Quel est le prix de Sophos Phish Threat ?

Sophos Phish Threat est un module inclus dans certaines licences Sophos Central (Email Advanced, Intercept X Advanced for Server with XDR selon le bundle). Le coût dépend de la licence globale souscrite auprès d'un partenaire Sophos. Il n'existe pas de grille tarifaire publique pour le module seul. Pour une PME qui n'est pas déjà cliente Sophos, l'accès à Phish Threat implique de souscrire une suite complète. nophi.sh affiche ses tarifs : 99 €/mois pour 50 utilisateurs, 249 €/mois pour 200 utilisateurs, sans engagement.

FortiPhish est-il inclus dans FortiGate ?

FortiPhish est un produit distinct de la gamme Fortinet, séparé du firewall FortiGate. Il faut une licence spécifique pour accéder au module de simulation de phishing. Le prix dépend du nombre d'utilisateurs et de la durée d'engagement, communiqué via le réseau de partenaires Fortinet. Ce n'est pas un module activable en un clic depuis la console FortiGate. nophi.sh propose un accès direct, sans intermédiaire partenaire, avec un essai gratuit de 14 jours.

Sophos ou Fortinet : lequel est meilleur pour la simulation de phishing ?

Sophos Phish Threat et Fortinet FortiPhish sont deux modules de simulation ajoutés à des suites de sécurité réseau. Aucun des deux n'est un produit de sensibilisation au phishing à part entière. Phish Threat offre une intégration avec Sophos Central et des rapports croisés endpoint/email. FortiPhish s'intègre avec la Security Fabric de Fortinet. Les deux sont limités en nombre de scénarios et en profondeur de formation par rapport à une plateforme spécialisée. Pour une PME qui cherche un programme de simulation complet, nophi.sh offre plus de scénarios, du micro-learning adaptatif et la vérification d'email par IA.

Peut-on utiliser Sophos Phish Threat sans Sophos Central ?

Non. Phish Threat fonctionne exclusivement dans la console Sophos Central. Il faut un compte Sophos Central actif avec une licence compatible. Pour une entreprise qui utilise déjà Sophos pour l'endpoint ou le firewall, c'est transparent. Pour une PME qui n'est pas cliente Sophos, cela signifie adopter toute la plateforme pour accéder à un seul module. nophi.sh fonctionne en totale autonomie, sans dépendance à un autre produit.

Existe-t-il une alternative française à Sophos Phish Threat et FortiPhish ?

nophi.sh est une alternative française spécialisée dans la simulation de phishing pour les PME. Contrairement à Phish Threat et FortiPhish qui sont des modules ajoutés à des suites réseau, nophi.sh est construit exclusivement pour la sensibilisation : 90+ scénarios francophones, micro-learning, vérification d'email par IA, conformité NIS2 automatisée. Hébergement 100 % France, tarifs publics à partir de 99 €/mois.

Les données sont-elles hébergées en France avec Sophos ou Fortinet ?

Sophos est un éditeur britannique dont la plateforme Central est hébergée sur AWS, principalement au Royaume-Uni et en Allemagne pour les clients européens. Fortinet est une entreprise américaine avec des data centers aux États-Unis et à l'international. Selon les informations publiquement disponibles (avril 2026), aucun des deux ne propose d'hébergement en France. Pour les PME soumises à des contraintes de souveraineté numérique, nophi.sh héberge 100 % des données en France.

nophi.sh vs Sophos Phish Threat et Fortinet FortiPhish : comparatif pour les PME

Fonctionnalité	nophi.sh	Sophos et Fortinet
Simulation de phishing	90+ scénarios, focus PME françaises	Phish Threat / FortiPhish : modules add-on limités en scénarios
Formation post-échec	Micro-learning 3-5 min, parcours adaptatif	Modules de formation basiques intégrés aux campagnes
Vérification email par IA	Transfert email → verdict 30s	Non proposé (filtrage réseau côté passerelle)
Ingénierie sociale	Simulations email, SMS, QR code	Simulations email uniquement
Tarifs	99 €/mois (≤50 users), publics	Inclus ou add-on selon licence firewall/endpoint
Hébergement données	100 % France	Sophos : UK/Allemagne. Fortinet : USA/international
Essai gratuit	14 jours, plan Pro complet	Essai limité via portail partenaire ou démonstration
Déploiement	15 minutes, autonome	Dépend de l'infrastructure Sophos Central ou FortiGate existante
Public cible	PME 50-500 collaborateurs	Clients existants de la suite réseau Sophos ou Fortinet
Conformité NIS2	Rapports de conformité automatisés, inclus	Pas de reporting NIS2 spécifique dans les modules phishing

