Skip to content
Comparatif

nophi.sh vs Arsen

Comparatif nophi.sh vs Arsen. Deux solutions françaises de simulation de phishing face à face. Fonctionnalités, approche, tarifs et cible pour vous aider à choisir.

15 min de lecture Thomas Ferreira

Comparaison des fonctionnalités

Fonctionnalité nophi.sh Arsen
Simulation de phishing 90+ scénarios, focus PME françaises Simulations IA adaptatives, focus mid-market/enterprise
Formation post-échec Micro-learning 3-5 min, parcours adaptatif Contenus de sensibilisation intégrés
Vérification email par IA Transfert email → verdict 30s Non proposé
Ingénierie sociale Simulations email, SMS, QR code Simulations email + évaluations d'ingénierie sociale avancées
Tarifs 99 €/mois (≤50 users), publics Sur devis uniquement
Hébergement données 100 % France France (infrastructure française)
Essai gratuit 14 jours, plan Pro complet Démonstration sur demande
Déploiement 15 minutes, autonome Accompagnement commercial, onboarding personnalisé
Public cible PME 50-500 collaborateurs ETI et grandes entreprises
Conformité NIS2 Rapports de conformité automatisés, inclus Accompagnement conformité sur demande

Deux solutions françaises, deux visions différentes de la simulation de phishing. Arsen et nophi.sh partagent un socle commun : toutes deux sont nées en France, hébergent leurs données sur le sol français, et se sont donné pour mission de protéger les entreprises contre le phishing, premier vecteur d’attaque pour 60 % des organisations françaises selon le baromètre du CESIN 2024.

Mais derrière cette base commune, les trajectoires divergent. Arsen a construit une plateforme orientée intelligence artificielle et accompagnement, pensée pour les ETI et les entreprises de taille intermédiaire qui disposent d’un RSSI ou d’une équipe sécurité. nophi.sh a fait le choix du self-service et de la transparence, avec un produit dimensionné pour les PME de 50 à 500 collaborateurs qui veulent agir vite, sans cycle commercial.

Ce comparatif ne cherche pas à prouver qu’une solution est meilleure que l’autre dans l’absolu. Il présente deux approches différentes du même problème et vous aide à déterminer laquelle correspond à votre organisation, votre budget et vos contraintes opérationnelles.

Arsen en bref

Arsen est une startup française de cybersécurité, fondée autour de 2020 et basée à Paris. L’entreprise s’est spécialisée dans la simulation de phishing et la sensibilisation à la sécurité, avec un angle de différenciation : l’utilisation de l’intelligence artificielle pour générer et adapter les scénarios de simulation au profil de chaque collaborateur.

Selon le site d’Arsen, la plateforme s’appuie sur des algorithmes d’IA pour personnaliser automatiquement les campagnes en fonction du rôle du collaborateur, de son département et de son historique de réponses aux simulations précédentes. L’objectif affiché est de dépasser la simple campagne de phishing ponctuelle pour construire un programme continu d’évaluation et de réduction du risque humain.

Au-delà de la simulation par email, Arsen propose des évaluations d’ingénierie sociale plus larges. C’est un positionnement qui va au-delà du phishing simulé classique et qui s’adresse à des organisations matures sur le plan de la sécurité, capables d’intégrer ces évaluations dans une stratégie globale de gestion des risques.

Le modèle commercial d’Arsen est orienté accompagnement. Le processus d’acquisition passe par une démonstration, une évaluation des besoins, un devis personnalisé et un onboarding structuré. Chaque client bénéficie d’un suivi pour construire et piloter son programme de sensibilisation. C’est un modèle cohérent pour les ETI et grandes entreprises qui ont un budget formalisé et qui cherchent un partenaire stratégique, pas seulement un logiciel.

