GoPhish vs Attack Simulator vs nophi.sh : choisir
GoPhish, Microsoft Attack Simulator, nophi.sh : comparatif honnête 2026 pour les PME françaises. Coût total, fonctionnalités, conformité NIS2.
Trois familles d’outils se disputent la même promesse : tester vos collaborateurs face au phishing et mesurer leur résistance. D’un côté, l’open source self-hosted, incarné par GoPhish, gratuit, auditable, contrôlable de bout en bout. De l’autre, le natif Microsoft, avec Attack Simulation Training intégré à Defender for Office 365 Plan 2 et aux licences M365 E5. Au milieu, les SaaS spécialisés : nophi.sh, mais aussi KnowBe4, Proofpoint, Hoxhunt, Cofense, et une dizaine d’autres.
Aucun n’est universellement meilleur. C’est le premier malentendu à dissiper. Le bon choix dépend de votre taille, de votre stack existant, de votre budget, de vos exigences réglementaires, et du temps IT que vous pouvez ou non consacrer à un outil de simulation.
Cet article passe en revue ce que chacun fait bien, ce qu’il rate, et propose une grille de décision pour une PME française en 2026. Nous sommes nophi.sh, nous allons donc être explicites : il y a des cas où nous ne sommes pas le meilleur choix, et nous le dirons. La lecture critique d’un éditeur qui ne reconnaît jamais ses limites est rarement utile.
Pour un comparatif fonctionnalité par fonctionnalité propre à chaque outil, consultez nos pages nophi.sh vs GoPhish, comparatif KnowBe4, comparatif Proofpoint, comparatif Cofense et comparatif Hoxhunt.
Profil des trois outils
GoPhish : l’open source de référence
GoPhish est un framework open source de simulation de phishing créé par Jordan Wright en 2013. Le projet est écrit en Go, distribué sous licence MIT, et hébergé sur github.com/gophish/gophish. La dernière version stable est la 0.12.1, marqueur d’un rythme de développement qui a sensiblement ralenti ces dernières années.
Le fonctionnement est direct : binaire à télécharger ou conteneur à monter, base SQLite ou MySQL, configuration d’un serveur SMTP d’envoi, création de templates HTML manuelle, lancement des campagnes via l’interface web ou l’API REST. Pas de version SaaS officielle. Pas d’entité commerciale derrière le projet. Pas de SLA de support.
La communauté contribue activement : forks divers, scripts d’automatisation, intégrations avec d’autres outils. Le fork kgretzky/gophish ajoute par exemple une intégration avec Evilginx pour des scénarios de type proxy AiTM. Ces extensions augmentent la puissance technique mais n’ont jamais été conçues pour un programme de sensibilisation en entreprise. Pour le déploiement initial, consultez notre tutoriel d’installation GoPhish sur VPS.
Public principal : pentesters, red teamers, chercheurs en sécurité, et organisations techniques qui veulent un contrôle total sur leur infrastructure.
Microsoft Attack Simulation Training (AST) : le natif M365
Attack Simulation Training est un module de Microsoft Defender for Office 365 Plan 2, accessible depuis le portail security.microsoft.com. Il fait partie du périmètre fonctionnel inclus dans Microsoft 365 E5, Office 365 E5, Microsoft 365 A5/E5 Security et Defender for Office 365 Plan 2 acheté en add-on.
La documentation officielle (learn.microsoft.com) précise une règle qui surprend souvent les acheteurs : la licence Defender for Office 365 Plan 2 doit couvrir chaque utilisateur ciblé par les simulations, pas seulement les administrateurs qui les lancent. Pour une PME de 100 personnes en M365 Business Premium qui voudrait utiliser AST, cela signifie 100 licences add-on, soit environ 500 euros par mois.
AST propose six techniques d’ingénierie sociale, documentées par Microsoft :
- Credential Harvest : collecte d’identifiants via une fausse page de connexion.
- Malware Attachment : pièce jointe malveillante simulée.
- Link in Attachment : lien malveillant dans une pièce jointe.
- Link to Malware : lien vers un fichier malveillant.