Sophos et Fortinet sont deux noms que tout responsable IT connaît. Pare-feu, protection endpoint, VPN, segmentation réseau : ces éditeurs équipent des centaines de milliers d’entreprises. Les PME françaises qui utilisent un FortiGate ou un Sophos XG dans leur baie de brassage se comptent par dizaines de milliers.

Les deux éditeurs proposent aussi des modules de simulation de phishing : Sophos Phish Threat, intégré à la console Sophos Central, et Fortinet FortiPhish, produit distinct au sein de la Security Fabric. Quand on est déjà client Sophos ou Fortinet, la tentation est forte d’activer le module phishing « en plus », sans chercher ailleurs. Un fournisseur de moins, un contrat de moins, une console de moins.

Mais un module de simulation greffé sur une suite de sécurité réseau est-il suffisant pour protéger vos collaborateurs ? Le phishing reste le premier vecteur d’attaque pour 60 % des organisations françaises selon le baromètre du CESIN 2024. Ce comparatif met face à face ces deux modules issus du monde réseau et nophi.sh, une plateforme construite exclusivement pour la sensibilisation au phishing des PME.

Sophos Phish Threat en bref

Sophos est un éditeur britannique de cybersécurité fondé en 1985, racheté par Thoma Bravo en 2020 pour environ 3,9 milliards de dollars. L’entreprise est connue pour ses solutions endpoint et ses pare-feu (gamme XG/XGS). Sophos Central est la console cloud unifiée qui regroupe l’ensemble des produits : Intercept X, XG Firewall, Email, Wireless et Phish Threat.

Phish Threat est le module de simulation de phishing de Sophos Central. Selon les informations disponibles sur le site Sophos, il permet de lancer des campagnes de phishing simulé et de proposer des modules de formation post-clic. La bibliothèque de scénarios couvre les principaux prétextes d’ingénierie sociale : faux emails de service IT, notifications de livraison, mises à jour de compte.

Phish Threat n’est pas vendu séparément. Il fait partie de certaines licences Sophos Central (Email Advanced, bundles Intercept X selon la configuration). Le module se pilote depuis la même console que les autres produits Sophos, ce qui simplifie l’administration pour les équipes IT déjà familières de l’interface. En revanche, le nombre de scénarios et la profondeur des contenus de formation sont limités par rapport aux plateformes spécialisées.

Fortinet FortiPhish en bref

Fortinet est un éditeur américain de cybersécurité fondé en 2000, connu mondialement pour ses pare-feu FortiGate. L’entreprise a construit autour de son firewall une « Security Fabric » qui intègre des dizaines de produits : FortiSwitch, FortiAP, FortiMail, FortiSandbox, FortiEDR et FortiPhish.

FortiPhish est le module de simulation de phishing de Fortinet. Contrairement à Phish Threat chez Sophos, FortiPhish est un produit distinct qui nécessite sa propre licence. Il permet de créer des campagnes de phishing simulé par email, de suivre les taux de clic et d’orienter les collaborateurs piégés vers des contenus de formation. Selon les informations publiquement disponibles (avril 2026), FortiPhish propose une bibliothèque de templates, un tableau de bord de reporting et une intégration avec la Security Fabric.

Le circuit d’achat passe par le réseau de partenaires Fortinet. Pas de tarif public, pas d’essai en libre-service. Le positionnement est le même que chez Sophos : un module complémentaire pour les clients existants, pas une plateforme de sensibilisation autonome.

Ce que Sophos et Fortinet font bien

Un comparatif honnête reconnaît les forces des concurrents. Sophos et Fortinet ont des atouts réels dans certains contextes.

