Skip to content
Comparatif

nophi.sh vs Terranova, Lucy et Ironscales

Comparatif nophi.sh face à Terranova Security, Lucy Security et Ironscales. Forces, limites et pertinence de ces trois plateformes pour les PME françaises.

15 min de lecture Thomas Ferreira

Comparaison des fonctionnalités

Fonctionnalité nophi.sh Terranova, Lucy et Ironscales
Simulation de phishing 90+ scénarios, focus PME françaises Bibliothèques variées, focus compliance ou technique
Formation post-échec Micro-learning 3-5 min, parcours adaptatif LMS complet (Terranova), limité (Lucy), modules courts (Ironscales)
Vérification email par IA Transfert email → verdict 30s Non proposé (Terranova, Lucy) / intégré inbox (Ironscales)
Ingénierie sociale Simulations email, SMS, QR code Email principalement, SMS partiel selon la plateforme
Tarifs 99 €/mois (≤50 users), publics Sur devis uniquement (les trois)
Hébergement données 100 % France Canada/USA (Terranova), Suisse (Lucy), USA/Israël (Ironscales)
Essai gratuit 14 jours, plan Pro complet Démonstrations sur demande (les trois)
Déploiement 15 minutes, autonome Semaines (Terranova, Ironscales), complexe/self-hosted (Lucy)
Public cible PME 50-500 collaborateurs Grands comptes (Terranova), pentesters (Lucy), mid-market US (Ironscales)
Conformité NIS2 Rapports de conformité automatisés, inclus Rapports compliance génériques, pas de focus NIS2

Le marché de la simulation de phishing ne se résume pas aux grands noms comme KnowBe4 ou Proofpoint. Plusieurs plateformes de taille intermédiaire proposent des approches différentes de la sensibilisation au phishing : Terranova Security, Lucy Security et Ironscales. Chacune a un positionnement spécifique, des forces réelles et des limites quand on les évalue depuis le bureau d’un dirigeant de PME française.

Ce comparatif présente ces trois solutions, identifie ce qu’elles font bien, et explique pourquoi nophi.sh reste le choix le plus adapté pour une PME de 50 à 500 collaborateurs en France. Le phishing reste le premier vecteur d’attaque pour 60 % des organisations françaises selon le baromètre du CESIN 2024. La taille de l’entreprise ne change pas la menace, mais elle change radicalement les moyens disponibles pour y répondre.

Terranova Security : la bibliothèque de conformité

Présentation

Terranova Security est un éditeur canadien, fondé à Québec et acquis par Fortra (anciennement HelpSystems) en 2022. La plateforme s’est construite autour d’une bibliothèque massive de contenus de sensibilisation : modules e-learning, vidéos, infographies, quiz, affiches. Le catalogue couvre la sécurité informatique au sens large, bien au-delà du phishing : protection des données, mots de passe, sécurité physique, conformité réglementaire.

L’approche de Terranova est celle d’un LMS (Learning Management System) spécialisé en cybersécurité. La simulation de phishing existe, mais elle est intégrée dans un programme de formation plus large. Le modèle est orienté conformité : prouver que les collaborateurs ont suivi les formations, documenter la participation, générer les rapports pour les audits.

Depuis l’acquisition par Fortra, Terranova fait partie d’un portefeuille de solutions de sécurité qui inclut des outils de gestion des vulnérabilités, de sécurité email et de protection des données. C’est un positionnement de suite intégrée, pensé pour les grandes organisations qui veulent un fournisseur unique.

Ce que Terranova fait bien

Un catalogue de contenus très large. Terranova dispose de centaines de modules de formation traduits dans plus de 40 langues. Pour une entreprise multinationale qui doit déployer un programme de sensibilisation cohérent dans plusieurs pays, cette couverture linguistique est un avantage concret.

Une approche structurée de la conformité. Les programmes de Terranova sont conçus pour répondre aux exigences de normes comme ISO 27001, SOC 2 ou le RGPD. Les rapports de participation et de complétion sont pensés pour les auditeurs. Pour les grandes entreprises soumises à des audits réguliers, cette orientation compliance a de la valeur.

Une suite Fortra complète. L’intégration avec les autres outils de Fortra permet de centraliser la gestion de la sécurité. Si votre organisation utilise déjà des solutions Fortra, ajouter Terranova Security crée des synergies.

Les limites pour les PME françaises

Un contenu d’abord anglophone. Malgré les traductions disponibles, les scénarios et les modules sont conçus pour le marché nord-américain. Les situations de phishing simulé reproduisent des contextes américains ou canadiens. Un faux email de l’IRS ou un scénario de fraude au W-2 n’a aucun sens pour un comptable français. Les scénarios traduits manquent souvent de la pertinence culturelle qui fait la différence en termes d’apprentissage.