- Drive-by URL : URL menant à un site malveillant (téléchargement furtif).
- OAuth Consent Grant : tentative d’obtention de permissions OAuth abusives.
Deux atouts différenciants. D’abord, le catalogue de payloads : Microsoft fournit une bibliothèque de templates plus des modules de formation courts (3 à 5 minutes). Ensuite, Payload Automation, qui ingère les emails de phishing réels signalés par les utilisateurs via le bouton « Report Message » pour les transformer en futures simulations. La promesse : tester vos collaborateurs avec ce qui les a effectivement attaqués.
Pour une mise en place pas à pas, consultez notre guide Microsoft Defender Attack Simulator.
nophi.sh : le SaaS français
nophi.sh est une plateforme SaaS française spécialisée dans la simulation de phishing et le micro-learning post-clic pour les PME et ETI. Le produit a été conçu autour de quatre axes :
- Plus de 90 scénarios français prêts à l’emploi, calibrés sur les attaques observées en France : faux Ameli, faux DGFiP, faux Chronopost, faux WeTransfer, fraude au RIB, fausses relances URSSAF, fausses notifications de banques françaises.
- Micro-learning automatique post-clic : quand un collaborateur clique, il accède immédiatement à un module de 3 à 5 minutes adapté au scénario.
- Rapports de conformité NIS2 / RGPD / ISO 27001 générés automatiquement, prêts pour un audit.
- Vérification d’emails suspects par IA : les collaborateurs transfèrent un email douteux à l’assistant et obtiennent un verdict en 30 secondes.
Hébergement intégralement en France. Tarif d’entrée à partir de 99 euros par mois, détaillé sur la page tarifs. Essai gratuit de 14 jours. Pas d’engagement annuel obligatoire.
Limites assumées : le code n’est pas open source, donc pas auditable par le client. Pas de version on-premise. Pas de support 24/7 enterprise à date.
Comparatif fonctionnel
Le tableau ci-dessous synthétise les écarts sur les critères qui pèsent le plus dans une décision d’achat PME en 2026. Les chiffres sont calculés pour une organisation de 100 collaborateurs, hypothèse de référence dans le reste de l’article.
| Critère | GoPhish | Microsoft AST | nophi.sh |
|---|---|---|---|
| Modèle de déploiement | Self-hosted, Linux | SaaS Microsoft, intégré M365 | SaaS, hébergé en France |
| Coût 100 users / an | 10 500 à 12 000 € (1ère année) | 0 € si déjà E5, sinon ~6 000 €/an (add-on P2) ou ~68 400 €/an (passage E5) | ~1 188 €/an (forfait starter) |
| Temps de mise en route | 2 à 5 jours IT | 1 à 3 heures (si licences en place) | 15 minutes |
| Catalogue de scénarios français | 0 (à créer) | Faible, traduits | 90+ natifs |
| Micro-learning intégré post-clic | Aucun | Modules courts Microsoft (3-5 min) | Oui, adaptatif au scénario |
| Rapports conformité NIS2 / ISO 27001 | Manuels | Export Microsoft natif | Générés automatiquement |
| Score de risque par collaborateur | Non | Oui (basique) | Oui, par département et type d’attaque |
| Benchmark sectoriel | Non | Non | Oui |
| Support technique | Communauté GitHub | Support Microsoft (selon plan) | Chat + email FR |
| Hébergement données | À votre charge (où vous hébergez) | UE / global Microsoft | France |
| Vérification IA d’emails suspects | Non | Non (existe ailleurs dans Defender) | Oui |
| Maintenance interne requise | Lourde (serveur, SMTP, domaine, certif) | Légère (administration M365) | Aucune |
Trois enseignements de ce tableau.
D’abord, le « gratuit » de GoPhish est trompeur dès qu’on intègre le temps IT. Le delta entre GoPhish et nophi.sh n’est pas en faveur de GoPhish pour une PME standard, c’est l’inverse, et de loin.
Ensuite, Attack Simulation Training a un modèle économique binaire : soit votre organisation est déjà en E5 et AST est « gratuit » (coût marginal nul), soit elle ne l’est pas et le coût d’accès devient le critère principal.
