Hoxhunt est une plateforme finlandaise de sensibilisation à la cybersécurité qui a fait de la gamification et de l’intelligence artificielle ses marqueurs. nophi.sh est une solution française de simulation de phishing, conçue pour les PME de 50 à 500 collaborateurs. Deux approches différentes, deux segments de marché distincts.
Ce comparatif pose les forces et les limites de chaque solution selon votre profil d’entreprise. Pas de classement artificiel : l’objectif est de vous donner les éléments factuels pour décider laquelle correspond à votre taille, votre budget et vos contraintes.
Le phishing reste le premier vecteur d’attaque pour 60 % des organisations françaises selon le baromètre du CESIN 2024. Les solutions existent. La question est de choisir celle qui s’adapte à votre réalité opérationnelle.
Hoxhunt en bref
Hoxhunt est une entreprise finlandaise fondée en 2016 à Helsinki. La plateforme s’est construite autour d’une idée : la sensibilisation au phishing fonctionne mieux quand elle ressemble à un jeu que quand elle ressemble à une obligation. C’est l’approche par la gamification, appliquée à la cybersécurité.
Selon le site de Hoxhunt, la plateforme utilise l’intelligence artificielle pour adapter la difficulté des simulations au niveau de chaque collaborateur. Un employé qui détecte systématiquement les tentatives reçoit des scénarios plus sophistiqués. Un collaborateur qui clique régulièrement reçoit des simulations plus simples, accompagnées de formations ciblées.
Le système de gamification est le marqueur de Hoxhunt. Les collaborateurs gagnent des étoiles quand ils signalent un email simulé, progressent dans des classements individuels et par équipe, et reçoivent des récompenses. L’objectif : transformer un exercice de conformité en activité engageante. Hoxhunt revendique des taux d’engagement supérieurs à 90 %.
Hoxhunt a été reconnu par Gartner et affiche des clients dans les secteurs bancaire, industriel et technologique, principalement en Europe du Nord et en Amérique du Nord. La clientèle type est une entreprise de 1 000 collaborateurs et plus, avec une équipe sécurité structurée.
Le modèle commercial repose sur la démonstration, l’évaluation des besoins, le devis personnalisé et un onboarding accompagné incluant l’intégration technique (SSO, SCIM, connecteurs SIEM). C’est un cycle de vente cohérent avec le segment enterprise.
En résumé : Hoxhunt est un acteur reconnu du marché international, avec une approche par la gamification et une technologie IA mature, positionné sur les grandes entreprises et les ETI.
Hoxhunt vs nophi.sh : ce qui les distingue
La différence entre Hoxhunt et nophi.sh n’est pas une question de qualité. C’est une question de cible et de philosophie.
Hoxhunt a fait le pari de la gamification comme levier de changement comportemental : si les collaborateurs trouvent l’exercice engageant, ils participent davantage et signalent plus. La plateforme applique cette logique avec des mécaniques de jeu sophistiquées : étoiles, classements, récompenses, progression visible.
nophi.sh a fait un choix différent. Plutôt que la gamification, la plateforme mise sur la simplicité du déploiement, la transparence tarifaire et la pertinence locale. Les scénarios sont pensés pour les attaques observées en France. La formation intervient au moment de l’erreur. Le responsable IT d’une PME lance sa première campagne en 15 minutes, sans appeler qui que ce soit.
Hoxhunt s’adresse à des organisations qui ont le temps et les ressources pour déployer un programme de sensibilisation ambitieux sur 12 à 24 mois, avec un reporting granulaire exploité par une équipe sécurité. nophi.sh s’adresse à des PME qui ont besoin de résultats rapides, avec un outil qui tourne en autonomie une fois configuré.
Ce que Hoxhunt fait bien
Un comparatif honnête commence par reconnaître les forces du concurrent. Hoxhunt a des atouts réels, construits sur dix ans d’expérience dans le domaine.
La gamification au service de l’engagement
C’est la marque de fabrique de Hoxhunt et un vrai différenciateur sur le marché. Les classements par équipe, les étoiles gagnées à chaque signalement correct, les récompenses et la progression visible transforment la simulation de phishing en activité participative. Dans une grande entreprise où la lassitude face aux formations obligatoires est un problème réel, cette approche produit des résultats mesurables sur l’engagement.
Quand un collaborateur signale un email de phishing simulé non pas parce qu’on lui a demandé, mais parce qu’il veut gagner des points, le réflexe se construit différemment. La motivation intrinsèque prend le relais de l’obligation. Pour des organisations de plus de 1 000 personnes où maintenir l’attention est un défi permanent, la gamification de Hoxhunt a une valeur concrète.
