GoPhish est l’outil de simulation de phishing open source le plus connu au monde. Gratuit, respecté par la communauté sécurité, avec plus de 13 000 étoiles GitHub.
Alors pourquoi de plus en plus de PME françaises passent de GoPhish à des solutions managées ? Parce que tester le phishing et mettre en place un programme de sensibilisation continu sont deux choses différentes, et GoPhish n’a jamais été conçu pour la seconde.
Ce comparatif présente les faits. GoPhish a des forces réelles. nophi.sh répond à des besoins différents.
GoPhish en bref
GoPhish est un framework open source de simulation de phishing créé par Jordan Wright en 2016. Écrit en Go et distribué sous licence MIT, le projet est hébergé sur GitHub (github.com/gophish/gophish) et cumule plus de 13 000 étoiles.
Le principe : vous installez GoPhish sur votre serveur, vous configurez un SMTP d’envoi, vous créez des templates d’emails et des pages d’atterrissage, puis vous lancez des campagnes. L’interface web affiche les résultats : emails envoyés, ouverts, liens cliqués, identifiants saisis.
Points importants :
- Pas d’entreprise derrière GoPhish. Projet communautaire, pas de support commercial, pas de SLA, pas de feuille de route garantie.
- Populaire chez les pentesters et red teamers. GoPhish est un outil de test d’intrusion avant d’être un outil de sensibilisation. La communauté l’utilise principalement pour des tests ponctuels lors d’audits de sécurité.
- Self-hosted uniquement. Pas de version SaaS officielle. Vous devez provisionner un serveur, installer le binaire, configurer le réseau et maintenir l’infrastructure.
- Dernière version stable : 0.12.1 (selon le dépôt GitHub). Le rythme de développement a ralenti ces dernières années.
GoPhish reste une référence dans le domaine du phishing et de l’ingénierie sociale. Il a démocratisé la simulation de phishing en la rendant accessible à quiconque sait administrer un serveur Linux.
Ce que GoPhish fait bien
GoPhish est un bon outil pour ce qu’il fait. Le critiquer pour ne pas être un SaaS managé serait comme reprocher à un tournevis de ne pas être une perceuse.
Gratuit et open source, sans compromis. Licence MIT, usage commercial sans restriction. Pas de licence à renouveler, pas de tarification par utilisateur. Pour une organisation dont le budget sécurité est proche de zéro, c’est un argument de poids.
Contrôle total sur les données. L’hébergement on-premise signifie que vos données ne quittent jamais votre infrastructure. Aucun tiers n’accède aux adresses email de vos collaborateurs ni aux résultats de campagne.
API REST bien documentée. Automatisez la création de campagnes, l’import d’utilisateurs, la récupération de résultats. Des scripts Python et des intégrations communautaires existent.
Communauté active. Le wiki GitHub, les issues et les tutoriels communautaires couvrent la majorité des cas d’usage.
Outil de référence pour les pentests. Pour un red teamer qui mène un test de spear phishing ponctuel, GoPhish est souvent le meilleur choix : configurer une campagne ciblée, mesurer les résultats, produire un rapport, passer au client suivant.
Les limites de GoPhish pour un programme de sensibilisation en PME
Le problème n’est pas ce que GoPhish fait. C’est ce qu’il ne fait pas, et ce que vous devrez faire à sa place.
Installation et maintenance : le temps IT invisible
Installer GoPhish n’est pas un clic sur « Démarrer ». Le processus implique :
- Provisionner un serveur Linux (VPS ou machine dédiée)
- Installer et configurer GoPhish (binaire ou Docker)
- Configurer un serveur SMTP d’envoi (avec authentification, SPF, DKIM pour éviter les filtres spam)
- Acheter et configurer un domaine dédié pour les pages de phishing
- Obtenir un certificat SSL (Let’s Encrypt ou autre)
- Configurer les règles de pare-feu et la sécurité réseau
- Mettre en place des sauvegardes de la base de données
Comptez 2 à 5 jours de travail pour un administrateur expérimenté. Et c’est uniquement l’installation initiale. Ensuite : mises à jour du serveur, correctifs de sécurité, surveillance des logs, gestion des pannes.
Pour une PME de 80 personnes avec un responsable IT à temps partagé, ce temps n’est pas disponible.
Aucun module de formation
C’est la limite la plus significative pour un usage en entreprise. Quand un collaborateur clique sur un lien de phishing dans une campagne GoPhish, voici ce qui se passe : il est redirigé vers une page statique. Point final.