Enfin, les SaaS spécialisés français ont un avantage structurel sur la localisation : scénarios FR, hébergement FR, support FR, conformité documentée. Les autres outils peuvent rattraper, mais avec un effort de configuration et de traduction qui annule le gain de prix initial.
Coût total de possession sur 12 mois pour 100 utilisateurs
Le coût total de possession (TCO) est le critère le plus mal traité dans les comparatifs marketing. Voici les chiffres avec leurs hypothèses, pour une organisation de 100 collaborateurs sur 12 mois.
GoPhish
Logiciel : 0 euro. Infrastructure (VPS 2 vCPU / 4 Go, domaine séparé, certificat SSL, service SMTP optionnel) : 370 à 945 euros par an. Temps IT (installation, maintenance serveur, 24 templates par an, configuration de campagnes, gestion de la délivrabilité, extraction de rapports, maintien de la liste utilisateurs) : 22,5 à 24,5 jours-homme par an, soit 10 125 à 11 025 euros par an sur une base de 450 euros par jour pour un administrateur système intermédiaire en France. Total première année : 10 495 à 11 970 euros. Années suivantes : 9 145 à 10 020 euros. Et ce coût ne couvre que la simulation, pas la formation ni la conformité. Le détail figure dans notre article GoPhish en entreprise : pourquoi ça ne suffit pas.
Microsoft Attack Simulation Training
Trois cas qui changent radicalement le coût.
Déjà en M365 E5 : coût marginal d’AST = zéro. C’est inclus. C’est la situation la plus favorable.
En M365 Business Premium ou E3, add-on Defender for Office 365 Plan 2 : environ 5 euros par utilisateur par mois selon le tarif public Microsoft France (vérifiez la grille à jour sur microsoft.com). Pour 100 utilisateurs : 6 000 euros par an. Raisonnable, surtout si vous tirez d’autres bénéfices de Defender P2 (Safe Links, Safe Attachments, investigation automatisée).
Passage E3 → E5 pour AST seul : M365 E5 se situe autour de 57 euros par utilisateur par mois en France en 2026 (vérifiez sur la page de comparaison Microsoft). Pour 100 utilisateurs : 68 400 euros par an. Si vous n’avez besoin d’AST que pour la simulation, ce passage est économiquement injustifiable.
nophi.sh
À partir de 99 euros par mois, soit environ 1 188 euros par an pour le plan starter. Tarif évolutif selon le nombre d’utilisateurs (grille publique sur la page tarifs). Pour 100 utilisateurs, comptez 200 à 250 euros par mois, soit 2 400 à 3 000 euros par an tout inclus : scénarios, micro-learning, rapports de conformité, hébergement France, support FR. Aucun add-on caché, aucune licence Microsoft additionnelle, aucun temps IT significatif au-delà de l’import initial des utilisateurs.
Synthèse comparée
Pour une PME française de 100 personnes qui n’est pas déjà en M365 E5 :
| Solution | Coût année 1 | Coût années suivantes | Inclut formation ? | Inclut conformité ? |
|---|---|---|---|---|
| GoPhish | 10 500 - 12 000 € | 9 100 - 10 000 € | Non | Non (manuelle) |
| AST (add-on P2) | ~6 000 € | ~6 000 € | Oui (modules MS) | Partielle (export M365) |
| AST (passage E5) | ~68 400 € | ~68 400 € | Oui | Partielle |
| nophi.sh | 1 200 - 3 000 € | 1 200 - 3 000 € | Oui (adaptatif) | Oui (NIS2 automatique) |
Pour une PME déjà en M365 E5, le calcul change : AST devient le choix par défaut, sauf besoin de scénarios FR localisés et de conformité automatisée qui poussent vers une plateforme spécialisée en complément ou en remplacement.