L’équipe d’Arsen est issue du milieu de la cybersécurité française. La startup a su se faire une place sur un marché longtemps dominé par des acteurs américains comme KnowBe4 et Proofpoint, ce qui témoigne de la pertinence de son approche sur le segment qu’elle adresse.

En résumé : Arsen est un acteur sérieux du marché français, avec un produit technologiquement ambitieux et un modèle commercial adapté aux organisations de taille intermédiaire et aux grands comptes.

Ce qu’Arsen fait bien

Un comparatif honnête commence par reconnaître les forces du concurrent. Arsen a des atouts réels qui méritent d’être posés clairement.

Une solution française sur un marché américanisé

Le marché de la simulation de phishing est dominé par des acteurs anglo-saxons. KnowBe4, Proofpoint, Cofense, Mimecast : la majorité des plateformes sont américaines, conçues pour le marché nord-américain, traduites ensuite pour le reste du monde. Dans ce contexte, avoir un éditeur français qui pense ses scénarios, ses interfaces et ses contenus pour des collaborateurs francophones est un vrai différenciateur.

Arsen comprend le contexte culturel français. Les scénarios de spear phishing simulé reproduisent des situations que les collaborateurs français reconnaissent : faux emails de fournisseurs, fraude au changement de RIB, usurpation d’identité de la direction. Cette pertinence culturelle améliore le réalisme des campagnes et, par extension, leur efficacité pédagogique. Un collaborateur qui tombe dans le piège d’un scénario crédible apprend davantage qu’un collaborateur qui identifie immédiatement un template américain mal traduit.

L’approche IA pour la personnalisation

Selon les informations disponibles sur leur site, la plateforme adapte automatiquement la difficulté, le type de scénario et le timing d’envoi en fonction du profil de chaque collaborateur.

Un comptable ne reçoit pas le même phishing simulé qu’un développeur. Un collaborateur qui a détecté trois campagnes successives reçoit un scénario plus sophistiqué. Pour une organisation de 500 personnes ou plus, où la personnalisation manuelle serait irréaliste, cette automatisation a une valeur concrète.

L’expertise en ingénierie sociale

Arsen ne se limite pas à l’envoi d’emails de phishing simulés. La plateforme propose des évaluations d’ingénierie sociale plus larges, selon les informations publiquement disponibles (avril 2026). C’est un positionnement qui s’adresse à des organisations qui veulent aller au-delà de la simulation email et évaluer la résistance de leurs équipes à des scénarios d’attaque plus complexes : pretexting, usurpation d’identité, manipulation ciblée.

Pour les entreprises qui ont déjà un programme de sensibilisation email en place et qui veulent monter en maturité, cette capacité d’évaluation élargie est un atout que peu de concurrents proposent sur le marché français.

L’hébergement en France

Comme nophi.sh, Arsen héberge les données en France (selon les informations publiquement disponibles, avril 2026). Sur un marché où la plupart des concurrents internationaux hébergent leurs données sur AWS en Irlande ou en Allemagne, c’est un avantage partagé par les deux solutions françaises de ce comparatif. Pour les entreprises soumises à des contraintes de souveraineté numérique ou qui traitent des données sensibles dans des secteurs réglementés (santé, défense, collectivités), l’hébergement français est un critère de sélection éliminatoire.

L’accompagnement structuré

Pour les organisations qui découvrent la simulation de phishing ou qui n’ont pas l’expertise interne pour piloter un programme de sensibilisation, l’accompagnement proposé par Arsen a de la valeur. Aide à la construction du programme, analyse des résultats, recommandations d’amélioration : ce suivi permet de transformer un outil en une démarche. Pour une ETI de 500 collaborateurs qui dispose d’un budget sensibilisation à cinq chiffres et qui veut un retour mesurable, avoir un interlocuteur qui guide la stratégie fait la différence.

Les limites d’Arsen pour les PME

Arsen est une bonne solution pour le segment qu’elle vise. Mais quand on l’évalue depuis le bureau d’un dirigeant de PME de 60, 80 ou 150 collaborateurs, plusieurs points méritent d’être posés sur la table.