Un LMS quand vous avez besoin d’un outil de simulation. La force de Terranova est son catalogue de formation. Mais si votre priorité est de tester les réflexes de vos collaborateurs face au spear phishing, au smishing ou au quishing, la simulation n’est qu’un module parmi des dizaines. Pour une PME qui veut aller droit au but, c’est un outil surdimensionné.

Un cycle commercial enterprise. Pas de tarifs publics, pas d’essai en libre-service. Le processus passe par un commercial, une démonstration, un devis personnalisé. Pour un dirigeant de PME qui veut lancer une première campagne cette semaine, c’est un parcours trop long.

Des données hébergées au Canada et aux États-Unis. Terranova est un éditeur nord-américain. Pour les PME françaises qui doivent respecter des exigences de souveraineté numérique ou qui traitent des données sensibles, l’hébergement hors d’Europe est un point de vigilance.

Lucy Security : l’outil des pentesters

Présentation

Lucy Security est un éditeur suisse basé à Zurich. La plateforme a un positionnement atypique sur le marché de la simulation de phishing : elle s’adresse d’abord aux professionnels de la sécurité offensive. Lucy propose une option self-hosted, où l’entreprise installe et héberge la plateforme sur ses propres serveurs. C’est un choix technique qui séduit les équipes de pentest et les RSSI qui veulent un contrôle total sur leur infrastructure de simulation.

L’outil permet de créer des campagnes de phishing simulé très personnalisées, avec un niveau de granularité qui va jusqu’à la création de pages de phishing sur mesure, la simulation d’attaques multi-vecteurs et l’exploitation de failles techniques pour rendre les scénarios plus réalistes. C’est un outil puissant, pensé pour des utilisateurs techniques.

Lucy propose aussi un mode SaaS, mais le produit reste conçu autour de la flexibilité technique et de la personnalisation avancée. L’interface est fonctionnelle plutôt qu’intuitive. C’est un choix assumé : l’outil n’a pas été conçu pour le responsable IT généraliste d’une PME de 80 personnes.

Ce que Lucy Security fait bien

Le contrôle total avec le self-hosting. Pour les organisations qui ne veulent confier aucune donnée à un tiers, l’option self-hosted de Lucy est un avantage rare sur le marché. Les données restent sur les serveurs de l’entreprise, sans transit vers le cloud d’un éditeur. Dans des secteurs réglementés comme la défense ou la santé, ce niveau de contrôle peut être une exigence.

La flexibilité technique. Lucy permet de construire des scénarios de phishing très sophistiqués : pages d’hameçonnage sur mesure, simulations multi-étapes, exploitation de vecteurs variés. Pour une équipe de sécurité offensive qui veut tester les limites de la résistance de l’organisation, cette flexibilité a une valeur réelle.

L’hébergement suisse. Pour les entreprises européennes soucieuses de la juridiction applicable à leurs données, le cadre suisse offre des garanties de protection des données solides, même en dehors de l’Union européenne.

Les limites pour les PME françaises

Une complexité de déploiement inadaptée. L’installation self-hosted demande un serveur propre, des compétences d’administration Linux, la configuration de DNS et de certificats SSL, et une maintenance continue (mises à jour, sauvegardes, monitoring). Pour une PME de 100 collaborateurs dont le responsable IT gère déjà le réseau, le support et les achats, cette charge opérationnelle est disproportionnée.

Une interface pensée pour les techniciens. L’expérience utilisateur de Lucy est fonctionnelle, pas intuitive. La création de campagnes nécessite des connaissances techniques que le responsable IT généraliste d’une PME n’a pas forcément. Un outil de simulation de phishing pour PME doit être accessible sans formation préalable.

Pas de micro-learning intégré. La force de Lucy est la simulation, pas la formation. Quand un collaborateur clique sur un lien de phishing simulé, les options de formation post-échec sont limitées par rapport à une plateforme qui intègre nativement des parcours de sensibilisation au phishing. L’outil teste, mais ne forme pas.

Un positionnement de niche. Lucy s’adresse aux pentesters, aux consultants en sécurité et aux grandes entreprises avec une équipe SecOps. Ce n’est pas un produit conçu pour les PME, et ça se voit dans le parcours utilisateur, la documentation et le modèle commercial.

Ironscales : la sécurité email augmentée

Présentation

Ironscales est un éditeur israélien fondé en 2014, avec une forte présence sur le marché nord-américain. L’entreprise propose une approche hybride qui combine la sécurité email au niveau de la boîte de réception (inbox-level protection) et la simulation de phishing pour la sensibilisation. C’est un positionnement qui se différencie des pure players de la simulation : Ironscales veut être à la fois le bouclier technique et l’outil de formation.

