Formation cybersécurité vs simulation de phishing : quelle différence, quelle efficacité ?
E-learning, ateliers présentiels, simulation de phishing : comparaison objective des méthodes de sensibilisation avec données d'efficacité et ROI pour les PME.
Votre entreprise investit dans la formation cybersécurité. Vos collaborateurs ont suivi les modules e-learning, répondu aux quiz, obtenu leurs certificats. Pourtant, lors de la dernière tentative de phishing, réelle, cette fois, trois personnes ont cliqué, une a saisi ses identifiants, et vous avez passé le week-end à changer les mots de passe de toute l'entreprise.
Ce scénario n'est pas une exagération. 68 % des employés prennent des risques en connaissance de cause (Proofpoint State of the Phish 2024) : ils savent que c'est dangereux, ils le font quand même. 96 % de ceux qui ont commis une action risquée savaient pertinemment qu'elle l'était. La raison la plus citée : la commodité (44 %), suivie du gain de temps (39 %).
Le problème n'est pas l'ignorance. C'est l'écart entre ce que les gens savent et ce qu'ils font. Et cet écart, la formation classique seule ne le comble pas.
Cet article compare les méthodes de sensibilisation cybersécurité, formation e-learning, ateliers présentiels, simulation de phishing, micro-learning, en s'appuyant sur les données d'efficacité les plus récentes : KnowBe4 (14,5 millions d'utilisateurs testés), les études académiques de l'IEEE Symposium on Security and Privacy, le baromètre CESIN 2025/2026, et les travaux du SANS Institute. L'objectif : vous donner les éléments factuels pour choisir la bonne approche selon votre contexte et votre budget.
Clarification des termes : de quoi parle-t-on exactement ?
Avant de comparer, il faut s'entendre sur les termes. Le marché de la sensibilisation au phishing utilise des mots qui recouvrent des réalités très différentes, et la confusion entre ces méthodes est la première source de mauvais choix chez les PME.
La formation e-learning (déclarative)
Des modules en ligne que les collaborateurs suivent à leur rythme : généralement une à deux fois par an, d'une durée de 20 à 45 minutes. Le contenu couvre les bases : qu'est-ce que le phishing, comment reconnaître un email suspect, les bonnes pratiques de mots de passe, la sécurité des postes de travail. Un quiz en fin de module valide la complétion. L'entreprise coche une case de conformité.
C'est la méthode la plus répandue. C'est aussi celle dont l'efficacité sur les comportements est la plus contestée par la recherche académique.
Les ateliers présentiels
Des sessions de formation en présentiel ou en visioconférence, animées par un formateur (interne ou externe). Durée typique : 1 à 2 heures. Le format permet l'interaction, les questions, les démonstrations en direct (démo de phishing, ingénierie sociale simulée). Plus engageant que le e-learning, mais aussi plus coûteux en temps et en logistique : difficile à maintenir sur la durée pour une PME.
La simulation de phishing
L'entreprise envoie de faux emails de phishing à ses propres collaborateurs, sans les prévenir. Les emails reproduisent les techniques des vrais attaquants : usurpation de marque, urgence, prétexte crédible, lien vers une page de collecte d'identifiants. Chaque collaborateur est testé individuellement. Ceux qui cliquent reçoivent une page de remédiation immédiate. Les résultats sont mesurés : taux de clic, taux de signalement, temps de réaction.
La simulation de phishing ne transmet pas de connaissances théoriques. Elle crée une expérience émotionnelle, la surprise de s'être fait piéger, qui ancre le réflexe de vigilance dans la mémoire. Pour un guide complet sur la mise en place d'un programme de simulation, consultez notre guide de la simulation de phishing en entreprise.
Le micro-learning
Des capsules de formation de 1 à 5 minutes, délivrées à haute fréquence : idéalement chaque semaine, via Slack, Teams, email ou une application dédiée. Chaque capsule couvre un seul concept : comment vérifier l'expéditeur d'un email, comment repérer une URL suspecte, que faire en cas de doute. Le format court s'intègre dans la journée de travail sans perturber la productivité.
La gamification
L'intégration de mécaniques de jeu (points, classements, badges, scénarios interactifs) dans le parcours de sensibilisation. La gamification n'est pas une méthode en soi : c'est un moteur d'engagement applicable à n'importe quelle méthode : e-learning gamifié, simulations gamifiées, micro-learning gamifié.
L'approche combinée (SBCP)
Gartner a formalisé en 2024 le concept de Security Behavior and Culture Program (SBCP) : un programme qui combine formation, simulation, micro-learning et interventions en temps réel dans un cadre continu. Seules 13 % des organisations ont un SBCP pleinement opérationnel (Gartner 2025). C'est la direction que prend le marché.
La formation classique : ce qu'elle fait bien, et ce qu'elle ne fait pas
Les forces réelles de la formation e-learning
La conformité documentée. NIS2 (article 21), ISO 27001 (annexe A.7.2.2) et SOC 2 exigent des preuves de sensibilisation du personnel. Un programme e-learning avec suivi des complétions, scores aux quiz et certificats fournit exactement cette preuve. Sans outil de formation, vous êtes incapable de documenter votre conformité lors d'un audit. Pour approfondir les bonnes pratiques de formation des collaborateurs, consultez notre guide de la formation cybersécurité pour les PME.
Le socle de connaissances de base. Tout le monde n'arrive pas avec le même niveau de compréhension des risques cyber. Pour les nouveaux embauchés ou les collaborateurs non techniques, un module e-learning structuré pose les fondamentaux : vocabulaire, types d'attaques, procédures internes, contacts en cas d'incident. C'est un prérequis : pas un objectif final.
La traçabilité individuelle. Les plateformes e-learning produisent des journaux de formation nominatifs : qui a suivi quoi, quand, avec quel score. En cas d'incident, cette traçabilité peut atténuer la responsabilité juridique de l'entreprise : un argument que les DPO et les juristes comprennent.
Là où la formation e-learning échoue
L'écart savoir-faire. L'étude la plus importante de 2025 sur ce sujet est celle de Ho et al. (IEEE Symposium on Security and Privacy, 2025). Les chercheurs ont conduit un essai contrôlé randomisé sur 19 500 employés d'un grand hôpital américain, avec 10 campagnes de phishing simulé sur 8 mois. Résultat : les groupes ayant reçu une formation intégrée (embedded training après chaque clic) n'ont montré qu'une réduction de 1,7 % du taux de clic par rapport au groupe témoin qui n'avait reçu aucune formation.
