KnowBe4 vs solutions françaises : ce que les PME doivent comparer
Comparatif objectif entre KnowBe4 et les alternatives françaises pour les PME. Pricing, RGPD, qualité du français, support et fonctionnalités.
KnowBe4 est un mastodonte. 70 000 clients dans le monde, racheté 4,6 milliards de dollars par Vista Equity Partners en février 2023, plus de 25 000 templates de phishing, 1 300 modules de formation, 35 langues. Sur le papier, le leader mondial de la sensibilisation au phishing semble imbattable. Et pour les grandes entreprises américaines, il l'est probablement.
Mais pour une PME française de 25 à 250 salariés, la question mérite d'être posée autrement. Le géant américain est-il réellement adapté à votre contexte : réglementaire, linguistique, budgétaire, opérationnel ? Ou existe-t-il des alternatives françaises et européennes qui répondent mieux à vos contraintes spécifiques ?
Ce comparatif n'est pas un exercice de promotion déguisé. KnowBe4 fait certaines choses mieux que quiconque. Ses concurrents français font d'autres choses mieux. L'objectif de cet article est de vous donner les données factuelles, tarifs, fonctionnalités, hébergement, qualité du contenu francophone, retours utilisateurs, pour que vous puissiez prendre une décision éclairée en fonction de votre situation. Tous les chiffres cités proviennent de sources publiques : pages tarifaires officielles, avis G2 et Gartner Peer Insights, rapports d'analystes et données réglementaires.
KnowBe4 : radiographie du leader mondial
La genèse et la puissance de frappe
KnowBe4 a été fondé en 2010 par Stu Sjouwerman à Clearwater, en Floride. L'entreprise s'est imposée comme le leader mondial de la sensibilisation au phishing grâce à une stratégie simple mais efficace : proposer la bibliothèque de contenu la plus vaste du marché, un réseau de partenaires étendu, et un positionnement prix agressif sur les entrées de gamme.
En chiffres : plus de 25 000 templates de phishing (le plus grand catalogue du marché), 1 300+ modules de formation au niveau Diamond, 35 langues couvertes, et environ 2 400 employés en février 2026. L'introduction en bourse sur le Nasdaq en 2021 (152 millions de dollars levés, valorisation de 2,6 milliards) a été suivie d'un retrait de la cote 18 mois plus tard, lorsque Vista Equity Partners a racheté l'entreprise pour 4,6 milliards de dollars en cash : une prime de 44 % sur le cours non affecté.
En mai 2025, Bryan Palma (ex-CEO de Trellix, 25 ans chez Cisco) a remplacé Sjouwerman comme CEO. Ce changement de direction, combiné au rachat par un fonds de private equity, signale un virage vers l'optimisation des marges et la monétisation : un schéma classique post-acquisition PE qui se traduit généralement par des augmentations tarifaires aux renouvellements.
Ce que KnowBe4 fait bien
La profondeur du catalogue. Avec 25 000 templates de phishing et 1 300+ modules de formation, KnowBe4 propose de loin le contenu le plus vaste du marché. Pour une grande entreprise multinationale qui a besoin de scénarios en 35 langues couvrant des dizaines de secteurs d'activité, cette profondeur est un argument décisif.
PhishER et la gestion des incidents. PhishER, le module de triage des emails signalés, utilise PhishML (un classifieur IA) et une base de threat intelligence communautaire. C'est un produit solide pour les équipes SOC qui gèrent des volumes importants de signalements. L'acquisition d'Egress en 2024 a ajouté une couche de sécurité email complémentaire.
Les notations analystes et utilisateurs (côté admin). Sur G2, KnowBe4 obtient 4,6/5 avec près de 3 000 avis, le seul acteur SAT à dépasser les 90/100 sur la G2 Grid. Sur Gartner Peer Insights, même note : 4,6/5 avec 2 443 avis. Nommé Leader dans le Magic Quadrant Gartner pour les plateformes de sécurité email en 2025, pour la deuxième année consécutive. Ces notes reflètent la satisfaction des administrateurs IT et des RSSI, les acheteurs de la solution.
L'agent d'orchestration IA (AIDA). Lancé en 2026, le système AIDA (uniquement au niveau Diamond) comprend 8 agents IA qui automatisent la génération de templates, le scoring de risque (SmartRisk : 316 indicateurs, 37 facteurs, 7 domaines), et l'orchestration complète des campagnes sans intervention manuelle. C'est le système d'automatisation le plus avancé du marché.
Là où le bât blesse pour les PME françaises
La note Trustpilot : 1,8/5. Ce chiffre mérite qu'on s'y arrête. Alors que G2 (où les admins IT notent) donne 4,6/5, Trustpilot (où les employés, les utilisateurs finaux, s'expriment) donne 1,8/5, classé « Poor », avec 85 % d'avis à une étoile. Les plaintes reviennent en boucle : formation perçue comme « pire que terrible », emails de test indiscernables du spam réel, utilisateurs qui obtiennent 90-100 % aux évaluations sans avoir regardé les vidéos. En d'autres termes : les admins IT adorent, mais les collaborateurs détestent. Pour une PME où l'adoption par les équipes conditionne l'efficacité du programme, cet écart est un signal d'alerte.
La complexité pour les petites structures. Sur G2, 26 mentions négatives pointent un « setup initial écrasant » (« The initial setup is overwhelming, leading to confusion »). 66 % des utilisateurs de KnowBe4 sur G2 sont des entreprises mid-market ou enterprise. G2 recommande explicitement d'autres solutions (SoSafe, Hacker Rangers, Arctic Wolf) pour les petites équipes. Avec un minimum de 25 sièges et quatre niveaux tarifaires aux périmètres très différents, KnowBe4 n'a pas été conçu pour une PME de 30 personnes avec un responsable IT à mi-temps.
Le contenu francophone : présent mais secondaire. KnowBe4 propose 486 contenus en français (France) et 475 en français canadien. C'est loin d'être négligeable, mais rapporté aux 25 000 templates anglais du catalogue, le contenu français représente moins de 2 % de la bibliothèque totale. Les traductions sont réalisées par le prestataire Ulatus. Certains modules sont doublés en français, d'autres seulement sous-titrés. Le résultat est inégal : les modules historiques sont correctement traduits, mais les contenus récents (deepfake, IA générative, vishing) arrivent d'abord en anglais et sont traduits avec un décalage de plusieurs mois.