La plateforme utilise l’intelligence artificielle pour analyser les emails en temps réel, détecter les menaces qui passent à travers les filtres classiques (spear phishing, BEC, usurpation d’identité) et permettre aux collaborateurs de signaler les emails suspects depuis leur boîte de réception. Côté sensibilisation, Ironscales propose des simulations de phishing et des modules de formation courts.

Le positionnement mid-market d’Ironscales cible les entreprises de 500 à 5 000 collaborateurs, avec une présence croissante chez les MSP (Managed Service Providers) qui gèrent la sécurité de plusieurs clients.

Ce qu’Ironscales fait bien

L’approche combinée protection + sensibilisation. Ironscales est le seul acteur de ce comparatif à proposer un filtre de sécurité email intégré à la plateforme de simulation. Pour une entreprise qui veut un fournisseur unique couvrant les deux besoins, cette convergence simplifie l’architecture de sécurité.

La détection IA au niveau inbox. La technologie d’Ironscales analyse les emails après leur arrivée dans la boîte de réception, complétant les filtres email gateway traditionnels. Cette couche supplémentaire détecte les attaques de phishing ciblé et de BEC que les filtres classiques laissent passer.

Le signalement collaboratif. Quand un collaborateur signale un email suspect via le bouton Ironscales dans son client mail, l’analyse est partagée avec l’ensemble de l’organisation. Si l’email est confirmé comme malveillant, il est supprimé de toutes les boîtes de réception qui l’ont reçu. Ce mécanisme transforme chaque collaborateur en capteur de menaces.

Le canal MSP. Pour les PME qui externalisent leur sécurité IT, Ironscales est accessible via des prestataires de services managés. C’est un modèle de distribution qui peut contourner le problème du cycle commercial direct.

Les limites pour les PME françaises

Une plateforme anglophone. L’interface, les scénarios de simulation et les modules de formation sont conçus pour le marché anglophone. Les contenus en français sont limités et souvent traduits, pas pensés pour le contexte culturel français. Un scénario de phishing simulé qui reproduit un faux email d’Amazon US a moins d’impact pédagogique qu’un faux avis Chronopost ou un faux email Ameli.

Des données hébergées hors de France. Ironscales est un éditeur israélien avec une infrastructure principalement aux États-Unis. Pour les PME françaises soumises à des contraintes réglementaires ou qui veulent garantir la souveraineté de leurs données, c’est un frein concret. L’ANSSI recommande de maîtriser la localisation des données sensibles.

Deux produits en un, mais deux budgets. L’offre combinée d’Ironscales couvre la sécurité email et la sensibilisation. Mais si votre PME a déjà un filtre email (via Microsoft 365 ou Google Workspace), vous payez pour une protection redondante. Et si vous avez seulement besoin de simulation de phishing et de formation, le volet sécurité email ajoute de la complexité sans valeur ajoutée.

Un positionnement mid-market américain. Le support, la documentation et les ressources d’Ironscales sont calibrés pour le marché nord-américain. Le décalage horaire, la langue du support et les références culturelles peuvent compliquer l’expérience pour une PME française de 80 collaborateurs.

Le point commun de ces trois plateformes

Terranova, Lucy Security et Ironscales sont des produits sérieux, chacun avec des forces réelles sur leur segment. Mais ils partagent un ensemble de caractéristiques qui les rendent mal adaptés au même profil d’entreprise : la PME française de 50 à 300 collaborateurs sans RSSI à plein temps.

Aucun ne publie de tarifs. Devis sur demande dans les trois cas. Pour un dirigeant de PME qui compare trois solutions entre deux réunions, l’absence de prix est un frein immédiat.

Aucun n’est pensé pour le contexte français. Les scénarios de phishing simulé, les modules de formation et les interfaces sont conçus pour le marché anglophone, puis traduits. La pertinence culturelle, qui est le principal facteur d’efficacité pédagogique d’une simulation, en souffre.

Aucun ne propose de déploiement en libre-service rapide. Le chemin vers la première campagne passe par un commercial, une démonstration, un devis, puis un processus d’onboarding. Pour une PME qui vient de subir une tentative de spear phishing et qui veut réagir cette semaine, ce délai est un obstacle.

Aucun n’héberge les données en France. Canada, Suisse, États-Unis, Israël : les trois éditeurs opèrent hors du territoire français. Pour les PME soumises à NIS2 ou travaillant avec des collectivités et des acteurs du secteur public, la localisation des données est un critère éliminatoire.