Pire : 75 % des utilisateurs ont passé moins d'une minute sur les contenus de formation, et un tiers ont fermé la page immédiatement sans interagir. La formation est livrée. Elle n'est pas absorbée.
La confirmation par une autre étude à grande échelle. Lain et al. (IEEE Symposium on Security and Privacy, 2022) ont suivi 14 000 employés pendant 15 mois avec 8 simulations de phishing par personne. Leur conclusion : la formation intégrée aux simulations « ne rend pas les employés plus résistants au phishing et peut avoir des effets secondaires inattendus qui les rendent plus vulnérables ». Dans certains cas, la formation volontaire a augmenté la susceptibilité au phishing.
La méta-analyse de Leiden. Une analyse de 69 études publiée par l'Université de Leiden en 2024 synthétise le consensus académique actuel : « Bien que la formation augmente significativement les prédicteurs du comportement de l'utilisateur final, tels que les attitudes ou les connaissances, les changements de comportement ne peuvent être observés que de manière minimale. »
En clair : la formation classique améliore ce que les gens savent. Elle ne change pas ce qu'ils font. Pour une analyse complète de ce phénomène : Pourquoi le e-learning cybersécurité ne suffit plus.
L'atelier présentiel : même diagnostic, format différent
Les ateliers en présentiel sont plus engageants que l'e-learning : l'interaction avec un formateur et le format collectif créent une dynamique positive. Mais ils souffrent du même problème fondamental : ils transmettent des connaissances déclaratives (« savoir que le phishing existe ») sans créer de réflexes procéduraux (« vérifier automatiquement l'expéditeur avant de cliquer »).
Le coût est aussi un frein majeur pour les PME : un formateur externe en cybersécurité facture entre 1 200 et 2 500 euros la journée. Pour 50 collaborateurs répartis sur 2 sessions, comptez 2 400 à 5 000 euros : pour une seule journée de formation qui sera oubliée à 80 % dans les 30 jours (Ebbinghaus).
Les ateliers présentiels ont une place dans un programme de sensibilisation : ils sont utiles pour le lancement du programme (expliquer la démarche, poser le cadre), pour les formations de managers (qui ont un rôle de relais) et pour les debriefings post-incident (quand un vrai phishing a touché l'entreprise). Mais comme socle unique du programme de sensibilisation, ils sont trop coûteux, trop ponctuels et trop dépendants de la qualité du formateur pour produire un changement de comportement durable.
Le piège de la formation de conformité
Le baromètre Gartner 2025 identifie un problème structurel : 68 % des responsables cybersécurité considèrent que le faible engagement des collaborateurs est le principal défi de conception de leurs programmes de sensibilisation. Et 47 % citent un désalignement stratégique entre la sécurité et les objectifs métier.
Ce que ces chiffres révèlent : dans la majorité des organisations, la formation cybersécurité est un exercice de conformité, pas un programme d'amélioration. C'est l'un des critères clés pour choisir la bonne solution de sensibilisation. L'objectif implicite n'est pas de changer les comportements : c'est de cocher une case lors de l'audit annuel. La conséquence : des modules e-learning ennuyeux, suivis sous la contrainte, oubliés immédiatement, qui ne servent qu'à produire un tableur avec « 95 % de complétion ».
Ce tableur ne protège personne. Et l'auditeur NIS2 ne se contentera pas de taux de complétion : il demandera des preuves d'amélioration comportementale mesurable. Consultez notre guide NIS2 pour les PME pour comprendre les exigences de la directive.
La simulation de phishing : comment ça fonctionne, et pourquoi c'est différent
Le mécanisme d'apprentissage
La simulation de phishing repose sur l'apprentissage expérientiel, un concept formalisé par David Kolb en 1984 : on apprend mieux en vivant une expérience qu'en écoutant une explication. Cliquer sur un faux email de phishing et voir apparaître la page « Vous avez été piégé, voici pourquoi » crée une réaction émotionnelle (surprise, embarras) qui s'ancre dans la mémoire bien plus profondément qu'un slide PowerPoint sur « les 5 signes d'un email de phishing ».
Le mécanisme est identique à celui de la formation au tir pour les pompiers : on ne se prépare pas à un incendie en lisant un manuel, mais en pratiquant dans des conditions réalistes.
Le cycle simulation-remédiation-progression
Un programme de simulation de phishing structuré fonctionne en boucle :
Phase 1, Baseline. Première campagne sans prévenir les collaborateurs. Le taux de clic initial est mesuré. Selon le KnowBe4 Phishing Benchmarking Report 2025 (14,5 millions d'utilisateurs, 62 400 organisations), le taux de clic moyen avant toute formation est de 33,1 %, un employé sur trois clique. Pour les entreprises de 1 à 250 salariés, ce taux est de 24,6 %. Pour les plus de 10 000 employés, il monte à 40,5 %.
Phase 2, Remédiation immédiate. Chaque collaborateur qui clique reçoit instantanément un contenu de remédiation ciblé : qu'est-ce qui aurait dû l'alerter dans cet email spécifique, comment vérifier l'expéditeur, comment signaler un email suspect. Le contenu est contextualisé, pas un module générique, mais une explication liée à l'email sur lequel la personne vient de cliquer.
Phase 3 : Campagnes récurrentes. Des simulations mensuelles ou bimensuelles avec une difficulté progressive : d'abord des phishing génériques (faux colis, fausse facture), puis des spear phishing ciblés (email du « directeur », fausse notification Teams), puis des attaques sophistiquées (callback phishing, QR code malveillant). La difficulté s'adapte au niveau de chaque collaborateur.
Phase 4, Mesure continue. Le taux de clic, le taux de signalement et le temps de réaction sont suivis mois après mois. Après 90 jours de simulation et formation combinées, le taux de clic baisse de 40 % (de 33,1 % à environ 19,9 %). Après 12 mois, la réduction atteint 86 %, le taux de clic tombe à 4,1 % (KnowBe4 2025). Pour les benchmarks de taux de clic par secteur et par taille d'entreprise, consultez notre article détaillé sur les benchmarks de taux de clic phishing par secteur.
Les indicateurs clés d'une simulation efficace
Au-delà du taux de clic (le chiffre le plus visible), un programme de simulation mature suit plusieurs indicateurs :
Le taux de signalement. C'est l'indicateur le plus important, et le plus négligé. Le taux de signalement mesure le pourcentage de collaborateurs qui, face à un email suspect, utilisent le bouton de signalement pour alerter l'équipe IT. Sur la plateforme Proofpoint en 2025, le taux de signalement moyen est de 18,65 % tous secteurs confondus. Les services financiers montent à 32,35 %. L'éducation stagne à 7,71 %. Un taux de signalement élevé signifie que vos collaborateurs ne se contentent pas de ne pas cliquer, ils participent activement à la détection des menaces en temps réel.