L’IA adaptative pour la personnalisation
Hoxhunt ajuste automatiquement la difficulté et le type de scénario en fonction du comportement de chaque collaborateur. Un comptable qui détecte trois simulations d’affilée reçoit un scénario de spear phishing plus sophistiqué. Un commercial qui clique régulièrement reçoit des simulations plus simples avec des indices visuels plus marqués.
Cette personnalisation automatique a de la valeur dans les grandes organisations où la gestion manuelle des campagnes serait irréaliste. L’IA fait le travail de segmentation que personne n’a le temps de faire à la main quand il y a 2 000 collaborateurs à former.
Le reporting et l’analytics
Hoxhunt propose un reporting détaillé avec des métriques de résilience, des scores par département, des tendances dans le temps et des benchmarks sectoriels. Pour un RSSI qui doit justifier le budget de sensibilisation devant un comité de direction, ces données sont des arguments concrets. La capacité à montrer l’évolution du taux de signalement sur 12 mois, département par département, transforme la simulation de phishing en programme mesurable.
La reconnaissance par les analystes
Hoxhunt a été reconnu par Gartner et figure dans les évaluations de marché sur la sensibilisation à la sécurité. Pour les grandes entreprises qui s’appuient sur les recommandations d’analystes dans leurs processus d’achat, cette reconnaissance facilite la décision interne et la validation par les achats.
Les limites de Hoxhunt pour les PME françaises
Hoxhunt est une solution performante pour le segment qu’elle vise. Mais quand on l’évalue depuis le bureau d’un dirigeant de PME française de 80 ou 150 collaborateurs, plusieurs limites apparaissent.
Des tarifs non publics et un cycle commercial enterprise
Hoxhunt ne publie pas ses prix. Pour obtenir un devis, il faut passer par une démonstration, une évaluation des besoins et un processus commercial structuré. C’est un modèle standard pour les éditeurs qui vendent à des entreprises de plus de 1 000 collaborateurs, où le cycle d’achat implique plusieurs interlocuteurs et un processus de validation formalisé.
Pour un dirigeant de PME qui compare trois solutions entre deux réunions clients, cette opacité tarifaire est un frein. Sans prix de référence, impossible de budgétiser avant le premier contact commercial. Et le cycle de vente de plusieurs semaines ne correspond pas à l’urgence d’une PME qui vient de subir une tentative de spear phishing ciblant sa direction financière.
Un contenu français, mais pas français de naissance
Hoxhunt propose des scénarios de simulation en français. Mais la plateforme a été conçue à Helsinki pour un marché d’abord nordique, puis anglo-saxon, puis international. La localisation française est une traduction et une adaptation, pas une conception native.
La différence se perçoit dans les scénarios. Les attaques de phishing qui touchent les PME françaises ont des particularités locales : fraude au changement de RIB, faux avis de passage Chronopost, faux remboursement Ameli, usurpation de l’identité d’un dirigeant pour demander un virement (fraude au président), faux courrier de la DGFIP. Une solution née en France intègre ces contextes nativement. Une solution internationalisée les ajoute progressivement à un catalogue conçu pour d’autres marchés.
L’hébergement européen mais pas français
Selon les informations publiquement disponibles (avril 2026), Hoxhunt héberge les données dans l’Union européenne, ce qui satisfait les exigences du RGPD. Mais pour les entreprises françaises qui ont des contraintes de souveraineté numérique — collectivités, sous-traitants du secteur défense, acteurs de santé — la distinction entre hébergement EU et hébergement France a son importance. Un hébergement en Finlande ou en Irlande reste soumis à des juridictions différentes et peut poser question lors d’un audit ANSSI ou d’une évaluation de conformité sectorielle.
La gamification : un atout enterprise, un excès pour les petites équipes
Dans une entreprise de 2 000 personnes, les classements inter-équipes et les systèmes de récompenses créent une dynamique collective. Dans une PME de 60 personnes où tout le monde se connaît, les leaderboards peuvent produire l’effet inverse : gêne, compétition mal placée entre collègues proches, ou simple indifférence face à un système perçu comme surdimensionné.
Le responsable IT d’une PME ne cherche pas à créer un programme de gamification. Il veut que ses collaborateurs arrêtent de cliquer sur les liens frauduleux. La sophistication des mécaniques de jeu de Hoxhunt représente une complexité dont il n’a pas l’usage et un coût qu’il finance sans en tirer le bénéfice prévu.
Pas de vérification d’email en temps réel pour le collaborateur
Hoxhunt propose un bouton de signalement intégré à Outlook et Gmail. Le collaborateur signale un email suspect, et le signalement remonte à l’équipe sécurité pour analyse.
Ce modèle fonctionne quand il y a une équipe SOC pour traiter les signalements. Dans une PME sans équipe sécurité, le signalement tombe dans la boîte mail du responsable IT qui a déjà 50 autres sujets. Le collaborateur ne reçoit pas de réponse, perd confiance dans le processus, et finit par arrêter de signaler.