Ce que nophi.sh fait différemment

nophi.sh n’essaie pas d’être un LMS de conformité comme Terranova, un outil de pentest comme Lucy ou une suite de sécurité email comme Ironscales. nophi.sh est un outil de simulation de phishing et de formation conçu pour un profil précis : la PME française de 50 à 500 collaborateurs.

Des scénarios pensés pour la France

Le catalogue de nophi.sh contient plus de 90 scénarios de simulation couvrant les vecteurs les plus utilisés en France : email (phishing, spear phishing, BEC), SMS (smishing), QR code (quishing). Faux avis Chronopost, faux remboursement Ameli, fausse contravention ANTAI, fraude au changement de RIB, faux email de la direction demandant un virement urgent. Ce sont des situations que les collaborateurs français reconnaissent, ce qui rend les simulations plus réalistes et l’apprentissage plus durable.

La vérification d’email par IA

Aucune des trois plateformes de ce comparatif ne propose cette fonctionnalité sous cette forme. Quand un collaborateur reçoit un email suspect en conditions réelles, il le transfère à nophi.sh. En 30 secondes, il reçoit un verdict : légitime ou suspect, avec une analyse des en-têtes, de l’authentification SPF/DKIM/DMARC, des liens et du contenu.

Ironscales propose une détection au niveau inbox, mais c’est un filtre automatique. La vérification nophi.sh est un assistant de décision dans les mains du collaborateur, au moment où il en a besoin. La simulation entraîne le réflexe du doute. La vérification IA transforme ce doute en action vérifiable.

Testez le principe avec le test de sécurité email.

Le micro-learning post-échec

Quand un collaborateur clique sur un lien de phishing simulé, il est redirigé vers un module de formation de 3 à 5 minutes, adapté au type de piège. Un collaborateur piégé par un faux email de livraison ne reçoit pas la même formation que celui qui est tombé sur une fraude au RIB. Le parcours est progressif : les récidivistes reçoivent des contenus plus approfondis, les collaborateurs vigilants avancent vers des scénarios plus sophistiqués.

Ce format court et contextualisé est plus efficace qu’un module LMS de 45 minutes suivi une fois par an. La recherche en pédagogie confirme que la rétention est meilleure quand la formation intervient au moment de l’erreur.

Des tarifs publics et prévisibles

Les tarifs de nophi.sh sont affichés sur le site :

  • Starter : 99 euros par mois, jusqu’à 50 utilisateurs
  • Pro : 249 euros par mois, jusqu’à 200 utilisateurs
  • Business : 499 euros par mois, jusqu’à 500 utilisateurs

Facturation mensuelle, pas d’engagement annuel obligatoire. Toutes les fonctionnalités sont incluses dans chaque plan. La seule variable est le nombre d’utilisateurs. Pour une PME de 50 collaborateurs, c’est 1 188 euros par an. Aucune des trois plateformes de ce comparatif ne permet cette transparence tarifaire.

Déploiement en 15 minutes

Créez un compte, importez vos collaborateurs par CSV ou synchronisation annuaire, lancez votre première campagne. 15 minutes entre la décision et l’action. Pas d’installation serveur comme Lucy, pas de cycle commercial comme Terranova, pas d’intégration inbox comme Ironscales. Un SaaS qui fonctionne dès la première connexion.

Hébergement 100 % France et conformité NIS2

Les données sont hébergées en France. Les rapports de conformité NIS2 sont générés automatiquement : historique des campagnes, taux de participation, résultats des formations, évolution du score de risque humain par département. Un export PDF prêt pour l’auditeur, en un clic, inclus dans chaque plan.

Pour qui choisir chaque solution

Terranova Security si :

  • Vous êtes une grande entreprise multinationale avec un programme de conformité structuré couvrant plusieurs pays et langues.
  • Vous cherchez un LMS complet de sensibilisation à la sécurité, pas seulement un outil de simulation de phishing.
  • Vous utilisez déjà des solutions Fortra et voulez intégrer la sensibilisation dans votre suite existante.

Lucy Security si :

  • Vous êtes une équipe de sécurité offensive ou un cabinet de conseil en cybersécurité qui réalise des audits de phishing pour ses clients.
  • Vous avez besoin d’une installation self-hosted avec un contrôle total sur l’infrastructure et les données.
  • Vous disposez de compétences techniques pour installer, configurer et maintenir la plateforme.