Le pricing : lisible mais trompeur. La grille tarifaire officielle de KnowBe4 est publique : un point positif. Mais la différence entre les niveaux est considérable. Au niveau Silver (le prix d'appel à 1,90 $/siège/mois pour 25-50 utilisateurs), vous n'accédez qu'aux modules de formation de base (Level I : sessions de 45 et 15 minutes) et à 35 posters. Pas de micro-learning, pas de SmartRisk, pas d'AIDA, pas d'intégration SIEM. Pour accéder au micro-learning (modules de 5 minutes), il faut passer au Gold (2,23 $/siège/mois). Pour SmartRisk et le SIEM, au Platinum (2,60 $). Pour AIDA et la bibliothèque complète, au Diamond (3,25 $). Ajoutez les add-ons PhishER, SecurityCoach et Compliance Plus (0,17 à 1,50 $/utilisateur/mois supplémentaires), et la facture réelle peut atteindre le double du prix d'entrée annoncé. Plusieurs sources documentent des augmentations de 20 à 40 % au renouvellement, en particulier via les revendeurs.
Les alternatives françaises et européennes en 2026
Le marché européen de la sensibilisation au phishing s'est structuré rapidement entre 2020 et 2026. Voici un panorama factuel des acteurs les plus pertinents pour une PME française.
Riot : le challenger français en croissance rapide
Riot est la startup française la plus visible sur ce segment. Fondée en 2020 par Benjamin Netter (ex-October, Sopra Steria) et Louis Cibot, passée par Y Combinator (W20), l'entreprise a levé 45 millions de dollars au total : dont 30 millions en Series B en février 2025 (Left Lane Capital). Valorisation post-money : plus de 170 millions de dollars.
Positionnement : plateforme all-in-one couvrant la sensibilisation (chatbot « Albert » via Slack/Teams), la simulation phishing (400+ templates), la détection de dérive d'accès (Sonar), une hotline cybersécurité (Inbox) et le monitoring de fuites de données (Breaches). Déploiement en 5 minutes, synchronisation automatique des annuaires 4 fois par jour.
Clients : 1 500+ organisations, objectif de 10 millions d'utilisateurs protégés d'ici 2027. Références : Le Monde, L'Occitane, Mistral AI, Deezer, Ledger, Deel, Intercom, Sorare, Etam.
Pricing : 6,89 $/utilisateur/mois (facturé annuellement). Gratuit pour les entreprises de moins de 10 utilisateurs. Support premium 24/7 inclus.
G2 : 4,7/5 avec environ 135 avis. Classé #1 « Easiest To Use » en Security Awareness Training.
Points d'attention (issus des avis G2) : les scénarios de phishing deviennent reconnaissables après la première année ; le dashboard reporting est jugé « parfois overwhelmant » ; lacune en simulations sectorielles (automobile, santé) ; contenu principalement anglophone malgré l'origine française de l'entreprise ; à 6,89 $/mois, le coût annuel pour une PME de 50 personnes atteint environ 4 130 $ (soit ~3 800 euros). Riot ne propose pas de détection de phishing réel : la plateforme se limite à la simulation et à la formation.
Trajectoire : Riot se déplace vers le haut de gamme. L'entreprise recrute des Account Executives enterprise, se développe à l'international, et vise les organisations de 200+ employés. Le segment des PME de moins de 50 salariés n'est plus la priorité stratégique.
Mantra : absorbé par Cyber Guru
Mantra, fondé en 2020 à Paris par Gaspard Droz (HEC, ex-Bain) et Guillaume Charhon, était le seul concurrent français indépendant nativement orienté PME/ETI. Sa spécificité : les Smart Banners (bandeaux d'alerte IA injectés en temps réel dans les emails suspects) et Browser Defender (extension de détection de sites de phishing).
En mars 2025, Cyber Guru (Rome, Italie) a acquis Mantra. L'entité combinée revendique 1 000+ organisations et 1,5 million d'utilisateurs actifs. Gaspard Droz est devenu Country Managing Director France ; Guillaume Charhon, Group Chief Architect. Toute l'équipe Mantra (environ 15 personnes) a rejoint Cyber Guru, qui avait ouvert un bureau au Campus Cyber de Paris en novembre 2023.
Cyber Guru avait levé 25 millions de dollars en Series B en octobre 2024 (Riverside Acceleration Capital) et obtient 4,7/5 sur Gartner Peer Insights (60 avis). La plateforme s'articule autour de trois modules : e-learning gamifié (Awareness), web-séries de sensibilisation (Channel), et simulation phishing adaptative par machine learning (Phishing).
Ce que l'acquisition signifie pour le marché français : le seul acteur français indépendant spécialisé en sensibilisation pour les ETI a été absorbé par une entreprise italienne. L'intégration technique, le brouillage de marque et les incertitudes liées aux fusions peuvent créer des frictions pour les clients existants et ouvrent une brèche pour de nouvelles alternatives françaises.
SoSafe : le champion européen, positionné enterprise
SoSafe, fondé en 2018 à Cologne (Allemagne), s'est converti en Societas Europaea (SE) début 2025, affirmant son identité pan-européenne. L'entreprise revendique 5 000+ organisations clientes dans 37 pays, 4,5 à 5,4 millions d'utilisateurs, et un ARR de 53,7 millions de dollars en 2024 (en hausse de 52 % par rapport à 2023). Environ 546 employés en janvier 2026.
SoSafe a ouvert un bureau à Paris (SoSafe SAS, 23-25 avenue Mac-Mahon, 75017) en mai 2022, avec 10 à 19 employés. L'entreprise propose du contenu en 32 langues, dont le français, et met en avant son Human Risk OS (lancé en juin 2024) et son copilote IA Sofie (mai 2024 : assistant conversationnel dans Teams/Slack).
G2 : 4,6/5 avec 803 avis. Leader de catégorie sur G2 pour l'été 2024 et 2025. Reconnu « Strong Performer » dans la Forrester Wave Q3 2024.
Pricing : non publié. Quatre niveaux (Essential, Professional, Premium, Ultimate). Les estimations situent le prix autour de 10 $/utilisateur/mois ou 58 $/utilisateur/an pour les contrats enterprise. Pas adapté aux PME de moins de 100 salariés : ni par le prix, ni par la complexité d'onboarding.
Points d'attention (issus des avis G2) : environ 20 % des emails simulés sont interceptés par les filtres anti-spam ; catalogue de cours jugé « limité et daté » par certains évaluateurs ; contrôle administrateur restreint provoquant « confusion et malentendus » ; pas de possibilité de passer les modules vidéo en accéléré. L'entreprise vise clairement les grandes organisations réglementées.
Mailinblack : 22 000 clients français, mais la sensibilisation n'est pas le coeur de métier
Mailinblack, fondé en 2003 à Marseille, est avant tout un spécialiste de la sécurité email (anti-spam, anti-malware, anti-phishing). Avec 22 000 clients et plus de 2 millions d'utilisateurs, c'est l'acteur français avec la plus large base installée. Chiffre d'affaires de 12,7 millions d'euros en 2023 (en hausse de 26 %), financé à hauteur de 64 millions d'euros au total (dont 50 millions d'Apax Partners en 2022).
La plateforme U-Cyber 360 intègre un module de simulation phishing (Cyber Coach : 1 000+ scénarios, phishing, spearphishing, ransomware, QR code, USB) et de micro-learning (Cyber Academy). Le contenu est développé en collaboration avec des chercheurs en neurosciences.