Pas de micro-learning adapté. Pas de module de formation expliquant pourquoi l’email était suspect. Pas de mécanisme de renforcement qui réduise le risque de récidive. Pas de parcours pédagogique progressif.
Or, la simulation de phishing sans formation est un constat, pas un programme de sensibilisation. Vous identifiez les collaborateurs vulnérables, mais vous ne les aidez pas à s’améliorer. Les taux de clic restent stables d’une campagne à l’autre parce que personne n’apprend de ses erreurs. Selon le rapport Verizon DBIR 2025, 68 % des compromissions impliquent un facteur humain. Détecter le problème sans le traiter ne réduit pas ce chiffre.
Création de templates : un travail artisanal
GoPhish est livré sans bibliothèque de modèles. Chaque template d’email de phishing et chaque page d’atterrissage doit être créé manuellement en HTML. Pour des simulations réalistes en français, cela implique :
- Concevoir un email qui imite un service connu (banque, fournisseur cloud, administration)
- Coder le HTML responsive compatible avec les clients email (Outlook, Gmail, Thunderbird…)
- Créer la page d’atterrissage correspondante
- Tester le rendu et la délivrabilité
Comptez 1 à 2 heures par template, d’après les retours communautaires. Pour un programme de sensibilisation qui nécessite 20 à 30 scénarios variés par an (différents types d’attaque, différents contextes), c’est 30 à 60 heures de travail de création de contenu. Et les templates existants partagés par la communauté sont quasi exclusivement en anglais.
Tableau de bord limité
GoPhish fournit quatre métriques par campagne : emails envoyés, emails ouverts, liens cliqués, identifiants soumis. C’est suffisant pour un rapport de pentest ponctuel. C’est insuffisant pour piloter un programme de sensibilisation continu.
Ce qui manque :
- Score de risque par collaborateur et par département. Impossible de savoir si la comptabilité est plus vulnérable que le service commercial.
- Tendances dans le temps. Pas de graphique montrant l’évolution du taux de clic sur 6 ou 12 mois. Vous ne pouvez pas démontrer l’amélioration, ou l’absence d’amélioration, à votre direction.
- Benchmarks. Aucun point de comparaison avec d’autres entreprises de votre secteur ou de votre taille.
- Alertes automatiques. Pas de notification quand un département dépasse un seuil de risque.
Aucun rapport de conformité
La directive NIS2, applicable depuis octobre 2024, exige des entités concernées qu’elles démontrent des mesures de sensibilisation du personnel (article 21, paragraphe 2g). GoPhish ne génère aucun rapport de conformité. Extraire les données brutes et les mettre en forme manuellement pour un audit ou un rapport à la direction est un travail supplémentaire à chaque campagne.
Responsabilité RGPD
Quand vous hébergez GoPhish sur votre serveur, vous êtes le responsable de traitement au sens du RGPD pour toutes les données collectées : adresses email, clics, identifiants saisis. Registre des traitements, analyse d’impact, sécurisation des données, notification en cas de violation : tout est à votre charge.
Avec un SaaS managé, cette responsabilité est partagée avec le prestataire (DPA, sous-traitant au sens de l’article 28 du RGPD).
Passage à l’échelle difficile
Gérer des campagnes pour 200 ou 500 collaborateurs dans GoPhish devient rapidement pénible. L’import de listes, la segmentation par département, la planification de campagnes récurrentes, le suivi individuel : tout doit être fait manuellement ou scripté via l’API. C’est faisable, mais c’est du temps de développement et de maintenance en plus.
Le vrai coût de GoPhish
GoPhish est gratuit. Mais « gratuit » ne signifie pas « sans coût ». Voici un calcul réaliste pour une PME de 100 collaborateurs sur 12 mois.
Coûts d’infrastructure :
| Poste | Coût estimé |
|---|---|
| VPS (serveur dédié) | 30 à 50 €/mois, soit 360 à 600 €/an |
| Domaine dédié + certificat SSL | 15 à 30 €/an |
| Sous-total infrastructure | 375 à 630 €/an |
Coûts humains (temps IT) :
| Poste | Temps estimé | Coût (base 450 €/jour) |
|---|---|---|
| Installation initiale | 3 à 5 jours | 1 350 à 2 250 € |
| Maintenance mensuelle (patches, monitoring) | 3 h/mois × 12 | 2 025 € |
| Création de 24 templates (2 par mois) | 1,5 h × 24 | 2 025 € |
| Configuration campagnes (2/mois) | 1 h × 24 | 1 350 € |
| Extraction et mise en forme des rapports | 2 h × 12 | 1 350 € |
| Sous-total temps IT | 8 100 à 9 000 €/an |
Coût total GoPhish : 8 475 à 9 630 euros la première année. Les années suivantes, sans l’installation initiale : environ 6 750 à 7 380 euros par an.