Le ratio de résilience. Proofpoint le calcule comme le rapport entre le taux de signalement et le taux de clic. Un ratio supérieur à 1 signifie que plus de collaborateurs signalent que ne cliquent : l'organisation est en posture de défense active. Le ratio moyen en 2025 est de 3,78. Les services financiers atteignent 8,23. L'éducation reste à 1,27.
Le temps médian de signalement. Combien de temps s'écoule entre la réception de l'email suspect et le signalement ? Plus ce temps est court, plus l'équipe IT peut réagir rapidement pour neutraliser une vraie menace. Les organisations les plus matures visent un temps de signalement médian inférieur à 5 minutes.
La progression par type d'attaque. Les taux de clic varient considérablement selon le type de simulation : un email générique (« Votre colis est en attente ») génère 15-25 % de clics, tandis qu'un spear phishing ciblé (email du « directeur financier » demandant un virement) peut atteindre 40-60 %. Suivre la progression par type d'attaque permet d'identifier les scénarios où vos équipes restent vulnérables.
Ce que la simulation ne fait pas
La simulation de phishing ne remplace pas la formation. Elle ne couvre pas les bases : gestion des mots de passe, sécurité du poste de travail, politique de classification des données, réaction en cas d'incident avéré. Un programme de simulation sans socle de connaissances est un test sans préparation : il mesure la vulnérabilité mais ne fournit pas les outils pour la réduire.
La simulation ne protège pas non plus contre les menaces que les collaborateurs ne rencontrent jamais par email : clé USB piégée, ingénierie sociale téléphonique (vishing), compromission physique. Ces vecteurs nécessitent d'autres approches.
La simulation n'est pas non plus infaillible. L'étude Lain et al. (2022) a montré que des simulations mal conçues, avec une formation optionnelle et non contextualisée, peuvent avoir l'effet inverse : augmenter la susceptibilité au phishing chez certains collaborateurs. Le design du programme compte autant que l'outil. Les simulations trop fréquentes (plusieurs par semaine), trop faciles (repérables immédiatement) ou sans remédiation post-clic (le collaborateur clique et rien ne se passe) ne produisent aucun apprentissage.
Les données : quelle méthode change réellement les comportements ?
Le chiffre qui résume tout
Voici les données comparatives les plus solides disponibles en mars 2026, issues d'études à grande échelle :
| Méthode | Réduction du taux de clic | Source | Taille de l'échantillon |
|---|---|---|---|
| Formation e-learning seule (annuelle) | 1,7 % | Ho et al. 2025, IEEE S&P | 19 500 employés |
| Formation intégrée aux simulations (embedded) | Effet négligeable à négatif | Lain et al. 2022, IEEE S&P | 14 000 employés |
| Simulation + formation combinée (12 mois) | 86 % (de 33,1 % à 4,1 %) | KnowBe4 2025 Benchmarking | 14,5 millions d'utilisateurs |
| Simulation seule (3 mois) | 48 % | IJSRA 2025 | 300 employés |
| Micro-learning continu (taux de signalement) | De 7 % à 60 % | Données agrégées (Symbol Security) | Industrie |
Comment lire cet écart
L'écart entre les résultats académiques (1,7 % de réduction) et les données industrielles (86 % de réduction) mérite une explication, parce qu'il ne s'agit pas d'un cas où « l'un a raison et l'autre tort ».
Les études académiques (Ho 2025, Lain 2022) mesurent l'effet isolé de la formation : le contenu pédagogique seul, souvent sous forme d'une seule page de remédiation montrée après un clic. Elles utilisent des essais contrôlés randomisés (le gold standard scientifique) avec des groupes témoins. Leur conclusion : une page de formation montrée une fois après un clic ne change pas le comportement.
Les données industrielles (KnowBe4) mesurent l'effet d'un programme complet : simulations récurrentes (mensuelles), formation continue, micro-learning, remédiation ciblée, progression de difficulté, sur 12 mois. Le programme combine 5 à 12 interventions par collaborateur sur l'année. La réduction de 86 % est le résultat cumulé de ce programme complet : pas d'un module isolé.
La réconciliation est simple : une formation ponctuelle ne change rien. Un programme continu et varié change les comportements. La fréquence, la répétition et la combinaison des méthodes sont les facteurs déterminants : pas la qualité d'un module individuel.
Les données du Verizon DBIR 2025 le confirment sous un autre angle : les employés formés dans les 30 derniers jours sont 4 fois plus susceptibles de signaler un email de phishing que ceux dont la dernière formation remonte à plus d'un mois. La fraîcheur de la formation compte autant que son contenu.
Les données françaises
Le baromètre CESIN 2025 (10e édition, 401 répondants, janvier 2025) indique que 85 % des entreprises françaises forment désormais leurs collaborateurs aux risques cyber. Le phishing et le spear phishing restent le vecteur d'attaque numéro un à 60 % des attaques signalées. Le baromètre CESIN 2026 (11e édition, janvier 2026) rapporte une baisse des attaques significatives à 40 % (contre 47 % en 2024), mais lorsque les attaques réussissent, 81 % ont un impact business.
Pour les TPE/PME, le tableau est moins favorable. 69 % des cyberattaques en France ciblent des TPE/PME (données 2025). Seulement 35 % des TPE/PME ont formé plus de la moitié de leur personnel (en hausse par rapport à 28 % en 2023). La moitié des employés de TPE/PME ne reçoivent pas de formation régulière en cybersécurité (Baromètre national maturité cyber TPE-PME 2025). Les chiffres français confirment le constat international : la formation existe, mais elle est insuffisante, peu fréquente et mal mesurée.
L'obstacle numéro un cité par les TPE françaises est le manque de budget (70 % des TPE, Baromètre maturité cyber 2025). Le deuxième est le manque de temps. Le troisième : le sentiment que « ça n'arrivera pas chez nous ». Pourtant, les données montrent le contraire : 59 % des PME françaises ont subi une cyberattaque dans les 12 derniers mois (Hiscox 2025), et le coût moyen se situe entre 20 000 et 50 000 euros : soit 10 à 50 fois le coût annuel d'un programme de sensibilisation.