Avantages et limites détaillés
GoPhish : ce qui fonctionne, ce qui pèse
Là où GoPhish brille. Code ouvert sous licence MIT, sans clause restrictive. Aucune dépendance à un éditeur, aucune licence à renouveler, aucune fonctionnalité verrouillée. L’API REST est bien documentée, ce qui rend la quasi-totalité des opérations scriptables. Pour un pentester qui mène un audit ponctuel et décommissionne le serveur après le test, c’est l’outil de référence. Le contrôle total sur l’infrastructure est un argument réel pour les organisations soumises à des contraintes de confidentialité strictes (défense, recherche, santé avec données sensibles).
Là où GoPhish pèse. L’installation et la maintenance représentent une charge que les comparatifs sponsorisés minimisent toujours : serveur, SMTP, domaine séparé, SPF/DKIM/DMARC (voir notre guide délivrabilité GoPhish), certificat SSL, logs, correctifs, sauvegardes. Comptez 2 à 5 jours IT pour la mise en service, puis quelques heures par mois en régime de croisière. Le manque le plus structurant : aucune formation intégrée. Quand un collaborateur clique, il voit une page HTML statique. Pas de micro-learning, pas de coaching adaptatif. Les données KnowBe4 (Phishing by Industry Benchmarking Report 2024) montrent qu’un programme combinant simulation et micro-learning fait passer le taux de clic de ~33 % à moins de 5 % en 12 mois. GoPhish ne ferme jamais cette boucle. Pas non plus de rapports de conformité automatisés, pas d’intégration SSO ou annuaire (import CSV manuel), et toute la responsabilité RGPD reste sur vos épaules en tant que responsable de traitement et hébergeur des données (y compris des identifiants saisis pendant les tests).
Microsoft Attack Simulation Training : la force du natif
Là où AST brille. L’intégration native dans la console Defender supprime la plupart des problèmes de délivrabilité : les emails circulent dans le tenant Microsoft sans passer par les filtres entrants. Zéro configuration SMTP, zéro gestion de réputation de domaine, zéro whitelisting à maintenir. Payload Automation est l’autre point fort : les emails de phishing réels signalés par les utilisateurs via « Report Message » alimentent automatiquement la bibliothèque de payloads. Vous testez avec les attaques qu’ils reçoivent vraiment. Le suivi du signalement est intégré (taux « Reported » en complément du taux de clic). Les modules de formation Microsoft sont courts (3 à 5 minutes). Pour une organisation déjà en M365 E5, c’est un livrable inclus qui couvre l’essentiel.
Là où AST montre ses limites. Le modèle de licence est le frein principal pour les PME : Defender for Office 365 Plan 2 pour chaque collaborateur ciblé, pas seulement les administrateurs. Pour 100 personnes hors E5, c’est 6 000 à 68 400 euros par an selon le scénario d’achat. Le catalogue n’est pas localisé pour la France : les payloads par défaut sont majoritairement anglo-saxons. Vous pouvez créer des Tenant Payloads, mais c’est du travail manuel. Aucun équivalent d’un catalogue prêt à l’emploi « faux Ameli, faux DGFiP, faux Chronopost ». Le coaching post-clic est moins adaptatif que chez les SaaS spécialisés : les modules sont génériques par thème, pas adaptés au scénario précis. Enfin, AST suppose que tous les ciblés ont une licence éligible : si vous avez 80 collaborateurs en E3 et 20 en E5, vous ne pouvez pas tester les 80 sans payer pour eux.
nophi.sh : ce que nous faisons, ce que nous ne faisons pas
Là où nous gagnons. Les 90+ scénarios français natifs couvrent les attaques observées en France : Ameli, DGFiP, Chronopost, banques françaises (Crédit Agricole, BNP, Société Générale, La Banque Postale), URSSAF, fausses factures fournisseurs locales, fraude au RIB. Pas de traduction approximative. Le micro-learning post-clic est adaptatif : un collaborateur qui a cliqué sur un faux Ameli reçoit un coaching sur les marqueurs spécifiques d’un faux Ameli, pas un module générique. C’est ce mécanisme qui produit l’effet de réduction du taux de clic. Les rapports de conformité NIS2 et ISO 27001 sont générés en un clic (NIS2 article 21(2)(g), ISO 27001 contrôle A.6.3 — voir conformité NIS2 et conformité ISO 27001). Hébergement intégralement en France, DPA RGPD inclus. Déploiement en 15 minutes. La vérification d’emails suspects par IA est une fonctionnalité que ni GoPhish ni AST ne couvrent : le collaborateur transfère un email douteux et reçoit un verdict en 30 secondes.