Coût nophi.sh : à partir de 99 €/mois, soit 1 188 €/an. Avec tout inclus : 90+ scénarios en français, formation post-échec automatique, tableaux de bord, rapports de conformité NIS2, hébergement en France, support, mises à jour. Consultez nos tarifs pour le détail.
Et le coût de la non-formation ? GoPhish simule le phishing mais ne forme pas les collaborateurs qui échouent. Sans formation, le taux de clic ne diminue pas significativement. Chaque clic en situation réelle peut coûter entre 15 000 et 150 000 euros à une PME (selon les données de l’ANSSI sur les coûts moyens d’une cyberattaque pour les PME). Un seul incident évité par an rembourse l’investissement dans une solution managée.
Ce que nophi.sh fait différemment
nophi.sh n’est pas un fork de GoPhish. C’est un produit conçu pour un usage différent : permettre aux PME de lancer un programme de sensibilisation continu sans mobiliser leurs ressources IT.
Déploiement en 15 minutes. Créez un compte, importez vos collaborateurs (CSV ou synchronisation annuaire), choisissez vos scénarios, lancez votre première campagne. Pas de serveur, pas de SMTP, pas de domaine à acheter.
90+ scénarios en français, prêts à l’emploi. Faux emails de l’Assurance Maladie, de la DGFIP, de fournisseurs cloud, de banques françaises, de services de livraison. Chaque scénario est testé en conditions réelles. Vous n’avez pas à coder un seul template HTML.
Formation automatique post-échec. Quand un collaborateur clique sur un lien de simulation, il accède immédiatement à un module de micro-learning de 3 à 5 minutes. Le module explique les signaux d’alerte spécifiques à l’email qu’il vient de recevoir. C’est la différence entre constater un problème et le traiter. Les études montrent qu’une formation contextuelle immédiate réduit le taux de récidive de 50 à 75 % (source : SANS Institute, Security Awareness Report 2024).
Vérification d’emails suspects par IA. Un email douteux ? Vos collaborateurs le transfèrent à l’assistant nophi.sh et obtiennent un verdict en 30 secondes. Plus besoin de solliciter l’IT pour chaque email suspect. Testez notre outil de test de sécurité email.
Tableau de bord avec score de risque. Risque humain par département, par type d’attaque, par période. Progression dans le temps. Rapports pour votre direction en un clic.
Rapports de conformité NIS2. nophi.sh génère automatiquement les rapports attestant de vos campagnes et de la formation de vos collaborateurs, prêts pour un audit. Plus de détails sur notre page conformité NIS2.
Hébergement en France. Données de campagne et informations collaborateurs sur des serveurs en France. Conformité RGPD, pas de transfert transatlantique.
Essai gratuit de 14 jours. Testez sans engagement et comparez avec votre installation GoPhish existante.
Pour qui choisir GoPhish vs nophi.sh ?
Les deux outils n’adressent pas le même besoin. Voici un cadre de décision objectif.
Choisissez GoPhish si :
- Vous êtes pentester ou red teamer et vous menez des tests de phishing ponctuels pour des clients. GoPhish est fait pour cela.
- Vous avez une équipe IT disponible avec un administrateur système qui peut consacrer du temps à l’installation, à la maintenance et à la création de templates.
- Vous avez besoin de personnalisation poussée. Le code source ouvert permet de modifier le comportement de GoPhish sans restriction.
- Votre budget est réellement à zéro et vous préférez investir du temps plutôt que de l’argent. C’est un choix rationnel si les ressources humaines sont disponibles.
- Vous faites un test ponctuel. Un audit unique de la résilience au phishing, sans programme de suivi, se fait très bien avec GoPhish.
Choisissez nophi.sh si :
- Vous mettez en place un programme de sensibilisation continu avec des campagnes régulières, un suivi dans le temps, et une formation des collaborateurs.
- Vous êtes une PME sans équipe sécurité dédiée. Votre responsable IT a autre chose à faire que de maintenir un serveur GoPhish et créer des templates HTML.
- Vous avez besoin de rapports de conformité. NIS2, RGPD, audits internes : les rapports sont générés automatiquement.
