une page HTML statique. Vous pouvez y écrire un message du type « C’était un test ». Point final.
Pas de micro-learning contextuel expliquant pourquoi cet email était suspect. Pas de module interactif adaptant le contenu au type d’attaque simulée (phishing générique vs spear phishing vs BEC). Pas de parcours progressif pour les collaborateurs qui échouent à plusieurs reprises. Pas de suivi de la complétion des formations. Rien.
Or, la simulation sans formation est un thermomètre sans médicament. Vous mesurez la fièvre, mais vous ne la traitez pas. Les taux de clic restent stables d’une campagne à l’autre parce que personne n’apprend de ses erreurs. Le rapport Verizon DBIR 2024 documente que 68 % des compromissions impliquent un facteur humain. Identifier les collaborateurs vulnérables sans leur donner les moyens de s’améliorer ne réduit pas ce chiffre.
Les données de benchmarking (KnowBe4, Phishing by Industry Benchmarking Report 2024) sont claires : les organisations qui combinent simulation et micro-learning contextuel immédiat voient leur taux de clic passer de ~33 % à moins de 5 % en 12 mois. Les organisations qui se limitent à la simulation seule progressent bien moins. La différence tient à un mécanisme simple : le « teachable moment ». Un collaborateur qui vient de cliquer est dans un état d’attention maximale. C’est dans les 5 minutes qui suivent l’erreur que l’apprentissage s’ancre le mieux. GoPhish ne fait rien de cette fenêtre.
Si vous souhaitez comprendre pourquoi la formation active surpasse le e-learning passif, consultez notre guide pour mesurer l’efficacité de la sensibilisation.
Créer des templates en français : un travail artisanal et répétitif
GoPhish ne fournit aucune bibliothèque de modèles. Chaque email de phishing et chaque page d’atterrissage doivent être créés manuellement en HTML. Pour des simulations réalistes dans un contexte français, cela représente un travail conséquent :
- Concevoir l’email. Imiter un service connu : notification Ameli, alerte DGFIP, email Chronopost, fausse facture fournisseur, demande RH interne.
- Coder le HTML responsive. L’email doit s’afficher correctement dans Outlook, Gmail, Thunderbird, Apple Mail et les clients mobiles. Les rendus diffèrent significativement entre ces clients. Le debugging HTML email est notoirement pénible.
- Créer la page d’atterrissage. Le formulaire de connexion ou la page de collecte d’identifiants correspondant au scénario.
- Tester la délivrabilité. Vérifier que l’email passe les filtres anti-spam de votre organisation, ajuster les en-têtes, modifier le contenu qui déclenche des heuristiques de détection.
En pratique, comptez 1 à 2 heures par template. Un programme de sensibilisation sérieux nécessite 20 à 30 scénarios variés par an (différents types d’attaque, différents contextes saisonniers, différents départements ciblés). Cela représente 30 à 60 heures de travail de création de contenu par an. Les templates partagés par la communauté GoPhish sont quasi exclusivement en anglais, et leur qualité est variable.
Pour avoir une idée de la diversité de scénarios nécessaire sur 12 mois, consultez notre guide de plan de sensibilisation annuel.
Reporting limité : suffisant pour un pentest, insuffisant pour piloter un programme
Le tableau de bord de GoPhish affiche quatre métriques par campagne : emails envoyés, emails ouverts, liens cliqués, identifiants soumis. Pour un rapport de pentest ponctuel, c’est suffisant. Pour piloter un programme de sensibilisation continu, c’est insuffisant.
Ce qui manque dans GoPhish :
- Score de risque par collaborateur et par département. Impossible de savoir si la comptabilité est plus vulnérable que le service commercial, ou si un collaborateur particulier accumule les échecs.
- Tendances longitudinales. Pas de visualisation de l’évolution du taux de clic sur 6 ou 12 mois. Vous ne pouvez pas démontrer la progression (ou l’absence de progression) à votre direction.