Un modèle tarifaire opaque

Arsen ne publie pas de grille tarifaire publique. Pour connaître le prix, il faut contacter l’équipe commerciale, planifier une démonstration, décrire son besoin, et attendre un devis. C’est un processus standard dans le monde du logiciel B2B enterprise.

Mais pour un dirigeant de PME qui compare trois solutions entre deux réunions, l’absence de prix en ligne est un frein concret. Sans référentiel public, impossible de savoir si le devis reçu est aligné avec le marché. Pour une PME qui surveille chaque ligne de dépense, cette incertitude pèse dans la décision.

Un processus commercial conçu pour les grands comptes

Le parcours d’achat d’Arsen passe par une démonstration, une évaluation des besoins, un devis, puis un onboarding accompagné. Pour une PME de 80 personnes qui vient de recevoir un email de spear phishing ciblant son directeur financier et qui veut réagir dans la semaine, un cycle commercial de plusieurs semaines est un obstacle. Le phishing ne suit pas le calendrier des équipes commerciales.

Un dimensionnement ETI qui peut surdimensionner la PME

Les fonctionnalités, les workflows et les niveaux de service d’Arsen sont conçus pour des organisations qui disposent d’un RSSI ou d’une équipe sécurité structurée. Les rapports détaillés, les évaluations d’ingénierie sociale avancées, l’analyse comportementale par IA : tout cela a de la valeur quand il y a quelqu’un pour exploiter ces données au quotidien.

Dans une PME de 60 collaborateurs, le “responsable IT” gère aussi le réseau, les postes, le support et les achats. Cette personne a besoin d’un outil qui tourne en autonomie après 15 minutes de configuration, pas d’un programme de sensibilisation sophistiqué à piloter. Payer pour des capacités que personne n’a le temps d’exploiter, c’est un budget qui ne produit pas de résultat visible.

L’accompagnement a un coût intégré

L’accompagnement personnalisé a de la valeur, mais cette valeur se retrouve dans le tarif. Pour une PME de 40 collaborateurs, le besoin est plus simple : des scénarios de phishing réalistes, une formation quand quelqu’un se fait piéger, un rapport pour la direction. Le responsable IT a besoin d’un outil qu’il prend en main seul et qui tourne tout seul, pas d’un service d’accompagnement dont il n’a pas l’usage.

Pas d’outil de vérification d’email côté collaborateur

Selon les informations publiquement disponibles (avril 2026), Arsen ne propose pas d’outil permettant à un collaborateur de vérifier un email suspect en temps réel. La plateforme se concentre sur la simulation et la formation, ce qui est son cœur de métier. Mais cela laisse un besoin non couvert dans la chaîne de protection : entre deux campagnes de simulation, que fait un collaborateur quand il reçoit un email douteux ?

La simulation entraîne les réflexes. Mais sans outil pour passer à l’acte quand le doute survient en conditions réelles, le collaborateur est livré à lui-même. Il hésite, il demande à un collègue, ou il prend le risque de cliquer. Le maillon entre la formation et l’action reste manquant.

Ce que nophi.sh fait différemment

nophi.sh et Arsen sont toutes les deux des solutions françaises. Les différences ne sont pas dans la nationalité ni dans la qualité. Elles sont dans les choix de conception, dictés par des clients cibles différents.

Le self-service plutôt que l’accompagnement

nophi.sh est construit pour être utilisé sans intermédiaire. Créez un compte, importez vos collaborateurs par CSV ou synchronisation annuaire, lancez votre première campagne. 15 minutes entre la décision et l’action. Pas de rendez-vous commercial, pas de consultant, pas de semaines d’attente.

Ce n’est pas un compromis de qualité. C’est une conviction : le responsable IT d’une PME de 100 personnes gère déjà le réseau, le helpdesk, les relations fournisseurs et dix autres sujets. L’outil doit fonctionner dès la première connexion, pas après un processus d’intégration.