- Vous voulez former, pas seulement tester. La simulation sans formation ne réduit pas le risque. Le micro-learning post-échec est ce qui fait baisser le taux de clic.
- Vous voulez des scénarios en français, prêts à l’emploi. Pas le temps de coder des templates imitant La Poste ou les impôts ? Les 90+ scénarios sont déjà là.
- L’hébergement en France compte pour vous. Données en France, pas de transfert transatlantique.
Migrer de GoPhish vers nophi.sh
Si vous utilisez déjà GoPhish et que la maintenance vous pèse, la migration est simple.
Étape 1 : Exportez votre liste d’utilisateurs. Dans GoPhish, accédez à « Users & Groups » et exportez vos contacts au format CSV. Les colonnes email, prénom, nom et département suffisent.
Étape 2 : Créez votre compte nophi.sh. L’essai gratuit de 14 jours ne demande pas de carte bancaire. Inscription en 2 minutes.
Étape 3 : Importez vos utilisateurs. Uploadez le fichier CSV exporté de GoPhish. nophi.sh mappe automatiquement les colonnes.
Étape 4 : Lancez votre première campagne. Choisissez parmi les 90+ scénarios de simulation de phishing disponibles, sélectionnez vos groupes cibles, planifiez l’envoi. Première campagne opérationnelle en 15 minutes.
Et vos données historiques GoPhish ? Elles restent sur votre serveur GoPhish. Vous pouvez conserver le serveur en lecture seule le temps de la transition, ou exporter les résultats de campagnes au format JSON via l’API GoPhish pour archivage.
Le serveur GoPhish peut ensuite être décommissionné. Un serveur de moins à maintenir, des patches de sécurité de moins à appliquer, du temps IT récupéré pour des tâches à plus forte valeur.
GoPhish est un excellent outil open source qui a rendu la simulation de phishing accessible à tous. Pour un pentest ponctuel ou une équipe avec de solides compétences techniques, il remplit parfaitement son rôle.
Mais pour une PME française qui veut réduire son risque humain de façon durable, avec de la formation, du suivi et de la conformité, sans mobiliser son IT, GoPhish atteint ses limites. C’est là que nophi.sh prend le relais.
Testez nophi.sh gratuitement pendant 14 jours et comparez les résultats avec votre installation GoPhish actuelle.
Questions fréquentes
GoPhish est-il vraiment gratuit ?
Le logiciel GoPhish est gratuit et open source (licence MIT). Mais le coût réel inclut le temps d'installation et de configuration (comptez 2 à 5 jours pour un déploiement fonctionnel), la maintenance du serveur, les mises à jour de sécurité, la création manuelle des templates de phishing, et le temps de votre équipe IT pour gérer l'outil. Pour une PME sans équipe IT dédiée, le coût caché dépasse souvent le prix d'une solution managée.
Comment installer GoPhish ?
GoPhish nécessite un serveur (Linux recommandé), la configuration d'un serveur SMTP pour l'envoi d'emails, un certificat SSL, un domaine dédié pour les pages de phishing, et des règles de pare-feu. L'installation technique prend 2 à 5 heures pour un administrateur expérimenté. Avec nophi.sh, le déploiement prend 15 minutes : créez un compte, importez vos utilisateurs, lancez une campagne.
Peut-on utiliser GoPhish en entreprise ?
Oui, mais avec des limites. GoPhish fonctionne bien pour des tests ponctuels. Pour un programme de sensibilisation continu avec formation post-échec, suivi du risque humain et rapports de conformité, il manque les fonctionnalités essentielles. De plus, héberger GoPhish sur votre infrastructure vous rend responsable de la sécurité des données collectées (conformité RGPD).
Pourquoi passer de GoPhish à nophi.sh ?
Les raisons les plus fréquentes : la maintenance de GoPhish monopolise du temps IT, les templates sont difficiles à créer en français, il n'y a pas de formation automatique post-échec, et les rapports ne suffisent pas pour démontrer la conformité NIS2. nophi.sh remplace GoPhish en 15 minutes avec des scénarios prêts à l'emploi et une formation intégrée.
GoPhish ou nophi.sh : lequel est le plus adapté pour une PME française ?
GoPhish convient si vous avez une équipe IT disponible, un besoin ponctuel de test, et un budget proche de zéro. nophi.sh convient si vous voulez un programme de sensibilisation continu, sans mobiliser votre IT, avec des rapports de conformité NIS2 et un hébergement des données en France. Pour une PME de 50 à 500 collaborateurs, nophi.sh est généralement plus rentable que GoPhish quand on intègre le coût humain.