Là où nous ne sommes pas le meilleur choix. Soyons explicites. Le code n’est pas open source : si l’auditabilité totale du code est une contrainte réglementaire ou interne, GoPhish reste la bonne réponse. Pas de version on-premise : pour les périmètres qui ne peuvent absolument pas mettre les données en SaaS, ce n’est pas une option. Pas de support 24/7 enterprise à date : les très grandes organisations habituées à un compte manager attitré et un SLA premium peuvent trouver notre dispositif insuffisant. Notre catalogue, bien que ciblé France, est plus réduit que celui d’un KnowBe4 (90+ vs 25 000+) : pour une multinationale qui veut un catalogue dans 30 langues, nous ne sommes pas la bonne réponse.
Scénarios d’usage : qui choisit quoi ?
Le bon outil dépend du contexte. Voici cinq profils concrets et la réponse la plus rationnelle pour chacun.
PME 25 personnes, sans IT interne, en M365 Business Standard. Le responsable IT est souvent le dirigeant lui-même ou un sous-traitant à temps partiel. Pas de temps pour administrer GoPhish, pas de licence E5 pour AST, pas de budget pour KnowBe4. Réponse : une plateforme SaaS française type nophi.sh, plan starter, 99 euros par mois. Déploiement en 15 minutes, scénarios FR, rapports automatiques. C’est l’option qui produit un résultat sans mobiliser une ressource qui n’existe pas.
PME 80 personnes en M365 Business Premium, RSSI ou DSI à temps partiel. Deux options. Soit garder Business Premium et ajouter une plateforme SaaS spécialisée (nophi.sh, à environ 200 à 250 euros par mois). Coût total environ 3 000 euros par an pour la sensibilisation, avec scénarios FR et conformité auto. Soit upgrader vers E5 pour bénéficier d’AST natif, mais le delta de licence M365 E5 vs Business Premium est de l’ordre de 30 à 35 euros par utilisateur par mois, soit 28 800 à 33 600 euros par an de surcoût pour 80 personnes. Ce surcoût ne se justifie que si vous aviez de toute façon besoin des autres fonctionnalités E5 (Power BI Pro, Defender for Endpoint P2, etc.). Pour la simulation seule, c’est économiquement défavorable.
Grande entreprise 1 000+ personnes déjà en M365 E5. AST est inclus, le coût marginal est zéro. C’est le candidat naturel. Si AST suffit (scénarios génériques, modules Microsoft, rapports natifs), restez sur AST. Si vous avez besoin de scénarios français localisés, de micro-learning adaptatif fin, ou de benchmarks sectoriels, complétez ou remplacez par un acteur spécialisé : nophi.sh, KnowBe4 (segment grand compte), ou Hoxhunt pour la gamification adaptative.
DSI souveraine : collectivité, défense, santé avec données sensibles. La contrainte d’hébergement et de souveraineté pèse plus que le confort fonctionnel. Deux options crédibles. Soit nophi.sh, hébergement France, DPA RGPD, conformité documentée. Soit GoPhish self-hosted on-premise, contrôle total des données et du code, à condition d’accepter la charge IT et l’absence de formation intégrée. Le choix se fait selon que la « formation post-clic intégrée » est jugée critique ou non.
Cabinet de pentest ou red team faisant des audits ponctuels. GoPhish, sans hésitation. C’est l’outil pour lequel il a été conçu. Pas de programme continu, pas de formation, juste mesurer une vulnérabilité humaine à un instant T et produire un rapport d’audit. Tout autre outil serait surdimensionné et coûteux.