- Benchmarks sectoriels. Aucun point de comparaison avec d’autres entreprises de votre taille ou de votre secteur. Votre taux de clic de 18 % est-il bon, moyen ou alarmant ? GoPhish ne vous le dit pas.
- Taux de signalement. GoPhish ne mesure pas le taux de signalement, c’est-à-dire le pourcentage de collaborateurs qui reportent l’email comme suspect. Or, le signalement est l’indicateur le plus révélateur de la maturité d’une organisation face au phishing (Gartner Security & Risk Management 2025).
- Rapports exportables pour la direction. Pas de PDF synthétique prêt à être présenté en réunion. L’extraction et la mise en forme des données sont à votre charge.
Aucun rapport de conformité automatisé
La directive NIS2, applicable depuis octobre 2024, exige des entités concernées qu’elles démontrent des mesures de sensibilisation du personnel (article 21, paragraphe 2g). La norme ISO 27001 (contrôle A.6.3) impose une sensibilisation, une éducation et une formation à la sécurité de l’information. SOC 2 requiert des programmes de sensibilisation incluant des tests périodiques.
GoPhish ne génère aucun rapport de conformité. Extraire les données brutes via l’API, les compiler dans un tableur, les mettre en forme pour un audit : c’est un travail supplémentaire à chaque campagne. Pour une PME qui doit prouver sa conformité à un client grand compte ou lors d’un audit, cette absence est un frein réel.
Le piège de la délivrabilité
C’est le problème invisible qui consomme le plus de temps. Vous avez configuré GoPhish, créé vos templates, planifié votre campagne. Vous lancez l’envoi. Et 60 % de vos emails atterrissent dans les dossiers spam de vos collaborateurs.
La délivrabilité des emails est un domaine technique à part entière. Les filtres anti-spam modernes (Microsoft Defender, Google Workspace, Proofpoint, Barracuda) analysent la réputation du domaine expéditeur, la configuration DNS (SPF, DKIM, DMARC), le contenu de l’email, les liens, les images, les en-têtes. Un nouveau domaine sans historique d’envoi sera systématiquement pénalisé. Il faut « chauffer » le domaine progressivement : envoyer d’abord à quelques destinataires, puis augmenter le volume sur plusieurs semaines.
Avec GoPhish, ce travail de gestion de la réputation du domaine est entièrement à votre charge. Whitelisting dans les filtres email de votre organisation, configuration DNS minutieuse, montée en charge progressive, surveillance des taux de rebond et de mise en spam. Chaque changement de filtre côté Microsoft ou Google peut casser votre délivrabilité du jour au lendemain.
Les plateformes SaaS de simulation gèrent ce problème de manière transparente : elles exploitent des domaines avec un historique de réputation établi, des configurations DNS optimisées, et des équipes spécialisées au monitoring de la délivrabilité. Avec GoPhish, vous êtes seul.
Pas d’intégration annuaire ni de SSO
GoPhish ne propose aucune intégration native avec les annuaires d’entreprise (Active Directory, LDAP, Azure AD) ni de Single Sign-On (SSO). L’import des utilisateurs se fait manuellement par CSV ou via l’API. Chaque départ, arrivée ou changement de département nécessite une mise à jour manuelle de la liste de destinataires.
Pour une entreprise de 150 collaborateurs avec un turnover normal (8 à 15 % par an), maintenir la liste à jour dans GoPhish est une tâche récurrente qui génère des erreurs : emails envoyés à des personnes qui ont quitté l’entreprise, nouveaux arrivants oubliés, départements mal attribués.
La charge RGPD est intégralement sur vos épaules
Quand vous hébergez GoPhish sur votre serveur, vous êtes le responsable de traitement au sens du RGPD pour toutes les données collectées. Adresses email, résultats de clics, identifiants saisis lors des tests : tout passe par votre infrastructure, sous votre responsabilité.