Des tarifs publics et prévisibles

Les tarifs de nophi.sh sont affichés sur le site, visibles sans formulaire de contact :

  • Starter : 99 euros par mois, jusqu’à 50 utilisateurs
  • Pro : 249 euros par mois, jusqu’à 200 utilisateurs
  • Business : 499 euros par mois, jusqu’à 500 utilisateurs

Facturation mensuelle, pas d’engagement annuel obligatoire, pas de négociation. Le dirigeant de PME peut comparer les prix, calculer son budget annuel et valider la dépense en 10 minutes. Pour 50 collaborateurs, c’est 1 188 euros par an. Pour 200 collaborateurs, 2 988 euros par an. Pas de surprise au renouvellement, pas d’augmentation non annoncée.

Toutes les fonctionnalités sont incluses dans chaque plan. La seule variable est le nombre d’utilisateurs. Pas de modules complémentaires, pas de niveaux de service Gold/Platinum/Diamond, pas de surcoût pour les rapports de conformité ou le micro-learning.

La vérification d’email par IA

C’est une fonctionnalité que nophi.sh est seul à proposer dans ce comparatif. Quand un collaborateur reçoit un email suspect en conditions réelles (pas une simulation, un vrai email), il le transfère à nophi.sh. En 30 secondes, il reçoit un verdict : légitime ou suspect, avec une analyse détaillée des éléments vérifiés (en-têtes, authentification SPF/DKIM/DMARC, liens, expéditeur, contenu).

Ce n’est pas un filtre anti-spam. Ce n’est pas un outil pour administrateurs. C’est un assistant de décision dans les mains du collaborateur, au moment précis où il en a besoin. La simulation entraîne le réflexe du doute. La vérification IA transforme ce doute en action vérifiable. Les deux fonctionnalités travaillent ensemble pour construire une culture de vigilance durable.

Testez le principe avec le test de sécurité email.

Le micro-learning post-échec

Quand un collaborateur clique sur un lien de phishing simulé, il est immédiatement redirigé vers un module de formation de 3 à 5 minutes, adapté au type de piège dans lequel il est tombé. Un collaborateur piégé par un faux email de livraison ne reçoit pas la même formation que celui qui est tombé sur une fraude au RIB. Le parcours est progressif : les récidivistes reçoivent des contenus plus approfondis, les collaborateurs vigilants avancent vers des scénarios de spear phishing plus sophistiqués.

Ce format court, contextualisé et immédiat est plus efficace qu’un module de formation de 45 minutes suivi une fois par an. La recherche en pédagogie confirme que la rétention est meilleure quand la formation intervient au moment de l’erreur, pas des semaines après.

La conformité NIS2 intégrée

La directive NIS2 impose aux entreprises concernées de documenter leur programme de sensibilisation au phishing et de produire des preuves d’amélioration continue. nophi.sh génère automatiquement ces rapports de conformité : historique des campagnes, taux de participation, résultats des formations, évolution du score de risque par département. Un export PDF prêt pour l’auditeur, en un clic.

C’est inclus dans chaque plan, sans surcoût. Pour une PME qui découvre les obligations NIS2 et qui n’a pas d’équipe conformité, la génération automatique de ces preuves supprime une charge de travail significative. Pas de module supplémentaire à acheter, pas de service de consulting à mobiliser.

90+ scénarios pensés pour les PME françaises

Le catalogue de nophi.sh contient plus de 90 scénarios de simulation couvrant les vecteurs les plus utilisés en France : email (phishing, spear phishing, BEC), SMS (smishing), QR code (quishing). Chaque scénario est personnalisable avec des variables dynamiques (nom du collaborateur, département, manager, nom de l’entreprise).