Hébergement : exclusivement en France : souveraineté totale des données.
Pricing : sur devis. Les estimations publiques situent le coût entre 33 et 66 euros par utilisateur par an, plus 90 euros de frais d'installation la première année.
Limites pour une PME cherchant une solution de sensibilisation : Mailinblack est d'abord un filtre email. La sensibilisation est un module complémentaire, pas le produit principal. La reconnaissance internationale est faible (0,3 % de mindshare sur PeerSpot dans la catégorie anti-malware), et il n'y a pas de présence significative sur G2 dans la catégorie Security Awareness Training.
Les acteurs émergents
Avant de Cliquer (Rouen, 2017) revendique 600 000 utilisateurs avec une approche « learning by doing » : programmes automatisés qui s'adaptent au niveau de vigilance de chaque utilisateur (41 caractéristiques comportementales testées). Réduction du taux de clic à 1-4 % après 12 mois. Pricing sur devis.
Arsen (Paris, ~2022) se distingue par sa simulation conversationnelle : une IA génère et adapte les conversations de phishing en temps réel, simulant des attaques par email, téléphone (vishing) et SMS (smishing). Financement de 2,5 millions d'euros. Présent sur le Radar Wavestone 2025.
Stoik (Paris, 2021) propose un modèle original : cyber-assurance + outils de prévention gratuits (simulation phishing incluse). 10 000+ entreprises assurées, 70 millions d'euros levés. La simulation phishing est intégrée au produit d'assurance, pas vendue séparément.
Guardey (Pays-Bas) offre une tarification transparente à partir de 1,53 $/employé/mois pour la simulation phishing, sans minimum d'utilisateurs. Micro-learning gamifié en 6 langues dont le français. Le seul acteur européen avec un prix public comparable à l'entrée de gamme KnowBe4.
Comparatif détaillé : 10 critères qui comptent pour une PME française
Voici une analyse critère par critère, fondée sur les données publiques disponibles en mars 2026. Les notes sont indicatives et reflètent l'adéquation au profil d'une PME française de 25 à 250 salariés.
1. Transparence tarifaire
| Solution | Prix public | Modèle | Coût annuel estimé (50 utilisateurs) |
|---|---|---|---|
| KnowBe4 Silver | 1,90 $/siège/mois | Par utilisateur, paliers | ~1 140 $ (~1 050 euros) |
| KnowBe4 Diamond | 3,25 $/siège/mois | Par utilisateur, paliers | ~1 950 $ (~1 800 euros) |
| Riot | 6,89 $/utilisateur/mois | Par utilisateur, fixe | ~4 134 $ (~3 810 euros) |
| SoSafe | Non publié | Sur devis | Estimé 2 900 $ (~2 670 euros) |
| Mailinblack | Non publié | Sur devis | Estimé 1 650-3 300 euros |
| Cyber Guru | Non publié | Sur devis | Non estimable |
| Guardey | 1,53-3,33 $/utilisateur/mois | Par utilisateur, fixe | ~918-1 998 $ (846-1 840 euros) |
| nophi.sh | Public | Forfaitaire | Consulter les tarifs |
Commentaire : KnowBe4 publie ses prix, un point positif, mais la distance entre le Silver (fonctionnalités de base) et le Diamond (fonctionnalités complètes) est telle que le prix d'entrée est trompeur. Riot publie aussi ses prix, mais à 6,89 $/mois c'est le plus cher du tableau. SoSafe, Cyber Guru et Mailinblack imposent un appel commercial avant d'obtenir un devis, ce qui complique la comparaison.
2. Qualité du contenu francophone
| Solution | Contenu natif français | Templates phishing FR | Scénarios localisés |
|---|---|---|---|
| KnowBe4 | Traduit (Ulatus) | 486 items FR | Limité (marques US dominantes) |
| Riot | Mixte (FR + EN) | 400+ templates | Adapté au contexte FR |
| SoSafe | 32 langues dont FR | 600+ templates | Adapté au contexte EU |
| Mailinblack | Natif français | 1 000+ scénarios | Totalement localisé |
| Cyber Guru | Natif IT + FR (via Mantra) | Non communiqué | Adapté (contexte EU) |
| nophi.sh | Natif français | Scénarios FR | Marques FR (Ameli, Impôts, La Poste) |
Commentaire : La qualité du contenu francophone est le critère où l'écart entre KnowBe4 et les solutions françaises est le plus marqué. 486 contenus traduits sur 25 000 : le français n'est pas la priorité. Pour des simulations crédibles utilisant des marques françaises (Ameli, Impôts, chronopost, EDF), les solutions natives sont très en avance.
3. Hébergement des données et conformité RGPD
| Solution | Siège | Hébergement données EU | Sous-traitants US | DPA disponible |
|---|---|---|---|---|
| KnowBe4 | USA (Clearwater, FL) | AWS Dublin + Frankfurt | Oui (certains) | Oui |
| Riot | France (Paris) / USA (SF) | À vérifier | À vérifier | Oui |
| SoSafe | Allemagne (Cologne) | EU exclusivement | Non | Oui |
| Mailinblack | France (Marseille) | France exclusivement | Non | Oui |
| Cyber Guru | Italie (Rome) | EU | Non | Oui |
| nophi.sh | France | France exclusivement | Non | Oui |
Commentaire : KnowBe4 héberge les données de ses clients européens sur AWS Dublin (principal) et AWS Frankfurt (secours). C'est conforme au RGPD, mais certains sous-traitants traitent toujours une partie des données aux États-Unis. En tant qu'entreprise américaine détenue par un fonds PE américain (Vista Equity Partners), KnowBe4 est soumise au Cloud Act et potentiellement au FISA. Nous reviendrons en détail sur ce point dans la section dédiée à la souveraineté des données.
4. Réalisme des simulations
Les simulations de phishing ne sont efficaces que si les collaborateurs les perçoivent comme de vrais emails : pas comme des exercices. Le réalisme dépend de la localisation du contenu, de la personnalisation des scénarios et de l'adaptation au contexte métier de l'entreprise. Pour un guide complet sur la mise en place de simulations efficaces, consultez notre guide de la simulation de phishing en entreprise.
KnowBe4 excelle en volume (25 000 templates) et en variété (callback phishing, pièces jointes, spear phishing). Les templates communautaires permettent aux utilisateurs de partager leurs créations. L'agent AIDA génère des templates personnalisés automatiquement. En revanche, les scénarios sont majoritairement conçus pour le marché américain : les marques, les tournures, les références culturelles sont américaines. Un email imitant « IRS » ou « FedEx » ne trompera pas un comptable à Lyon.
Riot propose 400+ templates avec une bonne adaptation au contexte français, mais les avis G2 signalent que les scénarios deviennent reconnaissables après 12 mois d'utilisation : un problème de renouvellement du catalogue.