Le gouvernement français a lancé SensCyber (via Cybermalveillance.gouv.fr et France Num) : un module gratuit de sensibilisation en ligne pour les TPE/PME avec 3 parcours courts. L'ANSSI met à disposition le Guide d'hygiène informatique et la plateforme MesServicesCyber. Ces ressources sont un point de départ, mais elles ne couvrent pas la simulation de phishing ni la mesure des comportements.
L'argument du Verizon DBIR 2025
Le Data Breach Investigations Report 2025 de Verizon apporte un éclairage complémentaire sur l'efficacité comparée des méthodes. Le chiffre le plus intéressant du DBIR n'est pas le taux de clic : c'est le temps de signalement. Les organisations dont les employés signalent rapidement (dans les 5 premières minutes) les emails de phishing réels réduisent considérablement le rayon d'impact des attaques réussies. L'équipe IT peut bloquer le domaine malveillant, révoquer les identifiants compromis et alerter les autres collaborateurs avant que l'attaque ne se propage.
Autrement dit : le ROI principal de la formation au phishing n'est peut-être pas la prévention des clics (le taux résiduel ne descend jamais à zéro), c'est l'accélération de la détection. Les collaborateurs formés deviennent un réseau de capteurs humains qui complète les outils techniques. Le Verizon DBIR appelle ce concept « human sensor network », et il mesure son efficacité en vitesse de signalement, pas en taux de clic.
Pour les PME françaises sans SOC (centre opérationnel de sécurité), ce réseau humain est souvent la seule couche de détection active. Un employé qui signale un email suspect en 3 minutes est plus utile qu'un firewall qui n'a pas détecté l'attaque.
La courbe de l'oubli : pourquoi la formation annuelle ne fonctionne pas
Ebbinghaus et la mémoire déclarative
Hermann Ebbinghaus a démontré en 1885 que la mémoire humaine suit une courbe de décroissance prévisible. Ses chiffres, confirmés par la recherche moderne :
- Après 1 heure : les apprenants oublient jusqu'à 50 % des nouvelles informations.
- Après 1 jour : il reste la moitié de ce qui a été appris.
- Après 1 semaine : la capacité de mémorisation tombe à environ 23 %.
- Après 1 mois : jusqu'à 80 % est oublié sans renforcement.
- Moins de 15 % de ce qui est appris est stocké de manière permanente sans révision.
Appliqué à la formation cybersécurité : si vous formez vos collaborateurs une fois par an en janvier, ils ont oublié 80 % du contenu en février. En mars, la formation est un souvenir vague. En septembre, quand l'attaque de phishing arrive, il ne reste presque rien.
La validation empirique en cybersécurité
L'étude SOUPS 2020 (Symposium on Usable Privacy and Security) a mesuré précisément la courbe de l'oubli appliquée au phishing. 409 employés d'une agence gouvernementale allemande ont été évalués à intervalles réguliers après une formation au phishing.
Les résultats :
- Jusqu'à 4 mois : les effets de la formation restent mesurables. Les collaborateurs détectent mieux les emails de phishing.
- À 6 mois : les scores de détection commencent à se détériorer significativement.
- À 8-12 mois : les employés ont oublié l'essentiel de ce qu'ils avaient appris. Leur capacité de détection est revenue au niveau pré-formation.
L'étude a aussi comparé les formats de rappel : les vidéos et exemples interactifs sont les formats les plus efficaces pour rafraîchir les connaissances, loin devant les textes courts ou les messages longs.
La répétition espacée : le seul antidote connu
Le protocole de Wozniak (1990), qui formalise la répétition espacée, recommande des intervalles croissants entre les révisions :
- 1re révision : 1 jour après l'apprentissage
- 2e révision : 7 jours après
- 3e révision : 16 jours après
- 4e révision : 35 jours après
- Puis des intervalles de plus en plus longs.
Traduit en programme de sensibilisation : une formation annuelle est le pire schéma possible. Une formation trimestrielle est insuffisante. Le minimum viable est une intervention mensuelle, et l'idéal, une micro-intervention hebdomadaire de quelques minutes.
C'est exactement ce que le micro-learning et la simulation récurrente permettent : des rappels fréquents, courts et contextualisés qui maintiennent les connaissances et les réflexes au-dessus du seuil d'efficacité.
Micro-learning vs e-learning : les chiffres d'engagement
Les données comparatives sur l'engagement confirment la supériorité du micro-learning sur le e-learning traditionnel pour la sensibilisation cybersécurité :
| Indicateur | E-learning traditionnel (30-45 min) | Micro-learning (1-5 min) |
|---|---|---|
| Taux de complétion | 20-30 % | ~80 % |
| Taux d'engagement | Référence | +50 % vs e-learning |
| Rétention des informations | Référence | +23 % vs e-learning |
| Rétention avec gamification | Référence | +90 % vs e-learning |
| Taux de signalement phishing | 7 % (formation trimestrielle) | 60 % (micro-learning continu, après 12 mois) |
| Format préféré par les employés | : | 60 % préfèrent les leçons courtes |
La différence de taux de signalement est frappante : 7 % avec une formation trimestrielle contre 60 % avec un micro-learning continu. Le facteur multiplicateur est de 8,5. En termes de posture de sécurité, un taux de signalement de 60 % signifie que la majorité de vos collaborateurs participent activement à la détection des menaces : la majorité de vos collaborateurs participent activement à la détection des menaces.
Le micro-learning optimal se situe entre 1 et 3 minutes par session, une seule notion par capsule, avec une fréquence hebdomadaire. Les formats les plus efficaces sont les vidéos courtes (préférées par 70 % des apprenants) et les scénarios interactifs (rétention 2,3 fois supérieure aux présentations statiques).
L'impact sur la productivité est aussi favorable : une formation traditionnelle de 30 minutes par mois mobilise 6 000 heures par an pour 1 000 employés. Un micro-learning de 5 minutes par mois ne mobilise que 1 000 heures : soit environ 230 000 euros de productivité préservée à 45 euros/heure (coût chargé).
Le modèle de Kirkpatrick : mesurer ce qui compte vraiment
Les quatre niveaux d'évaluation
Donald Kirkpatrick a formalisé en 1959 un modèle d'évaluation de la formation en quatre niveaux, universellement adopté en pédagogie. Appliqué à la sensibilisation cybersécurité :
Niveau 1, Réaction. Les collaborateurs ont-ils apprécié la formation ? L'ont-ils trouvée utile ? C'est ce que mesurent les enquêtes de satisfaction post-formation (« Notez cette formation de 1 à 5 »). C'est le niveau le plus facile à mesurer, et le moins informatif. Un collaborateur peut adorer une formation et n'en retenir rien.