Les scénarios reproduisent des situations réelles : faux avis Chronopost, faux remboursement Ameli, fausse contravention ANTAI, fraude au changement de RIB, faux email de la direction demandant un virement. Pour une PME, 90 scénarios pertinents et prêts à l’emploi sont plus utiles que des milliers de templates à trier.

Pour qui choisir Arsen vs nophi.sh

Il n’y a pas de mauvais outil dans ce comparatif. Il y a deux solutions adaptées à des contextes différents. Voici un cadre de décision factuel.

Arsen est un bon choix si :

  • Vous êtes une ETI de 500+ collaborateurs avec un budget de cybersécurité structuré, un RSSI ou une équipe sécurité capable de piloter un programme de sensibilisation sur la durée.
  • Vous cherchez un partenaire, pas seulement un outil. L’accompagnement personnalisé d’Arsen a de la valeur quand vous construisez un programme de sensibilisation ambitieux avec des objectifs de réduction du risque humain mesurés sur 12 à 24 mois.
  • La personnalisation IA des scénarios est une priorité. Si vos collaborateurs ont des profils très variés (technique, commercial, direction, terrain, production) et que vous voulez une adaptation automatique des campagnes sans intervention manuelle, l’approche IA d’Arsen est pertinente.
  • Vous voulez aller au-delà du phishing email. Les évaluations d’ingénierie sociale avancées proposées par Arsen s’adressent à des organisations matures qui veulent tester la résistance de leurs équipes face à des scénarios d’attaque variés.
  • Vous êtes prêt à investir du temps dans un cycle commercial pour obtenir une solution calibrée sur mesure pour votre organisation.

nophi.sh est un bon choix si :

  • Vous êtes une PME de 50 à 500 collaborateurs et vous cherchez une solution dimensionnée pour votre taille, sans payer pour des services d’accompagnement dont vous n’avez pas l’usage.
  • Vous voulez des tarifs transparents sans négociation commerciale, avec la possibilité de décider et de démarrer le même jour. Budget connu avant le premier appel : 99 euros par mois pour 50 collaborateurs, 249 euros par mois pour 200.
  • Votre équipe IT est réduite et vous avez besoin d’un outil qui fonctionne en autonomie totale après 15 minutes de configuration, sans semaines de mise en place.
  • Vous voulez un outil de vérification d’email pour vos collaborateurs, pas seulement de la simulation. Le transfert d’email suspect avec verdict en 30 secondes n’a pas d’équivalent chez Arsen.
  • La conformité NIS2 est un sujet et vous cherchez des rapports automatisés prêts pour l’audit, inclus dans le tarif, sans module complémentaire.
  • Vous voulez tester avant de vous engager. 14 jours d’essai gratuit sur le plan Pro complet, avec vos vrais collaborateurs et vos vrais scénarios. Pas une démo encadrée, pas une version bridée.

Le cas des PME en croissance

Les PME de 200 à 500 collaborateurs en croissance rapide sont parfois à la frontière entre les deux segments. Pour ces organisations, nophi.sh permet de lancer un programme en 15 minutes et de produire des résultats mesurables dès la première semaine. Si l’entreprise dépasse 500 collaborateurs et recrute un RSSI, elle peut réévaluer ses besoins. La facturation mensuelle sans engagement permet cette flexibilité.

Migrer d’Arsen vers nophi.sh

Si vous utilisez Arsen et que vous envisagez nophi.sh, la transition est simple et peut se faire sans interruption de votre programme de sensibilisation.

Étape 1 : Créez votre compte nophi.sh. L’essai gratuit de 14 jours donne accès au plan Pro complet. Vous testez avec vos vrais collaborateurs, dans vos conditions réelles, pas sur une démo avec des utilisateurs fictifs.

Étape 2 : Importez votre liste de collaborateurs. Export CSV depuis votre source (annuaire, fichier RH, ou extraction de votre outil actuel) et import dans nophi.sh. La plateforme crée automatiquement les groupes et départements. Comptez 5 minutes.