Mailinblack (Cyber Coach) revendique 1 000+ scénarios incluant du phishing classique, du spearphishing, du ransomware, des QR codes et des attaques par clé USB : le spectre d'attaque le plus large parmi les solutions françaises.
nophi.sh utilise des domaines personnalisés et des scénarios calibrés sur le contexte métier de chaque client : marques françaises, administrations, fournisseurs réels de l'entreprise. L'approche est qualitative (scénarios sur mesure) plutôt que quantitative (bibliothèque massive).
5. Qualité du reporting
C'est le critère qui génère le plus de frustration post-achat, tous éditeurs confondus.
KnowBe4 propose 60+ rapports intégrés, des Executive Reports pour la direction, et le suivi du Phish-prone Percentage. Le reporting est le plus complet du marché : à condition d'être au niveau Platinum ou Diamond. Au niveau Silver et Gold, les rapports sont limités. Sur G2, le reporting de PhishER est toutefois critiqué spécifiquement : « PhishER is lacking in key areas including features, reporting, and support ».
Riot mesure un « Karma Score » global de posture sécurité. Les exports CSV sont disponibles pour la conformité. Les avis G2 notent un dashboard « parfois overwhelming » : paradoxe d'un produit positionné sur la simplicité.
SoSafe propose un Human Risk Index via son Human Risk OS. Le reporting est jugé moins détaillé que celui de KnowBe4 par les avis G2 comparatifs.
Mailinblack intègre le reporting dans la plateforme U-Cyber 360, avec des données croisées entre filtrage email et simulation.
Pour une PME, le besoin n'est pas 60 rapports : c'est un PDF exportable avec le taux de clic, le taux de signalement et la tendance sur 6 mois, présentable à la direction et aux auditeurs. Si votre outil ne produit pas ce document en deux clics, le reporting est insuffisant quel que soit le nombre de dashboards.
6. Intégrations (Microsoft 365, Google Workspace, Slack, Teams)
| Solution | Microsoft 365 | Google Workspace | Slack | Teams | SSO |
|---|---|---|---|---|---|
| KnowBe4 | Natif | Natif | Add-on | Add-on | Inclus (Platinum+) |
| Riot | Natif | Natif | Natif | Natif | Inclus |
| SoSafe | Natif | Natif | Via Sofie | Via Sofie | Inclus |
| Mailinblack | Natif | Natif | Non | Non | Sur devis |
| nophi.sh | Natif | Natif | Natif | Natif | Inclus |
Commentaire : Les intégrations Slack et Teams sont essentielles pour le signalement des emails suspects et les notifications en temps réel. Chez KnowBe4, elles sont proposées en add-ons payants (SecurityCoach : 0,17-1,50 $/utilisateur/mois). Chez Riot et nophi.sh, elles sont incluses. Ce détail peut représenter un surcoût de 10 à 30 % sur la facture annuelle chez KnowBe4.
7. Facilité de déploiement
| Solution | Temps de déploiement annoncé | Minimum utilisateurs | Complexité admin |
|---|---|---|---|
| KnowBe4 | Plusieurs jours à semaines | 25 sièges | Élevée (interface dense) |
| Riot | 5 minutes | Aucun (gratuit < 10) | Faible |
| SoSafe | 2 jours | Non communiqué | Moyenne à élevée |
| Mailinblack | Sur devis | 10 adresses email | Moyenne |
| nophi.sh | Quelques heures | Flexible | Faible |
Commentaire : Pour une PME sans équipe cybersécurité dédiée, le temps de déploiement est un critère éliminatoire. KnowBe4 impose un minimum de 25 sièges et une courbe d'apprentissage significative : 26 mentions négatives sur G2 portent sur la complexité du setup initial. Riot se distingue avec un déploiement en 5 minutes et une synchronisation automatique des annuaires.
8. Formation automatisée post-échec
La simulation sans remédiation est un diagnostic sans traitement.
KnowBe4 propose une remédiation automatique au clic : page d'apprentissage, attribution de modules ciblés. Au niveau Diamond, l'agent AIDA « Automated Training » personnalise les parcours. La profondeur est réelle, mais uniquement au niveau Diamond (3,25 $/siège/mois).
Riot utilise le chatbot Albert pour délivrer des micro-formations via Slack ou Teams, avec un taux de complétion annoncé de 91 %. L'approche conversationnelle est bien adaptée aux PME où les employés ne se connectent pas à une plateforme de formation dédiée.
SoSafe met en avant son copilote IA Sofie (24/7 dans Teams/Slack) et ses parcours adaptatifs fondés sur les sciences comportementales.
nophi.sh combine simulation et formation adaptative automatisée, avec des parcours différenciés selon le type d'erreur et le profil du collaborateur.
9. Analyse des emails signalés et détection
C'est le critère qui sépare les solutions de 2020 des solutions de 2026. La majorité des plateformes se limitent à la simulation : elles envoient de faux emails mais ne protègent pas contre les vrais.
KnowBe4 propose PhishER (triage des emails signalés, classifieur IA) et, depuis l'acquisition d'Egress, une couche de sécurité email. PhishER est un produit de gestion d'incidents, pas de détection proactive : il analyse ce que les utilisateurs signalent, il ne bloque pas les menaces en amont.
Riot ne propose pas de détection de phishing réel. La plateforme se concentre sur la simulation et la formation.
SoSafe ne propose pas de détection de phishing réel. Sofie répond aux questions des employés mais ne trie pas les emails signalés.
Mailinblack est le mieux positionné sur ce critère parmi les solutions françaises : la plateforme Protect filtre les emails entrants en amont, et Cyber Coach entraîne les collaborateurs. Les deux couches fonctionnent ensemble.
nophi.sh combine simulation et analyse IA des emails signalés par les collaborateurs : chaque email transféré est analysé automatiquement, et une évaluation de risque est renvoyée à l'employé.
10. Support en français et accompagnement
| Solution | Support en français | Horaires | SLA | CSM dédié |
|---|---|---|---|---|
| KnowBe4 | Limité (anglais dominant) | US business hours | Non communiqué | Enterprise uniquement |
| Riot | Oui | 24/7 inclus | Non communiqué | À partir du plan payant |
| SoSafe | Oui (bureau Paris) | CET | Non communiqué | Enterprise |
| Mailinblack | Oui (natif) | CET | Non communiqué | Sur devis |
| nophi.sh | Oui (natif) | CET | Garanti | Inclus |
Commentaire : Pour une PME française sans RSSI, un support en français dans le fuseau CET est un facteur de différenciation concret. KnowBe4 offre un support principalement anglophone, calibré sur les horaires US. Les solutions françaises (Riot, Mailinblack, nophi.sh) ont un avantage structurel sur ce point.
RGPD et souveraineté des données : le vrai enjeu pour 2026
Ce n'est pas un sujet théorique. C'est la question qui peut invalider votre choix de plateforme du jour au lendemain.