Comparatif sur les techniques d’attaque simulées
Toutes les attaques ne sont pas couvertes par tous les outils. Voici le mapping pour les principales techniques que les attaquants utilisent en 2026.
| Technique | GoPhish | Microsoft AST | nophi.sh |
|---|---|---|---|
| Credential Harvest classique | Oui (à coder) | Oui (natif) | Oui (90+ templates) |
| Spear phishing personnalisé | Oui (variables manuelles) | Oui (Tenant Payloads) | Oui (variables dynamiques) |
| QR code (quishing) | Possible (template manuel) | Limité | Oui (scénarios FR ciblés) |
| OAuth Consent Grant | Non | Oui (natif) | Partiel (sensibilisation) |
| AiTM-style (proxy session) | Non en officiel (fork kgretzky) | Non | Non (sensibilisation seulement) |
| Vishing (voix) | Non | Non | Non (sensibilisation pédagogique) |
| Smishing (SMS) | Non | Non | Oui (scénarios SMS FR) |
| Pièce jointe malveillante | Possible (template) | Oui (natif) | Oui |
| BEC / fraude au président | Possible (template) | Possible (Tenant Payload) | Oui (scénarios FR ciblés) |
Trois remarques.
D’abord, aucun des trois outils ne simule fidèlement l’AiTM (Adversary-in-the-Middle) moderne, qui repose sur des proxys malveillants type Evilginx, Tycoon 2FA ou EvilProxy. Sekoia.io a documenté en 2025 11 kits AiTM actifs en circulation (blog.sekoia.io), qui sont devenus la menace la plus difficile à contrer techniquement, y compris pour les organisations ayant déployé du MFA. La sensibilisation à l’AiTM passe par la formation (reconnaître les signes d’un proxy malveillant : domaines proches, comportement inhabituel de la page de connexion), pas par la simulation directe. Notre guide de protection M365 face à l’AiTM détaille les contre-mesures techniques.
Ensuite, OAuth Consent Grant est une force différenciante d’AST. La simulation native d’une demande de permissions OAuth abusives est rare ailleurs. Pour une organisation soucieuse de prévenir les attaques sur ses applications connectées Azure AD / Entra ID, c’est un argument concret pour AST.
Enfin, le vishing et le smishing nécessitent une infrastructure différente (passerelles SMS, plateformes voix). Aucun des trois outils ne couvre nativement le vishing à grande échelle. Les scénarios smishing existent chez nophi.sh (templates SMS, livrés via un service tiers) mais pas chez GoPhish ni AST nativement.
Conformité NIS2 et ISO 27001
La directive NIS2, applicable en France depuis octobre 2024, impose aux entités concernées des mesures documentées de sensibilisation du personnel (article 21, paragraphe 2(g)). La norme ISO 27001 (contrôle A.6.3) exige une sensibilisation, une éducation et une formation à la sécurité de l’information. À chaque audit, il faut prouver que des actions ont été conduites et que les résultats progressent.
GoPhish : rien d’automatique. Aucun rapport de conformité prêt à l’emploi. Vous extrayez les données brutes via l’API (JSON), les compilez dans un tableur, les mettez en forme pour l’auditeur, documentez la cohérence des campagnes dans le temps, archivez pour 24 ou 36 mois. Faisable, mais une demi-journée par audit pour une PME, une journée pour une organisation plus grande. La piste d’audit n’est pas clé en main : c’est vous qui la construisez.
Microsoft AST : rapports natifs, périmètre M365. AST produit des rapports natifs exportables depuis la console Defender (taux de clic, taux de signalement, segmentation par utilisateur). Limites : le périmètre se limite aux utilisateurs licenciés Defender for Office 365 Plan 2. Si une partie de l’organisation n’a pas la licence, ces collaborateurs n’apparaissent pas, ce qui crée un trou de couverture vis-à-vis d’un auditeur NIS2. Les rapports sont orientés données techniques, moins narratifs : une mise en forme reste nécessaire pour un dossier COMEX ou auditeur externe.
nophi.sh : conformité comme livrable produit. Les rapports NIS2 article 21(2)(g) et ISO 27001 A.6.3 sont générés en un clic, avec historique complet des campagnes, taux de complétion des formations, progression dans le temps (taux de clic et de signalement), politique de sensibilisation versionnée, DPA RGPD inclus. Pour les PME soumises à un premier audit NIS2 (entités essentielles ou importantes au sens du décret de transposition), c’est l’option la plus rapide à mettre en conformité.