L’intégration avec la suite de sécurité existante

Si votre entreprise utilise déjà Sophos Central, Phish Threat s’active depuis la même console. Pas de nouveau fournisseur, pas de nouvel outil à apprendre. La gestion des utilisateurs est synchronisée avec Active Directory, les rapports de simulation s’affichent à côté des alertes endpoint. Pour un responsable IT qui gère déjà cinq ou six outils, cette consolidation a de la valeur.

Le même raisonnement s’applique à FortiPhish pour les clients Fortinet. L’intégration avec la Security Fabric permet de croiser les données de simulation avec les indicateurs réseau et endpoint.

Le coût marginal pour les clients existants

Pour une PME déjà cliente Sophos Central avec une licence compatible, Phish Threat peut être inclus dans le bundle existant. Le coût marginal est nul ou très faible. Si vous payez déjà pour la suite et que le module phishing est inclus, pourquoi payer un outil supplémentaire ? L’argument est valide tant que le module inclus répond au besoin — ce qui dépend de votre niveau d’ambition en matière de sensibilisation.

La confiance dans des marques établies

Sophos et Fortinet sont des noms reconnus par les responsables IT, les auditeurs et les partenaires. Proposer à sa direction un programme « Sophos » ou « Fortinet » ne suscite pas de question sur la crédibilité du fournisseur. Voir les résultats de simulation dans la même console que les alertes endpoint et les logs firewall offre une vision transversale de la posture de sécurité. Un RSSI ou un responsable IT peut identifier les collaborateurs vulnérables et corréler cette information avec les incidents remontés par les autres briques.

Les limites pour les PME

Sophos et Fortinet sont des acteurs majeurs de la sécurité réseau. Leur expertise en pare-feu et en protection endpoint est reconnue. Mais la simulation de phishing et la sensibilisation des collaborateurs ne sont pas leur coeur de métier. Phish Threat et FortiPhish sont des modules ajoutés à un catalogue existant, pas des plateformes construites pour cette mission. Cette distinction a des conséquences concrètes.

Des scénarios limités et peu adaptés au contexte français

Phish Threat et FortiPhish proposent des bibliothèques de scénarios restreintes, orientées marché international. Les templates sont souvent en anglais avec des traductions disponibles, mais la pertinence culturelle pour des collaborateurs français est moindre. Un faux email de l’IRS ou d’Amazon US ne produit pas le même effet pédagogique qu’un faux email de la CPAM ou de l’ANTAI. Les plateformes spécialisées comme nophi.sh, KnowBe4 ou Proofpoint investissent massivement dans la création de scénarios. nophi.sh en propose plus de 90 couvrant le phishing par email, le smishing par SMS et le quishing par QR code, tous pensés pour le contexte français.

Des formations post-clic basiques et des vecteurs limités à l’email

Les modules de formation intégrés à Phish Threat et FortiPhish couvrent les bases : « vous avez cliqué, voici pourquoi c’était un piège ». C’est mieux que rien, mais c’est loin du micro-learning adaptatif qui ajuste le contenu au type de piège, au profil du collaborateur et à son historique. Sur une plateforme spécialisée, le collaborateur piégé par un spear phishing ciblant la comptabilité ne reçoit pas la même formation que celui qui a cliqué sur un faux lien de mot de passe.

Par ailleurs, Phish Threat et FortiPhish se concentrent sur la simulation par email. Le smishing (SMS), le quishing (QR code) et le vishing (appel téléphonique) ne font pas partie de leur périmètre. Or, les attaques d’ingénierie sociale ne passent plus uniquement par l’email. nophi.sh couvre l’email, le SMS et le QR code dans une même plateforme.

Le piège du « c’est inclus, donc c’est suffisant »

Le responsable IT lance une campagne, obtient un taux de clic, envoie le rapport à la direction. Mission accomplie ? Pas vraiment. Un programme de sensibilisation efficace demande des scénarios culturellement pertinents, une formation adaptée à chaque profil, un suivi de progression et une montée en difficulté progressive. Un module add-on avec une bibliothèque limitée ne produit pas ce résultat. Le risque est de cocher la case « sensibilisation » sans réduire le risque humain de manière mesurable.