Niveau 2, Apprentissage. Les collaborateurs ont-ils acquis des connaissances ? C'est ce que mesurent les quiz post-formation (« Quel est le signe d'un email de phishing ? »). Ce niveau évalue la mémoire déclarative, ce que les gens savent, mais pas ce qu'ils font en situation réelle.
Niveau 3 : Comportement. Les collaborateurs appliquent-ils ce qu'ils ont appris dans leur travail quotidien ? C'est ce que mesure la simulation de phishing : le taux de clic, le taux de signalement, le temps de réaction face à un faux email. Le comportement en situation réelle, pas la connaissance théorique.
Niveau 4 : Résultats. La formation a-t-elle un impact mesurable sur l'organisation ? Moins d'incidents de phishing réussis ? Des signalements plus rapides ? Un coût d'incident en baisse ? Des rapports de conformité plus solides ?
Le gouffre entre les niveaux 2 et 3
La majorité des programmes de sensibilisation s'arrêtent aux niveaux 1 et 2 : satisfaction et quiz. L'étude publiée dans Computers & Security (2024) confirme que 84 % des programmes visent le changement de comportement, mais seuls 43 % mesurent régulièrement les changements comportementaux effectifs. Le reste se contente de taux de complétion et de scores aux quiz : des métriques qui ne prédisent pas le comportement réel.
La simulation de phishing est, à ce jour, le seul outil qui mesure directement le niveau 3 de Kirkpatrick : le comportement en conditions réalistes. Un quiz vous dit si un collaborateur sait identifier un email de phishing. Une simulation vous dit s'il le fera effectivement quand l'email arrivera dans sa boîte de réception, entre deux réunions, un vendredi après-midi.
L'écart entre « savoir » et « faire » est le sujet central de la recherche académique sur la cybersécurité. L'étude de Computers & Security (2024, 154 participants) identifie l'auto-efficacité (self-efficacy) comme le facteur prédictif le plus fort de l'intention comportementale en cybersécurité. Les collaborateurs ne changent pas de comportement parce qu'ils connaissent les risques : ils changent parce qu'ils se sentent capables de détecter et de gérer une menace. C'est la raison pour laquelle les statistiques de phishing en entreprise montrent un écart persistant entre connaissance et action. La simulation, en plaçant les collaborateurs face à des situations réalistes qu'ils parviennent progressivement à déjouer, construit cette auto-efficacité. La formation théorique seule ne le fait pas. Pour approfondir les mécanismes cognitifs qui rendent le phishing efficace, consultez notre article sur la psychologie du phishing et les biais cognitifs.
Comparatif détaillé : 8 critères décisifs
Tableau synthétique
| Critère | Formation e-learning | Simulation de phishing | Approche combinée |
|---|---|---|---|
| Coût par employé/an | 10-30 euros (plateforme) ou 50-100 euros (présentiel ponctuel) | 15-80 euros (selon plateforme) | 15-80 euros (tout inclus) |
| Temps employé mobilisé | 2-4 heures/an (modules 30-45 min) | 0 heure (les simulations sont invisibles) | 1-2 heures/an (micro-learning de 5 min/semaine + simulation) |
| Mesurabilité du ROI | Faible (complétion, scores quiz) | Forte (taux de clic, signalement, progression) | Forte (tous les indicateurs) |
| Impact sur le taux de clic | -1,7 % (Ho 2025, isolé) | -40 % à 90 jours (KnowBe4) | -86 % à 12 mois (KnowBe4) |
| Durée de rétention | 4-6 mois puis décroissance (SOUPS 2020) | Renforcée à chaque campagne | Continue (répétition espacée) |
| Conformité (NIS2, ISO 27001) | Forte (certificats, traçabilité) | Moyenne (rapports de campagne) | Optimale (traçabilité + preuve comportementale) |
| Personnalisation | Limitée (modules standards) | Forte (scénarios adaptés au contexte) | Forte (parcours individualisés) |
| Engagement des employés | Faible, complétion 20-30 % | Élevé, l'expérience est involontaire et marquante | Élevé : micro-learning 80 % de complétion |
Décryptage critère par critère
Coût par employé. La formation e-learning pure est la moins chère si l'entreprise utilise un LMS existant ou une ressource gratuite comme SensCyber (mis à disposition par Cybermalveillance.gouv.fr et France Num pour les TPE/PME). Les plateformes de simulation se situent entre 15 et 80 euros par utilisateur par an selon la taille de l'entreprise et le niveau de fonctionnalités. L'approche combinée (simulation + micro-learning + reporting) est généralement facturée au même prix qu'une simulation seule : les plateformes modernes incluent la formation dans leur offre. Comparez les coûts et le ROI sur notre page tarifs.
Temps employé mobilisé. C'est le critère le plus sous-estimé. Une formation e-learning de 30 minutes mobilise 50 collaborateurs pendant 25 heures cumulées. Un micro-learning de 3 minutes par semaine mobilise les mêmes 50 collaborateurs pendant 130 heures sur l'année, mais réparties en micro-sessions qui ne perturbent pas le travail. La simulation ne mobilise aucun temps : les collaborateurs ne savent pas qu'ils sont testés. Le temps n'est « consommé » qu'au moment de la remédiation post-clic (3-5 minutes).
Pour une PME de 50 personnes au SMIC majoré (25 euros/heure charges comprises), le coût indirect de la formation se calcule :
- Formation e-learning annuelle (2 sessions x 30 min) : 50 x 1h x 25 € = 1 250 euros/an
- Micro-learning hebdomadaire (3 min/semaine x 48 semaines) : 50 x 2,4h x 25 € = 3 000 euros/an
- Simulation pure : 0 euro de temps employé mobilisé (hors remédiation)
Ce coût indirect n'apparaît jamais dans les devis des éditeurs. Il devrait.
Mesurabilité du ROI. La formation e-learning produit des métriques de complétion (« 95 % des collaborateurs ont suivi le module ») et de score (« score moyen : 78/100 »). Ces chiffres satisfont un auditeur. Ils ne disent rien sur l'efficacité réelle du programme. La simulation produit des métriques de comportement : taux de clic (avant/après), taux de signalement, temps médian de signalement, progression par département, par ancienneté, par type d'attaque. Ce sont des données que vous pouvez présenter à votre direction pour justifier l'investissement, et à un auditeur pour démontrer l'amélioration continue.