Et si on combinait ?
L’idée séduit régulièrement. Combiner deux outils pour additionner leurs forces. En pratique, certaines combinaisons fonctionnent, d’autres créent plus de problèmes qu’elles n’en résolvent.
GoPhish (audit pentest ponctuel) + nophi.sh (programme continu) : viable. Un cabinet de pentest mène un audit ponctuel avec GoPhish pour mesurer une vulnérabilité humaine à un instant T (livrable : rapport d’audit). En parallèle, vous faites tourner nophi.sh comme programme continu de sensibilisation. Les deux outils répondent à des questions différentes (« quel est mon niveau aujourd’hui ? » versus « comment progressé-je dans le temps ? »). Le risque de doublons sur les collaborateurs ciblés se gère par planification : l’audit pentest est concentré sur une semaine, le programme continu est étalé.
AST + nophi.sh : possible mais moins fréquent. Cas typique : une organisation déjà en M365 E5 qui utilise AST pour le périmètre Microsoft natif (OAuth Consent Grant, intégration avec le bouton Report Message) et qui ajoute nophi.sh pour les scénarios français localisés, le micro-learning adaptatif et les rapports de conformité automatisés. Faisable, mais attention à la coordination : ne ciblez pas les mêmes collaborateurs avec les deux outils la même semaine. Choisissez un outil principal et utilisez l’autre en complément ciblé.
Deux outils de simulation continue en parallèle : à éviter. Empiler nophi.sh et KnowBe4, ou Mailinblack Cyber Coach et SoSafe, sur le même périmètre pendant le même trimestre, produit trois effets négatifs. Charge cognitive pour les collaborateurs qui reçoivent des emails de tests de deux origines (perte de confiance dans le programme). Rapports incohérents : les taux de clic ne sont pas comparables d’une plateforme à l’autre. Charge opérationnelle pour l’équipe IT qui doit maintenir deux configurations, deux whitelisting, deux calendriers. Choisissez un outil principal et tenez-vous-en à lui pour le programme continu.
Conclusion : pas de réponse universelle
Il n’y a pas d’outil universellement supérieur. La grille de décision se construit autour de cinq variables : budget annuel disponible, taille de l’organisation, présence ou non d’une équipe IT/sécurité interne, statut de la licence Microsoft 365 (E5 ou non), exigences réglementaires (NIS2, ISO 27001, secteur réglementé).
Pour une PME française de 25 à 250 personnes, sans équipe sécurité interne, non déjà engagée en M365 E5, la réponse pragmatique est généralement une plateforme SaaS française spécialisée. nophi.sh est l’une de ces options, ce n’est pas la seule. Pour comparer, consultez notre top 10 des solutions de simulation de phishing en France et notre guide pour choisir sa solution de sensibilisation au phishing en 2026.
Pour les organisations déjà en E5, AST est le candidat naturel à évaluer en premier. Si AST suffit fonctionnellement et que les scénarios francisés ne sont pas une contrainte forte, n’ajoutez rien. Sinon, ajoutez une plateforme spécialisée en complément ciblé.
Pour les pentesters, red teamers et organisations on-premise sans contrainte de programme continu, GoPhish reste pertinent. Mais ne lui demandez pas d’être un outil de programme de sensibilisation : ce n’est pas ce pour quoi il a été conçu, et le construire autour de GoPhish coûte plus cher en temps IT que d’acheter une plateforme managée.
La meilleure preuve reste la mesure réelle. Testez nophi.sh gratuitement pendant 14 jours, comparez avec votre installation actuelle (GoPhish, AST, ou rien du tout), regardez les taux de clic, les taux de signalement, le temps IT investi. Décidez avec des chiffres, pas avec un argumentaire marketing. Les fonctionnalités détaillées sont disponibles sur la page produit.
Et si la conclusion de ce test est « notre situation actuelle nous convient », c’est aussi une réponse valable. L’objectif n’est pas de signer un contrat de plus, c’est de réduire un risque humain de façon mesurable et soutenable dans la durée.