L'état du droit en mars 2026
Le Data Privacy Framework (DPF), adopté le 10 juillet 2023, autorise actuellement les transferts de données vers les entreprises américaines certifiées. Le 3 septembre 2025, le Tribunal de l'UE a rejeté le recours de Philippe Latombe (député français et membre de la CNIL) contre la décision d'adéquation. Le DPF est donc juridiquement valide.
Mais le tribunal a explicitement limité son analyse aux conditions du 10 juillet 2023. Les événements postérieurs, notamment le démantèlement du Privacy and Civil Liberties Oversight Board (PCLOB), n'ont pas été examinés.
Le PCLOB : le pilier qui s'effondre
Le 27 janvier 2025, le président Trump a révoqué tous les membres démocrates du PCLOB, ne laissant qu'un seul membre républicain : en dessous du quorum de trois membres nécessaire pour mener des enquêtes ou publier des rapports. Le PCLOB était un pilier central de la décision d'adéquation de la Commission européenne. Sans PCLOB fonctionnel, le cadre de surveillance indépendante qui justifie le DPF n'existe plus dans les faits.
Le 21 mai 2025, un tribunal fédéral a jugé ces révocations illégales et ordonné la réintégration des membres. Le gouvernement a fait appel. L'affaire attend la décision de la Cour Suprême dans Trump v. Slaughter.
Le Parlement européen a adopté une résolution demandant à la Commission de renégocier le cadre, estimant qu'il « ne parvient pas à créer une équivalence essentielle ». L'autorité norvégienne de protection des données a averti en février 2025 que si le DPF est révoqué, des restrictions pourraient être imposées immédiatement, sans période de transition.
Cloud Act et FISA : la menace nommée
L'ANSSI et la CNIL identifient explicitement le Cloud Act (2018) et le FISA comme des menaces pour les données hébergées par des entreprises américaines : y compris lorsque les données sont stockées sur le territoire européen. Microsoft France l'a reconnu devant le Sénat français : l'entreprise ne peut pas s'opposer à une injonction américaine ciblant des données hébergées en France.
C'est un point fondamental pour le choix d'une plateforme de sensibilisation au phishing. Les données traitées incluent les adresses email de vos collaborateurs, leurs résultats individuels aux simulations (données à caractère personnel au sens du RGPD), et potentiellement les emails signalés (qui peuvent contenir des données sensibles). Confier ces données à une entreprise soumise au Cloud Act expose l'organisation à un risque juridique concret.
La doctrine française : Cloud au Centre et SecNumCloud
La circulaire Castex de juillet 2021, renforcée par la circulaire Borne de mai 2023, impose aux administrations d'héberger les données « de sensibilité particulière » sur des offres qualifiées SecNumCloud : immunisées contre les législations extraterritoriales. La loi SREN de 2024 a codifié cette exigence dans le droit.
SecNumCloud 3.2 (ANSSI, mars 2022) comprend plus de 350 exigences, incluant des plafonds de participation capitalistique pour exclure les entreprises contrôlées par des entités extra-européennes (25 % par actionnaire individuel non-UE, 39 % collectivement).
Ces exigences ne s'appliquent pas directement aux PME privées. Mais elles signalent la direction du vent réglementaire. Et pour les PME fournisseurs d'administrations publiques, elles peuvent devenir contractuellement contraignantes.
L'impact concret pour votre choix de plateforme
La convergence du RGPD, de NIS2 (15 000 entités françaises concernées, transposition attendue Q1 2026, sanctions jusqu'à 10 millions d'euros ou 2 % du CA mondial), du DPF fragilisé et de la doctrine Cloud au Centre crée une pression réglementaire forte en faveur des solutions hébergées en Europe.
Le guide AITD publié par la CNIL le 31 janvier 2025 impose à toute organisation transférant des données hors EEA via les SCCs de conduire une analyse d'impact des transferts en 6 étapes : avant le transfert. Si l'analyse conclut que la protection ne peut être assurée, le transfert ne doit pas avoir lieu.
Choisir KnowBe4 est juridiquement possible en mars 2026. Mais c'est un choix qui impose une charge de conformité supplémentaire (AITD, suivi des sous-traitants US, monitoring du DPF) et qui expose l'organisation à un risque de rupture réglementaire si le DPF est invalidé : un scénario que plusieurs juristes qualifient de « Schrems III ».
La qualité du français : pourquoi ça change tout
Un email de phishing simulé n'est efficace que s'il est crédible. Et la crédibilité, en phishing, est une question de détails linguistiques et culturels.
Le problème des traductions automatiques
Prenez un template KnowBe4 conçu pour le marché américain : un email imitant un avis de livraison FedEx avec une tournure « Your package is being held at a facility ». La traduction française donnera quelque chose comme « Votre colis est retenu dans un centre de tri ». C'est grammaticalement correct. Mais aucun Français ne reçoit ce type d'email de Chronopost ou Colissimo. Le format, le ton, la mise en page, le logo : tout trahit l'origine américaine du template.
Les collaborateurs repèrent l'exercice en quelques secondes. Et une simulation repérée est une simulation qui ne mesure rien d'utile.
Les erreurs les plus courantes dans les templates traduits :
Le vouvoiement incohérent. Les emails administratifs français utilisent systématiquement le vouvoiement (« Madame, Monsieur, nous vous informons que... »). Les templates traduits de l'anglais basculent parfois vers le tutoiement ou vers des formulations neutres qui n'existent pas dans le registre administratif français. Un email des « Impôts » qui commence par « Cher contribuable » au lieu de « Madame, Monsieur » est immédiatement suspect pour un francophone natif.
Les marques et institutions américaines. Un template imitant « Bank of America » ou « Wells Fargo » n'a aucune crédibilité auprès d'un salarié français. Les scénarios crédibles pour le marché français impliquent Ameli, les Impôts (impots.gouv.fr), La Poste/Colissimo, EDF, la CAF, Pôle Emploi (France Travail), la CPAM, les banques françaises (BNP, Société Générale, Crédit Agricole). KnowBe4 propose quelques scénarios localisés, mais le gros du catalogue reste américain.
Les mentions légales et le formatage. Les emails professionnels français incluent des mentions légales spécifiques (CNIL, RGPD, adresse du siège social). Les templates traduits omettent ces éléments ou les ajoutent de manière incohérente, créant un signal d'alerte visible pour les collaborateurs habitués au format français.
Ce que signifie « natif français »
Un scénario de phishing natif français, c'est :
Un email imitant Ameli avec le bon logo, le bon format, la bonne URL (ameli.fr), et un prétexte crédible dans le contexte français (remboursement de soins, mise à jour de la carte Vitale). C'est un email imitant les impôts en période de déclaration, avec les nuances administratives que seul un francophone natif maîtrise (le vouvoiement systématique, la structure de phrase administrative, les mentions légales).