Engagement des employés. Les taux de complétion racontent l'histoire. Formation e-learning traditionnelle : 20 à 30 % de complétion sans obligation. Micro-learning : environ 80 % de complétion (les modules courts sont suivis volontairement). Simulation : 100 % de « participation » par construction : chaque collaborateur reçoit l'email de test, qu'il le veuille ou non. L'engagement n'est pas demandé, il est provoqué par l'expérience.
La gamification amplifie l'engagement : les données agrégées de l'industrie montrent une augmentation de l'engagement de 60 % et de la rétention de 90 % lorsque des mécaniques de jeu sont intégrées au parcours de sensibilisation.
L'approche combinée : le standard de 2026
Pourquoi les méthodes isolées ne suffisent plus
Les données sont claires : la formation seule ne change pas les comportements. La simulation seule ne fournit pas les connaissances de base. Aucune méthode isolée ne couvre l'ensemble du spectre.
Gartner le formalise avec le concept de SBCP : d'ici 2027, la moitié des programmes de cybersécurité donneront la priorité à la transformation comportementale plutôt qu'à la sensibilisation. La prédiction clé : les entreprises qui combinent l'IA générative avec une architecture SBCP intégrée connaîtront 40 % d'incidents cyber causés par les employés en moins d'ici 2026.
Le SANS Institute recommande un minimum de 2,8 ETP dédiés pour influencer les comportements à l'échelle. Pour une PME sans équipe cybersécurité dédiée, cela signifie que l'outil doit automatiser ce que la grande entreprise confie à une équipe : planification des campagnes, diffusion du micro-learning, analyse des résultats, adaptation des parcours.
Le modèle qui fonctionne en 2026
Le programme de sensibilisation qui produit les meilleurs résultats mesurables combine quatre composantes :
Le socle de connaissances : un parcours e-learning initial (1 à 2 heures, fractionné en modules de 10-15 minutes) qui couvre les fondamentaux : types d'attaques, procédures de signalement, politique de sécurité de l'entreprise. Ce socle est renforcé à l'onboarding de chaque nouveau collaborateur.
La simulation récurrente : des campagnes mensuelles ou bimensuelles avec difficulté progressive, domaines personnalisés, scénarios adaptés au contexte de l'entreprise (marques, fournisseurs, administration). Chaque campagne produit des données de comportement exploitables.
Le micro-learning continu : des capsules hebdomadaires de 2 à 5 minutes, délivrées via les canaux de communication existants (Slack, Teams, email). Le contenu est contextualisé : un micro-learning sur le spear phishing après une campagne de simulation sur ce thème renforce l'apprentissage.
La remédiation ciblée post-échec, lorsqu'un collaborateur clique sur une simulation, il reçoit immédiatement un contenu de remédiation spécifique à l'email sur lequel il a cliqué. Ce contenu n'est pas un module générique, il explique précisément quels indices auraient dû l'alerter dans ce cas précis. Les récidivistes suivent un parcours renforcé.
nophi.sh intègre ces quatre composantes dans une seule plateforme. Simulation avec domaines personnalisés, micro-learning adaptatif, analyse IA des emails signalés, hébergement en France, tarification forfaitaire.
L'erreur de la formation « big bang »
Une erreur fréquente chez les PME qui lancent un programme de sensibilisation : organiser un événement de formation massif (demi-journée présentiel + envoi de tous les modules e-learning d'un coup) puis ne rien faire pendant 11 mois. C'est la stratégie « big bang » : un pic d'activité suivi du néant.
Les données convergent : cette approche est la moins efficace. La courbe d'Ebbinghaus montre qu'après un mois sans renforcement, 80 % des connaissances sont perdues. L'étude SOUPS 2020 montre que la capacité de détection des emails de phishing revient au niveau pré-formation après 6 à 8 mois sans rappel. Et le rapport SANS 2025 recommande 3 à 5 ans de programme continu pour ancrer une culture de sécurité.
Le programme optimal est l'inverse du big bang : un lancement modeste (onboarding initial de 30 minutes) suivi d'un flux continu d'interventions courtes et fréquentes. L'analogie sportive fonctionne : une séance de 5 heures de course à pied le 1er janvier ne prépare pas un marathon. Courir 30 minutes trois fois par semaine pendant 6 mois, si.
Le rôle émergent de l'IA dans la sensibilisation
Comment l'IA améliore concrètement les programmes de sensibilisation :
La personnalisation des parcours. L'IA analyse le comportement de chaque collaborateur (taux de clic par type d'attaque, temps de réaction, historique de signalement) et adapte la difficulté des simulations et le contenu du micro-learning en conséquence. Un collaborateur qui détecte facilement les emails génériques mais se fait piéger par le spear phishing recevra des simulations et des formations ciblées sur ce vecteur spécifique.
La génération de scénarios contextualisés. Les plateformes modernes proposent des templates personnalisables qui s'adaptent aux outils de communication de l'entreprise (Teams, Slack, Salesforce) et à l'actualité du secteur. Le réalisme est supérieur aux bibliothèques de templates statiques.
L'analyse du risque individuel. En croisant les résultats de simulation et de formation (taux de clic par type d'attaque, temps de réaction, historique de signalement), la plateforme identifie les profils à risque et permet une intervention ciblée : parcours de remédiation renforcé, simulations adaptées au niveau du collaborateur.
Comment choisir selon votre maturité
Matrice de décision
Le choix de la méthode dépend de votre point de départ. Voici une grille de décision selon la maturité cybersécurité de votre organisation :
Niveau 0 : Rien en place. Vous n'avez jamais formé vos collaborateurs au phishing. Aucun outil, aucun processus, aucune mesure. C'est le cas de la majorité des TPE françaises (65 % n'ont jamais formé plus de la moitié de leur personnel).
Recommandation : Commencez par une plateforme combinée (simulation + micro-learning). La formation e-learning seule ne produira pas de résultats mesurables. Le coût d'entrée d'une plateforme de simulation se situe entre 10 et 30 euros par utilisateur par an : soit 500 à 1 500 euros pour 50 collaborateurs. Le ROI moyen documenté est de 4:1 (4 euros économisés pour 1 euro investi).
Niveau 1 : Formation annuelle obligatoire. Vous avez un programme e-learning que les collaborateurs suivent une fois par an. Vous avez des taux de complétion. Vous n'avez aucune donnée comportementale.
Recommandation : Ajoutez la simulation de phishing à votre programme existant. Lancez une campagne baseline (sans prévenir les collaborateurs) pour mesurer votre taux de clic réel. Ce chiffre sera probablement un choc : le taux moyen est de 33,1 % avant toute simulation (KnowBe4 2025). Utilisez ce baseline pour justifier l'investissement dans un programme continu. Passez de la formation annuelle au micro-learning mensuel.