Ce que nophi.sh fait différemment
nophi.sh et Hoxhunt ne jouent pas sur le même terrain. Les différences reflètent des choix de conception dictés par des clients cibles différents.
Le français comme langue native, pas comme traduction
nophi.sh est construit en français, pour des entreprises françaises. Les 90+ scénarios de simulation reproduisent les attaques qui circulent réellement en France : faux Chronopost, faux Ameli, fraude au RIB, fausse contravention ANTAI, smishing se faisant passer pour un opérateur télécom, quishing par QR code sur un faux PV de stationnement. Le collaborateur qui tombe dans le piège d’un scénario de simulation reconnaît ensuite la même attaque dans sa boîte mail réelle. C’est cette pertinence locale qui fait la différence pédagogique.
15 minutes entre la décision et la première campagne
Créez un compte, importez vos collaborateurs par CSV ou synchronisation annuaire, choisissez un scénario, lancez la campagne. Pas de rendez-vous commercial, pas de semaines de configuration, pas de consultant. Le responsable IT d’une PME de 100 personnes gère déjà le réseau, le support, les achats et la relation fournisseurs. Il a besoin d’un outil qui fonctionne dès la première connexion, pas d’un programme à construire avec un account manager.
Des tarifs affichés, sans négociation
Les tarifs de nophi.sh sont visibles sur le site :
- Starter : 99 euros par mois, jusqu’à 50 utilisateurs
- Pro : 249 euros par mois, jusqu’à 200 utilisateurs
- Business : 499 euros par mois, jusqu’à 500 utilisateurs
Facturation mensuelle, sans engagement annuel obligatoire. Toutes les fonctionnalités sont incluses dans chaque plan — la seule variable est le nombre d’utilisateurs. Pour 50 collaborateurs, c’est 1 188 euros par an. Le dirigeant valide la dépense en 10 minutes, sans attendre un devis.
La vérification d’email par IA : du doute à la certitude
Quand un collaborateur reçoit un email suspect en conditions réelles, il le transfère à nophi.sh et obtient un verdict en 30 secondes : légitime ou suspect, avec l’analyse des en-têtes, de l’authentification SPF/DKIM/DMARC, des liens et de l’expéditeur.
Ce n’est pas un bouton de signalement qui remonte un ticket à une équipe sécurité. C’est un assistant de décision dans les mains du collaborateur, au moment où il en a besoin. La simulation de phishing entraîne le réflexe du doute. La vérification IA transforme ce doute en action vérifiable. Les deux fonctionnalités travaillent ensemble.
Testez le principe avec le test de sécurité email.
Le micro-learning contextualisé
Quand un collaborateur clique sur un lien de phishing simulé, il est redirigé vers un module de formation de 3 à 5 minutes adapté au type de piège. Un collaborateur piégé par un faux email de livraison ne reçoit pas la même formation que celui qui est tombé sur une fraude au RIB. Le parcours est progressif : les récidivistes reçoivent des contenus plus approfondis. La rétention est meilleure quand la formation intervient au moment de l’erreur, pas des semaines après dans un module de 45 minutes.
La conformité NIS2 automatisée
La directive NIS2 impose de documenter les programmes de sensibilisation et de produire des preuves d’amélioration continue. nophi.sh génère automatiquement ces rapports : historique des campagnes, taux de participation, résultats des formations, évolution du score de risque. Un export PDF prêt pour l’auditeur, en un clic, inclus dans chaque plan sans surcoût.
Migrer de Hoxhunt vers nophi.sh
Si vous utilisez Hoxhunt et que vous envisagez de passer à nophi.sh, la transition est directe.
Étape 1 : Créez votre compte nophi.sh. L’essai gratuit de 14 jours donne accès au plan Pro complet. Vous testez avec vos vrais collaborateurs, dans vos conditions réelles.
Étape 2 : Importez vos collaborateurs. Export CSV depuis votre annuaire ou votre fichier RH, import dans nophi.sh. La plateforme crée les groupes et départements automatiquement. Comptez 5 minutes.
Étape 3 : Lancez une campagne de baseline. La première campagne établit votre taux de clic de référence. Les données de campagnes Hoxhunt ne sont pas transférables (formats et métriques différents), mais une nouvelle baseline vous donne un référentiel propre et objectif.
Étape 4 : Activez la vérification d’email. Communiquez l’adresse de transfert à vos collaborateurs. C’est la fonctionnalité qui complète la boucle simulation-formation-action et que vous n’aviez pas avec Hoxhunt.
Étape 5 : Faites tourner les deux en parallèle si nécessaire. Pendant la période d’essai, rien ne vous empêche de comparer les résultats des deux plateformes. Quand les chiffres vous convainquent, vous basculez.