C'est aussi un email imitant un fournisseur réel de l'entreprise : avec le bon nom de domaine, le bon interlocuteur, et un prétexte qui colle à l'actualité du secteur. Ce niveau de personnalisation est impossible avec un catalogue traduit de l'anglais.
Les données qui confirment l'importance du contenu natif
Le taux de clic sur les simulations de phishing augmente de 23 à 35 % lorsque les templates sont rédigés dans la langue maternelle de la cible (SANS Institute 2025), par rapport aux templates traduits. La raison est simple : un email traduit active la vigilance (« quelque chose cloche »), tandis qu'un email natif passe sous le radar cognitif.
Pour une PME française, cela signifie concrètement que des simulations en anglais ou en français traduit sous-évaluent la vulnérabilité réelle de vos équipes. Vous obtenez un taux de clic artificiellement bas, et une fausse impression de sécurité. Pour des données de référence sur les taux de clic par secteur, consultez nos benchmarks de taux de clic phishing.
Pricing : le coût total de possession
Le prix affiché n'est jamais le prix payé. Voici comment comparer le coût réel de chaque solution.
KnowBe4 : anatomie du pricing
La grille tarifaire officielle de KnowBe4 pour 25 à 50 utilisateurs :
| Niveau | Prix/siège/mois | Ce qui est inclus | Ce qui manque |
|---|---|---|---|
| Silver | 1,90 $ | Formation Level I (modules 45 et 15 min), 35 posters | Micro-learning, SmartRisk, SIEM, AIDA |
| Gold | 2,23 $ | Level I + 150 modules dont micro-learning 5 min | SmartRisk, SIEM, AIDA |
| Platinum | 2,60 $ | Level II + SmartRisk + intégration SIEM | AIDA, bibliothèque complète |
| Diamond | 3,25 $ | Bibliothèque complète (1 300+ items) + AIDA | : |
Add-ons payants :
- PhishER : 0,50-1,50 $/utilisateur/mois (estimation)
- SecurityCoach (intégrations Slack/Teams, alertes en temps réel) : 0,17-0,50 $/utilisateur/mois
- Compliance Plus : variable
Engagements : 12 mois minimum, facturation annuelle anticipée. Pas d'option mensuelle. Remises de 15-25 % sur les contrats pluriannuels (2-3 ans), mais augmentations documentées de 20-40 % au renouvellement.
Exemple concret pour une PME de 50 personnes :
- KnowBe4 Silver : 50 x 1,90 $ x 12 = 1 140 $/an (~1 050 euros). Mais au Silver, pas de micro-learning, pas de SmartRisk, pas de détection. C'est une version amputée.
- KnowBe4 Diamond + PhishER + SecurityCoach : 50 x (3,25 + 1,00 + 0,30) x 12 = 2 730 $/an (~2 510 euros). C'est la version comparable aux offres all-inclusive des concurrents.
Riot : tout inclus, mais cher
À 6,89 $/utilisateur/mois, Riot est le plus cher du comparatif pour une PME de 50 personnes : 4 134 $/an (~3 810 euros). Mais le prix inclut toutes les fonctionnalités : simulation, formation, Sonar (détection de dérive), Inbox (hotline), Breaches (monitoring), support 24/7. Pas d'add-ons cachés.
SoSafe : l'opacité du pricing enterprise
Sans prix public, il est impossible de comparer objectivement SoSafe. Les estimations situent le coût autour de 58 $/utilisateur/an pour une entreprise de 500+ personnes. Pour 50 utilisateurs, le prix sera probablement plus élevé (effet de palier inverse) et nécessitera un appel commercial. À cela s'ajoute une complexité d'onboarding qui représente un coût caché en temps interne.
Mailinblack : le bundle email + sensibilisation
Si vous avez déjà besoin d'un filtre email, Mailinblack peut représenter un bon rapport qualité-prix : email protection + simulation + formation dans un même abonnement. Estimé entre 1 650 et 3 300 euros par an pour 50 utilisateurs. Mais si vous avez déjà Microsoft Defender ou Proofpoint pour le filtrage, le bundle perd de son intérêt.
Le piège des renouvellements
Plusieurs sources documentent des augmentations de 20 à 40 % au renouvellement chez KnowBe4, en particulier via les revendeurs. Ce phénomène est classique post-acquisition par un fonds de private equity : les marges sont optimisées via les hausses au renouvellement, lorsque le coût de changement (données historiques, formation des admins) crée un effet de lock-in.
Pour une PME qui s'engage sur 3 ans, l'écart entre le prix contractuel initial et le coût réel sur la durée peut être important. Demandez systématiquement un plafond d'augmentation au renouvellement dans vos conditions contractuelles.
Tableau récapitulatif du coût total de possession (50 utilisateurs, 3 ans)
| Solution | Année 1 | Année 2 | Année 3 | Total 3 ans (estimé) |
|---|---|---|---|---|
| KnowBe4 Diamond all-in | ~2 510 euros | ~2 760 euros (+10 %) | ~3 040 euros (+10 %) | ~8 310 euros |
| KnowBe4 Silver | ~1 050 euros | ~1 155 euros | ~1 270 euros | ~3 475 euros |
| Riot | ~3 810 euros | ~3 810 euros | ~3 810 euros | ~11 430 euros |
| Mailinblack (bundle) | ~2 560 euros | ~2 560 euros | ~2 560 euros | ~7 680 euros |
| Guardey Advanced | ~1 840 euros | ~1 840 euros | ~1 840 euros | ~5 520 euros |
Notes : les estimations d'augmentation au renouvellement KnowBe4 sont conservatrices (10 %/an contre 20-40 % documentés). Les prix Riot et Guardey sont basés sur les tarifs publics actuels sans hypothèse d'augmentation. Les prix Mailinblack sont basés sur les estimations publiques moyennes.
Comparez par vous-même. nophi.sh propose une tarification forfaitaire sans add-ons cachés ni surprises au renouvellement. Voir les tarifs ou créer un compte pour tester avec vos équipes.
Retours d'expérience : ce que disent les utilisateurs
KnowBe4 sur G2 : 4,6/5 : les détails comptent
Les 2 992 avis G2 penchent massivement du côté positif (98 % de notes 4 ou 5 étoiles). Les points les plus fréquemment salués : la profondeur de la formation automatisée (144 mentions), l'interface conviviale (139 mentions), la flexibilité dans le choix des sujets (59 mentions) et le support client (58 mentions).
Mais les critiques récurrentes révèlent des patterns : contenu répétitif et daté (33 mentions de « répétitif », 22 de « daté »), personnalisation limitée (31 mentions, « I dislike that we cannot create custom training programs »), problèmes d'intégration avec Microsoft (37 mentions, « KnowBe4 has not adapted well to Microsoft security updates »), et rigidité des campagnes (impossibilité d'assigner des formations individuellement).