Niveau 2 : Simulations ponctuelles. Vous avez déjà conduit quelques campagnes de phishing (1 à 3 par an). Vous avez un taux de clic qui baisse. Mais le programme n'est pas structuré : pas de micro-learning, pas de remédiation automatisée, pas de progression de difficulté.
Recommandation : Structurez votre programme. Passez à des simulations mensuelles avec difficulté progressive. Ajoutez le micro-learning hebdomadaire. Automatisez la remédiation post-clic. Mesurez le taux de signalement (pas seulement le taux de clic) : c'est le vrai indicateur de maturité. Le Verizon DBIR 2025 montre que le taux de signalement (21 % avec formation récente vs 5 % sans) est un meilleur prédicteur de la résilience organisationnelle que le taux de clic seul.
Niveau 3 : Programme continu structuré. Vous avez des simulations mensuelles, du micro-learning, de la remédiation. Votre taux de clic est inférieur à 5 %. Vos collaborateurs signalent les emails suspects.
Recommandation : Passez à des scénarios avancés : spear phishing ciblé (email du « directeur financier »), callback phishing, attaques multi-canal (email + SMS), QR codes malveillants et autres nouvelles formes de phishing. Intégrez la détection de phishing réel : les collaborateurs qui signalent des emails suspects obtiennent un verdict IA en temps réel, ce qui renforce le réflexe de signalement. Mesurez le ratio de résilience (signalements / clics) et visez un ratio supérieur à 4 : signe que votre organisation est en posture de défense active.
Quel que soit votre niveau, nophi.sh couvre les quatre composantes : simulation avec domaines personnalisés, micro-learning adaptatif, remédiation automatique et analyse IA des emails signalés. Créer un compte gratuitement - démarrage en 15 minutes, sans intégration technique.
Les erreurs de parcours les plus fréquentes
Quelle que soit votre maturité, certaines erreurs reviennent systématiquement dans les programmes de sensibilisation mal conçus :
Trop de formation, pas assez de mesure. Des PME investissent dans des catalogues de 50 modules e-learning mais ne conduisent jamais de simulation. Résultat : des taux de complétion impressionnants (90 %+) et aucune donnée sur le comportement réel. Le programme satisfait l'auditeur mais ne protège personne.
Des simulations sans remédiation. Le collaborateur clique sur le faux email de phishing et... rien ne se passe. Pas de page d'apprentissage, pas de micro-module ciblé, pas de suivi. L'erreur est détectée mais pas corrigée. La simulation devient un outil de surveillance, pas un outil d'apprentissage. L'impact sur le moral des équipes est négatif.
Des campagnes trop espacées. Une simulation tous les 6 mois, c'est pire qu'une simulation mensuelle. L'intervalle est trop long pour maintenir les réflexes (courbe d'Ebbinghaus), et chaque campagne devient un « événement » qui génère de l'anxiété au lieu d'être perçue comme une routine normale.
Le piège du taux de clic à 0 %. Certaines PME visent un taux de clic nul comme objectif. C'est contre-productif. Un taux de clic à 0 % signifie soit que les simulations sont trop faciles (repérables immédiatement), soit que les collaborateurs ne cliquent plus sur aucun lien par précaution : y compris les liens légitimes. L'objectif réaliste est un taux de clic inférieur à 5 % combiné à un taux de signalement supérieur à 50 %.
Oublier les managers. Les managers sont souvent les plus ciblés par le spear phishing (fraude au président, BEC) et les moins disponibles pour suivre des formations. Un programme qui ne prévoit pas un parcours spécifique pour les managers et la direction rate une cible critique. Les données KnowBe4 montrent que les entreprises de plus de 10 000 employés ont un taux de clic baseline de 40,5 % : en partie parce que les dirigeants, soumis à une charge cognitive élevée, sont les plus vulnérables aux techniques de manipulation.
Le facteur budget
Pour une PME de 50 collaborateurs, voici ce que chaque approche coûte en coût total (outil + temps employé) :
| Approche | Coût outil/an | Coût temps indirect | Total annuel |
|---|---|---|---|
| Rien | 0 € | 0 € | 0 € (mais coût moyen d'un incident : 20 000-300 000 €) |
| Formation annuelle seule | 500-1 500 € | 1 250 € | 1 750-2 750 € |
| Simulation + micro-learning | 750-3 000 € | ~300 € (remédiation seule) | 1 050-3 300 € |
| Programme combiné complet | 1 000-4 000 € | ~800 € | 1 800-4 800 € |
Le ROI moyen documenté est de 4:1 (Brightside AI, données agrégées 2025). Pour une PME, le calcul est simple : le coût médian d'un incident de phishing réussi se situe entre 20 000 et 50 000 euros (données françaises 2025), pouvant aller jusqu'à 300 000 euros. Un programme combiné à 3 000 euros par an protège contre un risque 10 à 100 fois supérieur.
9 cyberattaques sur 10 en entreprise sont causées par une erreur humaine (France Num 2025). Investir dans les contrôles techniques sans former le facteur humain revient à installer une alarme et laisser la porte ouverte.
Le coût caché de l'inaction
Les PME qui ne forment pas leurs collaborateurs ne font pas d'économies. Elles reportent un coût vers l'avenir sous forme de risque.
Le risque de cessation d'activité augmente d'environ 50 % dans les 6 mois suivant un incident cyber pour les TPE/PME (données françaises 2025). Le coût total d'une cyberattaque pour une PME de 50 personnes dépasse souvent les estimations initiales. Le coût moyen d'une compromission par email (BEC) est de 45 000 euros pour une PME française. La perte de chiffre d'affaires peut atteindre 27 % du CA annuel selon certaines estimations sectorielles.
Rapporté au coût d'un programme de sensibilisation (1 000 à 4 000 euros par an pour 50 collaborateurs), le calcul est vite fait. Le vrai luxe que les PME ne peuvent pas se permettre, c'est de ne rien faire.
L'ANSSI a annoncé qu'elle laisserait aux organisations concernées par NIS2 au moins 3 ans avant d'envisager des sanctions. Ce délai ne doit pas être interprété comme une permission d'attendre 3 ans. C'est le temps de mettre en place un programme structuré et d'en mesurer les résultats : ce qui correspond exactement au délai de 3 à 5 ans identifié par le SANS Institute pour influencer durablement les comportements.