Pas de vérification d’email pour les collaborateurs

Ni Phish Threat ni FortiPhish ne proposent d’outil permettant à un collaborateur de vérifier un email suspect en temps réel. Sophos et Fortinet adressent le filtrage email par leurs passerelles respectives (Sophos Email, FortiMail), mais ce sont des outils serveur, invisibles pour le collaborateur. Quand un email passe les filtres et arrive dans la boîte de réception, le collaborateur est seul face à sa décision. La simulation lui a appris à douter, mais sans outil pour transformer ce doute en vérification concrète, la boucle entre formation et action reste ouverte.

Déploiement conditionné, conformité absente, hébergement hors France

Phish Threat nécessite un compte Sophos Central actif avec une licence compatible. FortiPhish nécessite une souscription spécifique via un partenaire Fortinet. Pour une PME qui utilise un autre pare-feu, l’accès à ces modules implique de changer de suite de sécurité — une décision lourde qui n’a rien à voir avec la simulation de phishing.

La directive NIS2 impose de documenter le programme de sensibilisation et de produire des preuves d’amélioration continue. Les rapports de Phish Threat et FortiPhish ne sont pas structurés pour ces exigences. Côté hébergement, Sophos opère au Royaume-Uni et en Allemagne (post-Brexit, pays tiers RGPD), Fortinet principalement aux États-Unis. Pour les PME soumises à des contraintes de souveraineté numérique, l’absence d’hébergement en France peut être éliminatoire.

Ce que nophi.sh fait différemment

nophi.sh n’est pas un module ajouté à une suite existante. C’est une plateforme construite pour une seule mission : protéger les collaborateurs des PME contre le phishing par la simulation, la formation et la vérification.

90+ scénarios et vérification d’email par IA

Le catalogue couvre les vecteurs les plus utilisés en France : email (phishing, spear phishing, BEC), SMS (smishing), QR code (quishing). Chaque scénario est personnalisable avec des variables dynamiques (nom, département, manager, entreprise) et reproduit des situations réelles : faux Chronopost, faux Ameli, fausse contravention ANTAI, fraude au RIB.

Quand un collaborateur reçoit un email suspect en conditions réelles, il le transfère à nophi.sh. En 30 secondes, il obtient un verdict : légitime ou suspect, avec une analyse des en-têtes, de l’authentification SPF/DKIM/DMARC, des liens et de l’expéditeur. Ni Sophos ni Fortinet ne proposent cette fonctionnalité dans leurs modules de simulation. La simulation entraîne le réflexe du doute. La vérification IA transforme ce doute en décision éclairée.

Testez le principe avec le test de sécurité email.

Micro-learning adaptatif et conformité NIS2

Quand un collaborateur clique sur un lien de phishing simulé, il est redirigé vers un module de formation de 3 à 5 minutes, adapté au type de piège. Le parcours est progressif : les récidivistes reçoivent des contenus plus approfondis, les collaborateurs vigilants avancent vers des scénarios de spear phishing plus sophistiqués. La recherche en pédagogie confirme que la rétention est meilleure quand la formation intervient au moment de l’erreur.

nophi.sh génère automatiquement des rapports de conformité NIS2 prêts pour l’auditeur : historique des campagnes, taux de participation, résultats des formations, évolution du score de risque par département. Un export PDF en un clic, inclus dans chaque plan.

Tarifs publics et autonomie complète

Les tarifs de nophi.sh sont affichés sur le site :

Starter : 99 euros par mois, jusqu’à 50 utilisateurs
Pro : 249 euros par mois, jusqu’à 200 utilisateurs
Business : 499 euros par mois, jusqu’à 500 utilisateurs

Facturation mensuelle, pas d’engagement annuel obligatoire. Toutes les fonctionnalités sont incluses dans chaque plan. Comparez avec Sophos et Fortinet : le coût dépend de la licence globale, du bundle, du partenaire, de la négociation. La transparence tarifaire est inexistante pour le module de simulation isolé.

nophi.sh ne dépend d’aucune infrastructure tierce. Pas besoin d’être client Sophos, client Fortinet ou client de qui que ce soit d’autre. 15 minutes entre la création du compte et la première campagne, quel que soit votre pare-feu ou votre antivirus. Hébergement 100 % France, sans transfert transatlantique.