Le point le plus révélateur est peut-être la note PhishER : « PhishER is lacking in key areas including features, reporting, and support... Automation capabilities are minimal ». Pour un produit facturé en supplément, c'est un constat sévère.
Le paradoxe Trustpilot : 1,8/5
L'écart entre G2 (4,6/5, avis d'admins IT) et Trustpilot (1,8/5, avis d'employés) est le chiffre le plus parlant de cette analyse. Il révèle un produit qui satisfait les acheteurs mais frustre les utilisateurs finaux.
Les plaintes récurrentes sur Trustpilot illustrent le problème : des formations qualifiées de « pires que terribles » et de « garbage », des emails de test de phishing qui ressemblent tellement à du spam que les utilisateurs les signalent comme de vrais phishing (et sont quand même comptés comme « échoués »), et des collaborateurs qui obtiennent 90 à 100 % aux évaluations sans avoir visionné les vidéos de formation. Ce dernier point mérite réflexion : si les tests de connaissance peuvent être réussis sans regarder le contenu, c'est que les questions sont trop prévisibles, et que la formation perd sa fonction pédagogique.
Pour une PME où la direction et l'équipe travaillent au même étage, cette frustration a un coût d'image interne qu'il ne faut pas sous-estimer. Un programme de sensibilisation perçu comme une corvée administrative imposée par « un outil américain incompréhensible » produit l'effet inverse de celui recherché : les collaborateurs associent la cybersécurité à la contrainte plutôt qu'à la protection.
Riot sur G2 : 4,7/5 : la simplicité plébiscitée
Les 135 avis G2 de Riot mettent en avant la facilité d'utilisation (classé #1 « Easiest To Use »), la qualité du support (9,5/10), et l'approche conversationnelle du chatbot Albert. Des utilisateurs rapportent avoir prévenu des tentatives de fraude au président grâce à la formation Riot.
Les critiques portent sur le renouvellement limité des scénarios après 12 mois et l'absence de simulations sectorielles spécialisées.
SoSafe sur G2 : 4,6/5 : le champion européen
Les 803 avis de SoSafe reflètent un produit mature avec une formation gamifiée appréciée et un ancrage européen (EU data residency). Les critiques portent sur les faux positifs des simulations (20 % interceptés par les filtres) et un catalogue de cours jugé daté par certains utilisateurs.
Pour qui KnowBe4 reste le meilleur choix
Malgré ses limites pour les PME françaises, KnowBe4 reste la meilleure option dans certains cas précis.
Vous êtes une entreprise multinationale avec des bureaux dans 15+ pays. La couverture en 35 langues, les 25 000 templates et la capacité à gérer des campagnes multi-entités sont des avantages que les concurrents français ne peuvent pas égaler. SoSafe s'en approche (32 langues, 5 000+ clients), mais le catalogue de KnowBe4 reste plus profond.
Vous avez une équipe SOC structurée qui a besoin de PhishER. Pour le triage d'incidents à grande échelle, PhishER reste un produit solide (malgré les critiques sur les détails). L'intégration SIEM native (Platinum+) et la threat intelligence communautaire sont des arguments réels pour les organisations avec un Centre de Sécurité Opérationnel.
Vous êtes déjà client KnowBe4 et la migration coûte plus cher que le renouvellement. L'effet de lock-in est réel : données historiques, processus rodés, habitudes des admins. Si la facture au renouvellement reste acceptable et que les limites identifiées dans cet article ne sont pas bloquantes pour votre contexte, le changement n'est pas toujours justifié.
Vous avez besoin de l'automatisation IA la plus avancée du marché. AIDA (Diamond uniquement) est objectivement le système d'automatisation SAT le plus sophistiqué disponible. Si votre organisation est suffisamment grande pour justifier le coût Diamond et suffisamment mature pour exploiter 316 indicateurs de risque, KnowBe4 est en avance.
Vous opérez dans un secteur réglementé aux États-Unis. Si votre entreprise a des obligations FedRAMP (KnowBe4 a obtenu le FedRAMP Moderate ATO en novembre 2023), le choix est simple : aucun concurrent européen ne l'a.
Pour qui une solution française est préférable
Vous êtes une PME de 10 à 250 salariés sans RSSI dédié. La complexité de KnowBe4 est dimensionnée pour des équipes IT structurées. Pour un responsable IT qui cumule réseau, support et sécurité, une solution déployable en quelques minutes (Riot, nophi.sh) avec un support en français est plus adaptée qu'une plateforme avec 60 rapports et 25 000 templates.
La conformité RGPD est une priorité et vous voulez minimiser votre charge documentaire. Héberger les données de simulation en France ou en Europe élimine la nécessité de conduire une AITD (analyse d'impact des transferts), de monitorer les sous-traitants US, et de suivre l'évolution du DPF. C'est de la charge de conformité en moins : concrètement, des heures de travail économisées chaque année.
Vos collaborateurs travaillent principalement en français. Des simulations natives (Ameli, Impôts, EDF, Chronopost) testent la vigilance réelle de vos équipes. Des simulations traduites de l'anglais testent leur capacité à repérer un exercice : ce n'est pas la même chose.
Vous êtes fournisseur d'administrations publiques ou d'OIV. La doctrine Cloud au Centre et les exigences SecNumCloud s'appliquent par ruissellement contractuel. Si vos clients publics imposent des clauses de souveraineté des données, une solution hébergée en France n'est pas un avantage : c'est une obligation.
Vous souhaitez une tarification prévisible sans surprises au renouvellement. Les solutions françaises à prix public (Riot, nophi.sh) et les solutions européennes transparentes (Guardey) offrent une visibilité budgétaire que le modèle KnowBe4 (4 niveaux + add-ons + augmentations au renouvellement) ne peut pas garantir.
Vous cherchez une solution qui combine simulation et détection de phishing réel. Si la réponse aux vrais emails suspects fait partie de votre besoin (et en 2026, elle devrait), les solutions intégrant une couche d'analyse des emails suspects (nophi.sh analyse les emails signalés par les collaborateurs, Mailinblack filtre les emails entrants) ont un avantage fonctionnel sur les plateformes de simulation pure (Riot, SoSafe, KnowBe4 sans PhishER).
Simulation + analyse IA des emails signalés, hébergé en France. Créer un compte nophi.sh - démarrage en 15 minutes, tarification forfaitaire.
Questions fréquentes
KnowBe4 est-il conforme au RGPD pour une entreprise française ?
KnowBe4 héberge les données de ses clients européens sur AWS Dublin (principal) et AWS Frankfurt (secours), ce qui est conforme au RGPD. L'entreprise propose un DPA (Data Processing Agreement) et utilise les clauses contractuelles types (SCCs) pour les transferts vers ses sous-traitants américains. C'est juridiquement conforme en mars 2026. Le point d'attention : en tant qu'entreprise américaine, KnowBe4 est soumise au Cloud Act et au FISA. Si le Data Privacy Framework (DPF) est invalidé, scénario que plusieurs juristes appellent « Schrems III », les organisations utilisant KnowBe4 devront réévaluer immédiatement la base légale de leurs transferts. Les solutions hébergées exclusivement en France ou en Europe ne présentent pas ce risque.