Questions fréquentes
La simulation de phishing est-elle légale en France ?
La simulation de phishing en entreprise est légale en France, sous réserve de respecter le RGPD. Les données collectées (email, résultats individuels) sont des données à caractère personnel. L'employeur doit informer les collaborateurs qu'un programme de sensibilisation incluant des simulations est en place (information préalable au titre du RGPD, pas nécessairement de chaque campagne individuelle), définir une base légale (intérêt légitime au titre de la sécurité des systèmes d'information ou obligation légale NIS2), limiter la conservation des données individuelles (24 mois recommandés) et ne pas utiliser les résultats à des fins disciplinaires. La CNIL n'a pas émis de doctrine spécifique sur la simulation de phishing, mais les principes généraux du RGPD s'appliquent. Un accord de traitement des données (DPA) avec le fournisseur de la plateforme est nécessaire.
Faut-il prévenir les collaborateurs avant une simulation ?
Oui, dans le cadre du RGPD : les collaborateurs doivent savoir qu'un programme de simulation existe (information dans le règlement intérieur, la charte informatique ou une note interne). En revanche, les prévenir de la date et du contenu de chaque simulation annulerait l'intérêt de l'exercice. La bonne pratique : informer une fois que des simulations auront lieu dans l'année, sans préciser quand ni sous quelle forme. Après chaque campagne, communiquer les résultats agrégés (pas individuels) à l'ensemble de l'entreprise.
SensCyber (le module gratuit de Cybermalveillance.gouv.fr) suffit-il pour une PME ?
SensCyber est une ressource gratuite utile pour poser les bases : 3 modules courts (vidéos interactives + tests de connaissances) destinés aux collaborateurs de TPE/PME. C'est un bon point de départ : largement supérieur à ne rien faire. Mais SensCyber ne propose ni simulation de phishing, ni micro-learning récurrent, ni mesure des comportements, ni remédiation post-échec. Il couvre le niveau 2 de Kirkpatrick (connaissances) mais pas le niveau 3 (comportement). Pour une PME soumise à NIS2 ou qui souhaite démontrer une amélioration mesurable, SensCyber est un complément, pas un substitut à une plateforme de simulation.
Combien de simulations par an faut-il conduire ?
Les données convergent vers un minimum de une simulation par mois. La courbe de l'oubli d'Ebbinghaus montre que les effets de la formation commencent à se dégrader significativement après 4 mois (étude SOUPS 2020). Des simulations mensuelles maintiennent les réflexes au-dessus du seuil d'efficacité. L'idéal est de combiner des simulations mensuelles avec du micro-learning hebdomadaire : ce qui donne environ 12 simulations et 48 capsules de micro-learning par an. Les organisations les plus matures (taux de clic inférieur à 5 %) peuvent espacer les simulations à une toutes les 6 semaines.
La formation cybersécurité est-elle obligatoire en France en 2026 ?
La directive NIS2 (transposée en droit français par la Loi Résilience, adoptée au Sénat le 12 mars 2025) impose aux entités essentielles et importantes des « mesures de gestion des risques cyber incluant la sensibilisation et la formation du personnel ». Notre guide NIS2 pour les PME détaille les obligations concrètes. Environ 15 000 entités françaises sont concernées, plus leurs fournisseurs par effet de cascade contractuelle. Les sanctions vont jusqu'à 10 millions d'euros ou 2 % du CA mondial. ISO 27001 (annexe A.7.2.2) et SOC 2 exigent également des programmes de sensibilisation documentés. Pour les PME non directement soumises à NIS2, la formation n'est pas légalement obligatoire, mais en cas d'incident, l'absence de mesures de sensibilisation pourra être retenue comme un manquement à l'obligation de sécurité (article 32 du RGPD). Les assureurs cyber exigent désormais des preuves de formation pour couvrir les sinistres liés au phishing.
La simulation de phishing peut-elle démoraliser les équipes ?
C'est un risque réel si le programme est mal conçu. Les pièges à éviter : publier les résultats individuels (humiliation), utiliser des scénarios trop agressifs dès le départ (perte de confiance), ne pas expliquer l'objectif pédagogique (sentiment de surveillance). La bonne approche : commencer par des scénarios simples et augmenter progressivement la difficulté, toujours accompagner le clic d'une page de remédiation bienveillante (« voici ce qui aurait dû vous alerter, voici comment réagir la prochaine fois »), communiquer les résultats agrégés (pas individuels) et célébrer les progrès collectifs. Les programmes les mieux conçus utilisent un ton positif : l'objectif n'est pas de piéger les collaborateurs mais de les entraîner.
Conclusion
La question n'est pas « formation ou simulation ». C'est « comment combiner les deux pour obtenir un résultat mesurable ».
Les données de 2025-2026 convergent.
La formation théorique seule ne change pas les comportements : 1,7 % de réduction du taux de clic (Ho et al. 2025, 19 500 employés), des changements « minimaux » selon la méta-analyse de Leiden (69 études). Ce qui change les comportements, c'est un programme continu combinant simulation récurrente, micro-learning et remédiation ciblée : 86 % de réduction en 12 mois (KnowBe4 2025, 14,5 millions d'utilisateurs). La fréquence est le facteur décisif : les effets se dégradent après 4 à 6 mois sans renforcement (SOUPS 2020), et les employés formés dans les 30 derniers jours signalent 4 fois plus (Verizon DBIR 2025).
Pour une PME française en 2026, l'investissement optimal est un programme combiné : simulation mensuelle + micro-learning hebdomadaire + remédiation automatisée. Le coût se situe entre 1 000 et 4 000 euros par an pour 50 collaborateurs. Le ROI documenté est de 4:1 : face à un risque d'incident chiffré en dizaines, voire en centaines de milliers d'euros.
La question qui reste ouverte est celle du temps. Le SANS Institute estime à 3-5 ans le délai pour transformer les comportements, et à 5-10 ans pour ancrer une culture de sécurité durable. L'ANSSI a fixé un délai de 3 ans avant de sanctionner les entités concernées par NIS2. Cela signifie que le meilleur moment pour lancer un programme structuré, c'est maintenant : pas dans 6 mois, pas après le prochain incident. Les données de KnowBe4 montrent des résultats mesurables dès 90 jours (40 % de réduction du taux de clic). Le retour sur investissement commence à se matérialiser bien avant la fin de la première année.
Lancer votre première campagne de simulation - simulation avec domaines personnalisés, micro-learning adaptatif et analyse IA des emails signalés. Résultats mesurables dès 90 jours.