Pour qui choisir Sophos/Fortinet vs nophi.sh

Activer Phish Threat ou FortiPhish est pertinent si :

Vous êtes déjà client Sophos Central ou Fortinet et le module de simulation phishing est inclus dans votre licence. Le coût marginal est nul et le module est accessible immédiatement.
Votre besoin se limite à une campagne ponctuelle : tester vos collaborateurs une ou deux fois par an avec quelques scénarios, sans programme structuré.
Vous tenez à la consolidation : gérer sécurité réseau, endpoint et simulation phishing depuis une seule console.
Vous n’avez pas de contrainte de souveraineté des données. L’hébergement au Royaume-Uni (Sophos) ou aux États-Unis (Fortinet) ne pose pas de problème.

nophi.sh est un meilleur choix si :

Vous voulez un programme de sensibilisation complet, pas un module complémentaire. Scénarios diversifiés (email, SMS, QR code), micro-learning adaptatif, suivi de progression, rapports de conformité.
Vous n’êtes pas client Sophos ou Fortinet, ou vous ne voulez pas conditionner votre sensibilisation à votre choix de pare-feu.
Vos collaborateurs ont besoin d’un outil de vérification d’email pour agir sur leur doute en conditions réelles.
L’hébergement des données en France est un critère : souveraineté numérique, secteurs réglementés, conformité RGPD.
Vous devez documenter votre conformité NIS2. Rapports automatisés, prêts pour l’auditeur, inclus dans chaque plan.
Vous voulez des tarifs clairs et un essai gratuit. 99 euros par mois pour 50 utilisateurs, 14 jours d’essai complet.

Le cas de la PME déjà équipée Sophos ou Fortinet

C’est le scénario le plus fréquent. Votre PME de 80 ou 150 collaborateurs utilise un pare-feu Sophos XGS ou un FortiGate. Phish Threat ou FortiPhish est accessible, peut-être déjà inclus. Pourquoi ajouter un outil ?

La réponse dépend de votre ambition. Si vous voulez cocher la case « sensibilisation phishing » avec une campagne trimestrielle, le module inclus peut suffire. Si vous voulez réduire le taux de clic de manière mesurable, couvrir les vecteurs SMS et QR code, donner à chaque collaborateur un outil de vérification d’email et documenter votre conformité NIS2, le module add-on ne répond pas au besoin. Le coût de nophi.sh — 99 euros par mois pour 50 utilisateurs — est comparable au prix d’un déjeuner d’équipe mensuel.

Démarrer avec nophi.sh

Que vous utilisiez Phish Threat, FortiPhish, ou que vous n’ayez encore aucun programme en place, le processus est le même. Créez votre compte (essai gratuit 14 jours, plan Pro complet), importez vos collaborateurs par CSV, lancez une première campagne de baseline. Activez la vérification d’email et communiquez l’adresse de transfert à vos équipes. nophi.sh planifie automatiquement les campagnes suivantes avec montée en difficulté progressive. Les rapports de conformité se génèrent automatiquement.

Délai total : 15 minutes entre la création du compte et la première campagne. Les données historiques de Phish Threat ou FortiPhish ne sont pas transférables (formats différents), mais la nouvelle baseline vous donne un référentiel propre.

Prêt à aller au-delà du module inclus ? Testez la sécurité email de votre entreprise gratuitement, puis lancez votre première campagne de simulation de phishing avec nophi.sh — 14 jours d’essai, sans engagement.

Sources : Sophos.com et Fortinet.com pour les informations produit et le positionnement. Statistiques phishing France : baromètre du CESIN 2024, ANSSI — Panorama de la cybermenace 2024. Tous les tarifs nophi.sh sont consultables sur la page tarifs. Informations sur Sophos Phish Threat et Fortinet FortiPhish basées sur les données publiquement disponibles en avril 2026. Ce comparatif ne constitue pas un engagement contractuel et les fonctionnalités mentionnées peuvent avoir évolué depuis la date de rédaction.

nophi.sh vs Sophos et Fortinet

Comparaison des fonctionnalités