Cela implique :
- Registre des traitements. Documenter le traitement « simulation de phishing » dans votre registre RGPD.
- Base légale. Justifier le traitement (intérêt légitime de l’employeur pour la sécurisation du système d’information).
- Information des personnes. Informer les collaborateurs de l’existence du programme (sans révéler les dates ni les scénarios).
- Analyse d’impact (PIA). Si les données collectées incluent des identifiants, une analyse d’impact peut être requise.
- Sécurisation des données. Chiffrement, contrôle d’accès, sauvegardes. La base de données GoPhish contient potentiellement des mots de passe en clair saisis par les collaborateurs lors des tests.
- Notification de violation. En cas de compromission de votre serveur GoPhish, vous devez notifier la CNIL sous 72 heures.
Avec une plateforme SaaS, cette responsabilité est partagée avec le prestataire via un DPA (Data Processing Agreement, contrat de sous-traitance au sens de l’article 28 du RGPD). Le prestataire assume la sécurisation de l’infrastructure, le chiffrement, les sauvegardes et la conformité technique. Vous restez responsable de traitement, mais la charge opérationnelle est considérablement allégée.
Le vrai coût de « gratuit » : un calcul détaillé
Le logiciel GoPhish est gratuit. Le coût d’exploitation de GoPhish en entreprise ne l’est pas. Voici un calcul réaliste pour une PME de 100 collaborateurs sur 12 mois, avec 2 campagnes de simulation par mois (fréquence recommandée par le SANS Institute).
Coûts d’infrastructure
| Poste | Coût estimé |
|---|---|
| VPS (serveur réservé, 2 vCPU, 4 Go RAM) | 30 à 50 €/mois, soit 360 à 600 €/an |
| Domaine séparé pour les simulations | 10 à 15 €/an |
| Certificat SSL (si Let’s Encrypt ne suffit pas) | 0 à 30 €/an |
| Service SMTP distinct (optionnel, améliore la délivrabilité) | 0 à 300 €/an |
| Sous-total infrastructure | 370 à 945 €/an |
Coûts humains (temps IT)
Le temps IT est le poste le plus sous-estimé. Sur une base de 450 euros par jour pour un administrateur système (salaire chargé d’un profil intermédiaire en France), voici les postes à prévoir :
| Poste | Temps estimé | Coût |
|---|---|---|
| Installation et configuration initiale | 3 à 5 jours | 1 350 à 2 250 € |
| Maintenance serveur (patches, monitoring, incidents) | 3 h/mois × 12 | 2 025 € |
| Création de templates email + landing pages (24/an) | 1,5 h × 24 | 2 025 € |
| Configuration et lancement de campagnes (24/an) | 1 h × 24 | 1 350 € |
| Gestion de la délivrabilité (troubleshooting spam) | 2 h/mois × 12 | 1 350 € |
| Extraction, compilation et mise en forme des rapports | 2 h × 12 | 1 350 € |
| Mise à jour de la liste d’utilisateurs | 1 h/mois × 12 | 675 € |
| Sous-total temps IT | 10 125 à 11 025 €/an |
Bilan : première année
Coût total GoPhish la première année : 10 495 à 11 970 euros. Les années suivantes, sans le coût d’installation initiale : environ 9 145 à 10 020 euros par an.
Et ce coût ne couvre que la simulation. Il ne couvre ni la formation post-échec (inexistante dans GoPhish), ni les rapports de conformité (à produire manuellement), ni le suivi de progression individuel (impossible avec les outils natifs).
Comparaison avec une plateforme managée
À titre de comparaison, nophi.sh propose un forfait à partir de 99 €/mois, soit 1 188 €/an. Ce forfait inclut : plus de 90 scénarios de simulation en français prêts à l’emploi, la formation micro-learning automatique post-échec, les tableaux de bord avec score de risque par département, les rapports de conformité NIS2, l’hébergement des données en France, le support par chat et email, et les mises à jour continues des scénarios et de la plateforme. Consultez la page tarifs pour le détail.