Délai total : 15 minutes entre la création du compte et le lancement de la première campagne.
Verdict
Hoxhunt et nophi.sh répondent au même problème — réduire le risque de phishing par la simulation et la formation — mais pour des profils d’entreprise différents.
Hoxhunt est un bon choix si vous êtes une grande entreprise ou une ETI de 1 000 collaborateurs et plus, avec un RSSI, un budget de sensibilisation formalisé et l’envie de construire un programme de gamification ambitieux sur la durée. La reconnaissance Gartner, l’IA adaptative et les mécaniques de jeu font de Hoxhunt une plateforme performante pour ce segment.
nophi.sh est un bon choix si vous êtes une PME française de 50 à 500 collaborateurs qui veut agir vite, avec des tarifs transparents, un déploiement en 15 minutes et des scénarios pensés pour le contexte français. La vérification d’email par IA, le micro-learning post-échec et la conformité NIS2 automatisée complètent la simulation sans complexité supplémentaire.
Le bon outil est celui qui correspond à votre taille, votre budget et votre capacité opérationnelle. Pas celui qui a le plus de fonctionnalités sur le papier, mais celui que votre équipe utilisera réellement.
Consultez les autres comparatifs pour situer nophi.sh face aux principales solutions du marché.
Prêt à comparer par vous-même ? Essayez nophi.sh gratuitement pendant 14 jours et lancez votre première campagne de simulation de phishing en 15 minutes — sans engagement, sans rendez-vous commercial.
Sources : Hoxhunt.com pour les informations produit, le positionnement et les fonctionnalités. Statistiques phishing France : baromètre du CESIN 2024, ANSSI — Panorama de la cybermenace 2024. Tous les tarifs nophi.sh sont consultables sur la page tarifs. Informations sur Hoxhunt basées sur les données publiquement disponibles en avril 2026. Ce comparatif ne constitue pas un engagement contractuel et les fonctionnalités mentionnées peuvent avoir évolué depuis la date de rédaction.
Questions fréquentes
Quel est le prix de Hoxhunt ?
Hoxhunt ne publie pas de grille tarifaire. Les prix sont communiqués après démonstration et évaluation des besoins. Le modèle tarifaire est conçu pour des entreprises de 1 000 collaborateurs et plus, avec des engagements annuels. Pour une PME qui veut comparer les prix rapidement, nophi.sh affiche ses tarifs : 99 €/mois pour 50 utilisateurs, 249 €/mois pour 200 utilisateurs, sans engagement.
Hoxhunt est-il adapté aux PME ?
Hoxhunt cible les grandes entreprises et les ETI. La plateforme est optimisée pour des organisations de plus de 1 000 collaborateurs, avec des fonctionnalités de gamification et de reporting conçues pour des équipes sécurité structurées. Pour une PME de 50 à 300 collaborateurs sans RSSI, le cycle commercial, le déploiement accompagné et le coût de Hoxhunt peuvent représenter un frein. nophi.sh est conçu pour ce profil : déploiement en 15 minutes, tarifs affichés, autonomie complète.
Hoxhunt ou KnowBe4 : lequel choisir ?
Hoxhunt se différencie de KnowBe4 par son approche gamifiée et son IA adaptative. KnowBe4 mise sur le volume de contenu (catalogue de milliers de templates). Les deux ciblent les grandes entreprises. Pour une PME française, ni l'un ni l'autre n'est dimensionné : cycle commercial long, tarifs non publics, contenus pensés pour le marché anglophone. nophi.sh est une alternative française conçue pour les PME de 50 à 500 collaborateurs.
Hoxhunt est-il disponible en français ?
Hoxhunt propose une interface et des contenus dans plusieurs langues, dont le français. Cependant, la plateforme a été conçue pour le marché nordique puis international. Les scénarios de simulation ne sont pas pensés nativement pour le contexte français (fraude au RIB, faux Chronopost, faux Ameli). nophi.sh est construit en français, avec des scénarios qui reproduisent les attaques réellement observées en France.
Peut-on migrer de Hoxhunt vers nophi.sh ?
Oui. L'import d'utilisateurs se fait par CSV. Les données historiques de campagnes Hoxhunt ne sont pas transférables, mais nophi.sh établit une nouvelle baseline dès la première campagne. Le déploiement prend 15 minutes, ce qui permet de faire tourner les deux solutions en parallèle pendant une période de transition.
Hoxhunt héberge-t-il les données en France ?
Selon les informations publiquement disponibles (avril 2026), Hoxhunt héberge les données dans l'Union européenne, mais pas spécifiquement en France. Pour les entreprises soumises à des contraintes de souveraineté numérique ou à des exigences réglementaires françaises, cette distinction a son importance. nophi.sh héberge 100 % des données en France.