Ironscales si :

  • Vous cherchez un outil qui combine sécurité email et sensibilisation dans une seule plateforme.
  • Vous êtes une entreprise mid-market de 500+ collaborateurs avec un budget sécurité structuré.
  • Vous travaillez avec un MSP qui propose Ironscales dans son offre de sécurité managée.

nophi.sh si :

  • Vous êtes une PME de 50 à 500 collaborateurs qui veut protéger ses équipes contre le phishing sans mobiliser une équipe sécurité à plein temps.
  • Votre contexte est français et vous avez besoin de scénarios qui reproduisent des situations réelles en France, pas des templates américains traduits.
  • Vous voulez des tarifs transparents et un déploiement le jour même, sans parcours commercial de plusieurs semaines.
  • La souveraineté des données compte pour vous : hébergement France, éditeur français, conformité NIS2 intégrée.
  • Vous cherchez un outil complet qui couvre la simulation, la formation post-échec et la vérification d’emails suspects par IA, dans un seul abonnement.
  • Vous voulez tester avant de vous engager. 14 jours d’essai gratuit sur le plan Pro complet. Pas une démo encadrée, pas une version bridée.

Prêt à comparer par vous-même ? Testez la sécurité email de votre organisation gratuitement, puis lancez votre première campagne de simulation de phishing en 15 minutes avec nophi.sh — sans engagement, sans rendez-vous commercial.

Sources : Terranova Security, Lucy Security, Ironscales pour les informations produit et le positionnement. Statistiques phishing France : baromètre du CESIN 2024, ANSSI — Panorama de la cybermenace 2024. Tous les tarifs nophi.sh sont consultables sur la page tarifs. Informations sur les concurrents basées sur les données publiquement disponibles en avril 2026. Ce comparatif ne constitue pas un engagement contractuel et les fonctionnalités mentionnées peuvent avoir évolué depuis la date de rédaction.

Questions fréquentes

Quelle est la meilleure alternative à Terranova Security pour une PME française ?

Terranova Security (Fortra) est dimensionné pour les grandes entreprises nord-américaines et européennes. Pour une PME française de 50 à 300 collaborateurs, le cycle commercial long, l'absence de tarifs publics et le contenu anglophone en majorité sont des freins. nophi.sh propose des scénarios pensés pour le contexte français, des tarifs affichés (99 €/mois pour 50 utilisateurs) et un déploiement en 15 minutes sans intermédiaire commercial.

Lucy Security est-il adapté à une PME sans équipe technique ?

Lucy Security est conçu pour les professionnels de la sécurité et les pentesters. L'option self-hosted demande des compétences d'administration serveur et une maintenance continue. Pour une PME dont le responsable IT gère aussi le réseau et le support, la complexité de déploiement et d'exploitation est un frein concret. nophi.sh fonctionne en SaaS, sans installation serveur, opérationnel en 15 minutes.

Ironscales convient-il aux PME françaises ?

Ironscales combine sécurité email et sensibilisation, ce qui est pertinent. Mais la plateforme est conçue pour le marché nord-américain, avec une interface et des contenus en anglais. Les données sont hébergées hors de France. Pour une PME française soucieuse de souveraineté et de pertinence culturelle, nophi.sh offre un hébergement 100 % France, des scénarios en français et une conformité NIS2 intégrée.

Quel est le prix de Terranova, Lucy Security et Ironscales ?

Aucune des trois plateformes ne publie de grille tarifaire. Les prix sont communiqués sur devis après qualification commerciale. Selon les retours du marché, ces solutions se situent dans des fourchettes entreprise, souvent avec des engagements annuels. nophi.sh affiche ses tarifs : 99 €/mois pour 50 utilisateurs, 249 €/mois pour 200, sans engagement.

Peut-on migrer de Terranova, Lucy ou Ironscales vers nophi.sh ?

Oui. L'import d'utilisateurs se fait par CSV. Les données historiques de campagnes ne sont pas transférables entre plateformes, mais nophi.sh établit une nouvelle baseline dès la première campagne de simulation. Le déploiement prend 15 minutes et l'essai gratuit de 14 jours permet de tester avec vos vrais collaborateurs avant de basculer.

nophi.sh peut-il remplacer la protection email d'Ironscales ?

nophi.sh et Ironscales n'ont pas le même périmètre. Ironscales intègre un filtre de sécurité email au niveau de la boîte de réception. nophi.sh se concentre sur la simulation de phishing, la formation et la vérification d'emails suspects par IA. Si vous avez besoin d'un gateway email, nophi.sh ne le remplace pas. Les deux approches peuvent coexister : une protection technique côté serveur et une vigilance humaine côté collaborateur.

Prêt à comparer par vous-même ?

Testez nophi.sh gratuitement pendant 14 jours. Aucune carte bancaire requise.

Essai gratuit 14 jours Voir les tarifs