Le rapport est de 1 à 8 en défaveur de GoPhish, sans compter le coût d’opportunité : chaque heure passée sur la maintenance GoPhish est une heure que votre responsable IT ne consacre pas à d’autres projets.
Quand GoPhish reste le bon choix
GoPhish n’est pas un mauvais outil. C’est un outil conçu pour un usage spécifique, et dans ce cadre, il excelle. Voici les profils pour lesquels GoPhish est une option pertinente.
Les entreprises de pentest et les red teamers
C’est le cas d’usage historique de GoPhish, et celui pour lequel il brille. Un consultant en sécurité offensive qui conduit un audit de phishing pour un client a besoin d’un outil rapide à déployer, personnalisable, et jetable (le serveur est décommissionné après le test). GoPhish remplit ces trois critères. Le pentester maîtrise déjà l’administration système, la création de templates et la configuration SMTP. L’absence de formation intégrée n’est pas un problème : le livrable est un rapport d’audit, pas un programme de sensibilisation.
Les chercheurs en sécurité et les enseignants
GoPhish est un outil pédagogique remarquable pour comprendre les mécanismes du phishing. Les chercheurs en sécurité l’utilisent pour des travaux académiques, des démonstrations en conférence, des cours en école d’ingénieur. Le code ouvert permet d’étudier le fonctionnement interne de l’outil et de le modifier pour des besoins de recherche spécifiques.
Les équipes techniques qui font un test ponctuel
Une DSI qui veut mesurer la vulnérabilité de son organisation au phishing avant de choisir une solution commerciale peut légitimement utiliser GoPhish pour un test initial. L’objectif est de poser un diagnostic, pas de traiter le problème. GoPhish fournit ce diagnostic à moindre coût. C’est ensuite la question de savoir si l’organisation veut aller plus loin avec un programme continu.
Les organisations avec un budget réellement à zéro
Certaines associations, petites structures ou organisations non-profits n’ont pas de budget sécurité. Pour elles, GoPhish est mieux que rien. C’est un choix rationnel quand les ressources humaines techniques sont disponibles et que l’alternative est de ne faire aucune simulation du tout.
Quand GoPhish ne suffit plus
À l’inverse, voici les profils pour lesquels GoPhish atteint ses limites et où une plateforme managée devient un choix plus rationnel.
Les PME qui veulent un programme de sensibilisation continu
Un test ponctuel n’est pas un programme. Un programme de sensibilisation continu implique des campagnes régulières (1 à 2 par mois), des scénarios variés et actualisés, de la formation post-échec, un suivi de la progression dans le temps, et un reporting pour la direction. GoPhish ne couvre que le premier point. Tout le reste est à construire et à maintenir en interne.
Les données du SANS Institute sont claires : un programme continu de 12 mois avec formation intégrée fait passer le taux de clic de ~33 % à moins de 5 % (KnowBe4, Phishing by Industry Benchmarking Report 2024). La simulation seule, sans formation, produit des résultats bien moindres. Pour une PME qui investit du temps et de l’argent, la différence de résultat justifie la différence d’outil. Consultez notre guide de simulation de phishing en entreprise pour la méthodologie complète.
Les organisations soumises à des obligations de conformité
Si votre entreprise est concernée par NIS2, ISO 27001, SOC 2, ou si vos clients grands comptes exigent des preuves de sensibilisation, GoPhish vous mettra en difficulté. L’extraction manuelle des données, la compilation de rapports ad hoc, l’absence de piste d’audit automatisée : chaque audit devient un exercice pénible et chronophage.
Une plateforme managée génère ces rapports en un clic. C’est une différence concrète le jour où un auditeur demande « montrez-moi vos preuves de sensibilisation sur les 12 derniers mois ».