Quel est le vrai prix de KnowBe4 pour 50 utilisateurs ?
Le prix d'entrée est de 1 140 $/an (Silver, 50 utilisateurs). Mais au niveau Silver, vous n'avez pas accès au micro-learning, au SmartRisk, à l'intégration SIEM ni à AIDA. Pour une version comparable aux offres all-inclusive des concurrents, comptez le Diamond (1 950 $/an) plus les add-ons PhishER et SecurityCoach, soit environ 2 730 $/an (~2 510 euros). Ajoutez les augmentations documentées de 20-40 % au renouvellement, et le coût sur 3 ans peut dépasser 8 000 euros : sans compter le temps de configuration et d'administration, plus élevé que chez les concurrents orientés PME.
Peut-on migrer de KnowBe4 vers une solution française ?
Techniquement, oui. Les données de campagnes (taux de clic, historique des simulations) sont exportables depuis KnowBe4. Le point de friction est la perte de l'historique comparatif : les métriques de progression ne seront plus calculables sur une base homogène. La migration est plus facile en début de cycle contractuel qu'en milieu de contrat pluriannuel. Conseil : exportez vos données avant la fin du contrat, négociez un chevauchement de 1 à 2 mois pour assurer la continuité, et profitez de la migration pour repartir avec un baseline frais.
Riot ou nophi.sh : comment choisir entre les deux solutions françaises ?
Les deux solutions sont françaises et bien notées. Les différences clés : Riot (6,89 $/utilisateur/mois) offre un périmètre large avec monitoring de fuites de données, détection de dérive d'accès et hotline cybersécurité, mais pas de détection de phishing réel. nophi.sh combine simulation et analyse IA des emails suspects signalés par les collaborateurs, avec une tarification forfaitaire et un hébergement exclusivement en France. Pour une analyse plus détaillée, consultez notre comparatif des solutions de sensibilisation.
Les PME ont-elles vraiment besoin de 25 000 templates de phishing ?
Non. Une PME de 50 personnes qui lance une campagne de simulation par mois utilisera environ 12 templates par an. Même en variant les scénarios sur 3 ans, vous n'en utiliserez pas plus de 50. La profondeur du catalogue KnowBe4 est un argument pour les multinationales qui opèrent dans 35 langues et 20 secteurs : pas pour une PME qui a besoin de 10 à 15 scénarios crédibles en français, adaptés à son contexte métier. La qualité et la pertinence locale des templates comptent davantage que la quantité.
NIS2 impose-t-elle l'hébergement des données en Europe ?
La directive NIS2 n'impose pas explicitement la localisation des données en Europe. En revanche, l'article 21 (sécurité de la chaîne d'approvisionnement) exige des entités couvertes qu'elles évaluent où leurs prestataires tiers traitent et stockent les données. Si l'hébergement est hors EEA, l'organisation doit démontrer des protections équivalentes : une charge de conformité significativement plus lourde que l'hébergement européen. En France, la transposition de NIS2 (« Loi Résilience », adoptée au Sénat le 12 mars 2025, promulgation attendue Q1 2026) concerne environ 15 000 entités, avec des sanctions allant jusqu'à 10 millions d'euros ou 2 % du chiffre d'affaires mondial. Pour ces organisations, l'hébergement européen est le chemin de moindre résistance en matière de conformité.
Le facteur NIS2 : 15 000 entités françaises concernées
La transposition de NIS2 en droit français (« Loi relative à la résilience des infrastructures critiques et au renforcement de la cybersécurité ») a été adoptée au Sénat en première lecture le 12 mars 2025. La promulgation est attendue au premier trimestre 2026, avec des décrets techniques de l'ANSSI prévus pour le deuxième trimestre.
L'impact est massif : le périmètre passe d'environ 500 opérateurs d'importance vitale (OIV) à 15 000 entités « essentielles » et « importantes », incluant environ 1 500 collectivités territoriales. L'ANSSI et le SGDSN estiment le coût de mise en conformité entre 100 000 et 200 000 euros pour les entités importantes, et entre 450 000 et 880 000 euros pour les entités essentielles : plus environ 10 % par an pour le maintien.
Pour les PME concernées (et leurs fournisseurs, par effet de cascade contractuelle), NIS2 impose des « mesures de gestion des risques cyber incluant la sensibilisation et la formation du personnel ». Les auditeurs demanderont la preuve que des simulations sont conduites régulièrement et que les résultats s'améliorent. Sans plateforme dédiée, cette preuve est impossible à produire.
Les sanctions sont dissuasives : jusqu'à 10 millions d'euros ou 2 % du chiffre d'affaires mondial pour les entités essentielles ; 7 millions ou 1,4 % pour les entités importantes. La certification ISO 27001 ne vaut pas conformité NIS2 : la France a explicitement clarifié ce point.
Ce contexte réglementaire renforce l'argument en faveur des solutions hébergées en Europe : l'article 21 de NIS2 (sécurité de la chaîne d'approvisionnement) impose d'évaluer où les prestataires traitent les données. L'hébergement hors EEA ajoute une couche de conformité supplémentaire, évaluable, documentable, auditable, que l'hébergement européen évite. Pour en savoir plus sur les obligations de conformité, consultez notre guide NIS2 pour les PME.
Conclusion : un cadre de décision, pas un verdict
Le choix entre KnowBe4 et une solution française n'est pas un match entre un bon et un mauvais produit. C'est un arbitrage entre des priorités différentes.
Si votre priorité est la profondeur du catalogue et l'automatisation IA, KnowBe4 Diamond est objectivement en avance : à condition d'en accepter le prix, la complexité et les implications RGPD.
Si votre priorité est la simplicité de déploiement, la qualité du français et la prévisibilité budgétaire, les solutions françaises (Riot, nophi.sh) sont mieux calibrées pour votre contexte.
Si votre priorité est la souveraineté des données et la minimisation du risque réglementaire, une solution hébergée en France élimine une catégorie entière de risques juridiques, et ce risque ne fait qu'augmenter.
Si votre priorité est le rapport qualité-prix pour une PME de moins de 100 salariés, comparez le coût total de possession (TCO) sur 3 ans, pas le prix d'entrée. Et incluez dans le calcul le temps d'administration, de configuration et de conformité documentaire. Pour un guide pas à pas sur la mise en place de simulations : Simulation de phishing en entreprise : guide 2026.
La grille de scoring proposée dans notre guide Comment choisir sa solution de sensibilisation au phishing en 2026 reste le meilleur outil pour structurer votre évaluation. Remplissez-la pendant vos démos, critère par critère, et laissez les faits décider.
Comparez nophi.sh avec votre solution actuelle | Voir les fonctionnalités