Étape 3 : Lancez une campagne de baseline. La première campagne établit votre taux de clic de référence. C’est le point de départ pour mesurer la progression, indépendamment des données historiques de votre précédente solution. Les métriques de campagnes Arsen ne sont pas transférables (formats et méthodes de calcul différents), mais une nouvelle baseline vous donne un référentiel propre.

Étape 4 : Faites tourner les deux en parallèle si nécessaire. Rien ne vous oblige à couper Arsen immédiatement. Pendant la période d’essai de nophi.sh, vous pouvez comparer les résultats des deux plateformes sur les mêmes équipes. Quand les résultats vous convainquent, vous basculez.

Étape 5 : Activez la vérification d’email. Communiquez l’adresse de transfert à vos collaborateurs. Dès qu’un email leur paraît suspect, ils le transfèrent et obtiennent un verdict en 30 secondes. C’est la fonctionnalité que vous n’aviez pas avant et qui complète la boucle simulation-formation-action.

Délai total : 15 minutes entre la création du compte et le lancement de la première campagne.

Prêt à comparer par vous-même ? Essayez nophi.sh gratuitement pendant 14 jours et lancez votre première campagne de simulation de phishing en 15 minutes — sans engagement, sans rendez-vous commercial.

Sources : Arsen.co pour les informations produit, le positionnement et les fonctionnalités. Statistiques phishing France : baromètre du CESIN 2024, ANSSI — Panorama de la cybermenace 2024. Tous les tarifs nophi.sh sont consultables sur la page tarifs. Informations sur Arsen basées sur les données publiquement disponibles en avril 2026. Ce comparatif ne constitue pas un engagement contractuel et les fonctionnalités mentionnées peuvent avoir évolué depuis la date de rédaction.

Questions fréquentes

Arsen est-il adapté aux PME ?

Arsen cible principalement les ETI et grandes entreprises. La plateforme est conçue pour des organisations disposant d'une équipe sécurité ou d'un RSSI. Pour une PME de 50 à 200 collaborateurs sans RSSI, le processus commercial d'Arsen (démonstration, devis, onboarding accompagné) peut représenter un frein par rapport à une solution en libre-service. nophi.sh est conçu pour ce profil : déploiement autonome en 15 minutes, tarifs affichés, pas d'intermédiaire commercial.

Quel est le prix d'Arsen ?

Arsen ne publie pas de grille tarifaire. Les prix sont communiqués sur devis après une démonstration commerciale. Ce modèle est courant chez les éditeurs ciblant les ETI et grandes entreprises. nophi.sh affiche ses tarifs : 99 €/mois pour 50 utilisateurs, 249 €/mois pour 200 utilisateurs, sans engagement.

Arsen ou nophi.sh : lequel choisir ?

Si vous êtes une ETI de 500+ collaborateurs avec un RSSI et un budget de sensibilisation conséquent, Arsen propose des simulations avancées et un accompagnement personnalisé. Si vous êtes une PME de 50 à 300 personnes qui cherche une solution rapide, autonome et à budget maîtrisé, nophi.sh est dimensionné pour votre contexte.

Les deux solutions sont-elles hébergées en France ?

Oui. Arsen et nophi.sh sont tous deux des éditeurs français qui hébergent les données en France. C'est un point commun et un avantage par rapport aux solutions américaines comme KnowBe4 ou Proofpoint pour les entreprises soucieuses de souveraineté numérique.

Peut-on migrer d'Arsen vers nophi.sh ?

Oui. L'import d'utilisateurs se fait par CSV. Les données historiques de campagnes ne sont pas transférables entre plateformes, mais nophi.sh établit une nouvelle baseline dès la première campagne de simulation.

Prêt à comparer par vous-même ?

Testez nophi.sh gratuitement pendant 14 jours. Aucune carte bancaire requise.

Essai gratuit 14 jours Voir les tarifs