Les PME sans équipe IT affectée à la sécurité
C’est le profil le plus courant dans les entreprises de 25 à 250 salariés. Le responsable IT (quand il existe) gère le réseau, le parc de postes, le support utilisateur, les applications métier, et parfois la téléphonie. Lui demander en plus d’administrer un serveur GoPhish, de créer des templates HTML, de debugger la délivrabilité et d’extraire des rapports n’est pas réaliste.
Dans ce contexte, une plateforme SaaS qui prend en charge l’intégralité de la chaîne (envoi, formation, reporting, conformité) pour un coût mensuel prévisible est l’option la plus pragmatique. C’est précisément le positionnement de nophi.sh : découvrez les fonctionnalités de la plateforme.
Les équipes qui veulent former, pas seulement tester
La distinction compte. Tester, c’est mesurer un état. Former, c’est changer un comportement. GoPhish fait le premier. Pour le second, il faut des modules pédagogiques qui se déclenchent au bon moment (immédiatement après l’échec), avec le bon contenu (adapté au type d’attaque et au profil du collaborateur), et un suivi qui montre la progression dans le temps.
Les plateformes qui intègrent le micro-learning post-échec transforment chaque clic erroné en un cas pratique. Le collaborateur apprend pourquoi il a cliqué, quels étaient les signaux d’alerte, et comment réagir la prochaine fois. C’est ce mécanisme, documenté par les rapports SANS et Gartner, qui fait passer le taux de clic de 30 % à moins de 5 % en 12 mois.
Les cinq coûts cachés de GoPhish que personne ne mentionne
Au-delà des coûts d’infrastructure et de temps IT détaillés plus haut, GoPhish comporte des coûts indirects que les articles « GoPhish vs SaaS » oublient systématiquement.
1. Le coût de la stagnation des résultats
Sans formation post-échec, les taux de clic ne baissent que marginalement entre les campagnes. Après 12 mois de simulation sans formation, vous aurez investi plus de 9 000 euros pour constater que vos collaborateurs cliquent toujours à peu près autant. Le retour sur investissement est quasi nul.
2. Le coût de la non-conformité
NIS2 prévoit des sanctions pouvant atteindre 10 millions d’euros ou 2 % du chiffre d’affaires mondial pour les entités qui ne respectent pas leurs obligations de sensibilisation. Si votre programme se limite à des simulations GoPhish sans formation ni reporting de conformité, votre posture en cas d’audit est fragile. Ce risque est difficile à chiffrer, mais il est réel.
3. Le coût du premier incident que la formation aurait prévenu
Le coût médian d’un incident de phishing pour une PME française se situe entre 15 000 et 150 000 euros selon les données de l’ANSSI (cyber.gouv.fr). Un collaborateur qui a reçu une formation contextuelle après avoir cliqué sur une simulation est significativement moins susceptible de cliquer sur un vrai phishing le mois suivant. Un collaborateur qui a simplement vu une page « c’était un test » ne l’est pas. La différence peut se chiffrer en dizaines de milliers d’euros.
4. Le coût d’opportunité du temps IT
Chaque heure que votre responsable IT passe à maintenir GoPhish, créer des templates et debugger la délivrabilité est une heure qu’il ne consacre pas à des projets à plus forte valeur : migration cloud, sécurisation du réseau, déploiement de nouveaux outils. Pour une PME dont les ressources IT sont limitées, le coût d’opportunité est le plus lourd de tous.
5. Le risque sécurité du serveur GoPhish lui-même
Votre serveur GoPhish est un serveur exposé sur internet, contenant des données sensibles (adresses email, résultats de campagne, potentiellement des identifiants). Si ce serveur est compromis, c’est une violation de données au sens du RGPD. L’ironie d’un serveur de simulation de phishing qui devient lui-même un vecteur de compromission n’échapperait pas à un auditeur.
Comment passer de GoPhish à un programme de sensibilisation complet
Si vous utilisez GoPhish et que la maintenance vous pèse, la transition vers une plateforme managée est plus simple qu’on ne le pense.
Étape 1 : Évaluez ce que vous utilisez réellement. Combien de campagnes lancez-vous par an ? Combien de templates avez-vous créés ? Combien de temps votre IT passe-t-elle sur l’outil par mois ? Ces chiffres vous donneront une base de comparaison objective.
Étape 2 : Testez une alternative en parallèle. nophi.sh propose un essai gratuit de 14 jours. Importez un sous-ensemble de vos utilisateurs, lancez une campagne avec un scénario prêt à l’emploi, et comparez le temps investi et la qualité des résultats (reporting, formation post-échec, conformité).
Étape 3 : Exportez vos données GoPhish. La liste d’utilisateurs s’exporte en CSV depuis l’interface. L’historique de campagnes peut être archivé via l’API REST au format JSON. Ces données vous appartiennent.
Étape 4 : Décommissionnez le serveur. Un serveur de moins à maintenir, des patches de sécurité de moins à appliquer, du temps IT libéré. Si vous avez besoin d’aide pour structurer votre démarche, notre guide du cahier des charges anti-phishing détaille les critères à évaluer.
Pour un panorama plus large des critères de sélection, consultez notre article sur comment choisir sa solution de sensibilisation au phishing.
Ce que nophi.sh fait là où GoPhish s’arrête
nophi.sh n’est pas un fork de GoPhish. C’est une plateforme conçue pour un usage différent : permettre aux PME de mettre en œuvre un programme de sensibilisation complet sans mobiliser leurs ressources IT.
Déploiement en 15 minutes, pas en 5 jours. Créez un compte, importez vos collaborateurs (CSV ou synchronisation annuaire), choisissez vos scénarios, lancez votre première campagne. Pas de serveur à provisionner, pas de SMTP à configurer, pas de domaine à acheter.
Plus de 90 scénarios en français, prêts à l’emploi. Faux emails de l’Assurance Maladie, de la DGFIP, de Chronopost, de banques françaises, de services cloud. Chaque scénario est testé en conditions réelles pour garantir la délivrabilité. Vous n’avez pas à coder un seul template HTML.
Formation automatique post-échec. Quand un collaborateur clique, il accède immédiatement à un module de micro-learning de 3 à 5 minutes. Le module est adapté au scénario spécifique : l’email qu’il vient de recevoir, les signaux d’alerte qu’il aurait dû repérer, les réflexes à adopter. C’est la différence entre constater un problème et le traiter.
Tableau de bord avec score de risque. Risque par département, par type d’attaque, par période. Progression dans le temps. Rapports pour la direction en un clic. Benchmarks sectoriels pour situer vos résultats.
Rapports de conformité NIS2 et ISO 27001. Générés automatiquement, prêts pour un audit. Plus de compilation manuelle de données.
Hébergement des données en France. Serveurs en France, pas de transfert transatlantique. Conformité RGPD simplifiée, DPA inclus.
Vérification d’emails suspects par IA. Vos collaborateurs reçoivent un email douteux ? Ils le transfèrent à l’assistant nophi.sh et obtiennent un verdict en 30 secondes. Testez notre outil de test de sécurité email pour voir la technologie en action.
GoPhish est un outil open source qui a rendu la simulation de phishing accessible à la communauté sécurité. Pour un pentest ponctuel ou une équipe technique avec du temps disponible, il remplit son rôle. Personne ne devrait dénigrer un projet open source qui a aidé des milliers de professionnels.
Mais pour une PME française qui veut réduire son risque humain de façon durable, avec de la formation, du suivi et de la conformité, sans monopoliser son IT, GoPhish n’a pas été conçu pour ça. C’est un constat, pas une critique.
Testez nophi.sh gratuitement pendant 14 jours et comparez les résultats avec votre installation GoPhish actuelle.