Skip to content
Retour au blog
simulationphishingcybersécuritéguide

Simulation de phishing en entreprise : guide pratique 2026

Comment planifier, exécuter et mesurer une campagne de simulation de phishing. Méthodologie, templates, timing et analyse des résultats pour les PME.

Thomas Ferreira33 min de lecture

Les entreprises qui simulent régulièrement des attaques de phishing réduisent leur taux de clic de 75 % en moyenne en 12 mois (SANS Security Awareness 2025). Ce chiffre illustre un constat clair : la sensibilisation théorique ne suffit pas. Seule la mise en situation réelle, contrôlée, mesurée, répétée, change durablement les comportements face au phishing.

La différence entre une formation classique et une simulation de phishing est celle qui sépare un cours de conduite sur tableau blanc d'une leçon de conduite en conditions réelles. Les études en psychologie cognitive montrent que la rétention d'une formation théorique chute de 80 % après 30 jours sans mise en pratique (Ebbinghaus, courbe de l'oubli). En revanche, un collaborateur qui a vécu l'expérience d'un clic sur un email simulé, et qui a vu immédiatement ce qu'il aurait dû repérer, ancre ce réflexe dans sa mémoire à long terme.

Ce guide est conçu pour les dirigeants, responsables IT et responsables sécurité (RSSI) de PME qui veulent mettre en place un programme de simulation de phishing structuré, efficace et conforme au cadre légal français. Vous y trouverez la méthodologie complète, de la préparation de votre première campagne à l'analyse fine des résultats sur 12 mois, en passant par les cinq types de simulations à maîtriser et les erreurs à éviter. Toutes les données citées proviennent des rapports SANS Institute 2025, Gartner Security & Risk Management 2025, Proofpoint State of the Phish 2025 et Verizon DBIR 2025.

Pour contextualiser la menace que ces simulations visent à contrer, consultez notre guide complet du phishing en entreprise avec les statistiques 2026.

Qu'est-ce qu'une simulation de phishing et pourquoi en faire

Une simulation de phishing est l'envoi contrôlé de faux emails de phishing aux collaborateurs d'une organisation, dans le but de mesurer leur vigilance et d'améliorer leurs réflexes de détection. Contrairement à un pentest (test d'intrusion), qui cible les vulnérabilités techniques de l'infrastructure, la simulation de phishing cible exclusivement le facteur humain. L'objectif n'est pas de compromettre un système, mais d'évaluer et de renforcer la capacité des employés à identifier une tentative d'hameçonnage.

Pourquoi la théorie seule ne suffit pas

Les données de Gartner Security & Risk Management 2025 sont catégoriques : les programmes de sensibilisation purement théoriques ont un impact mesurable de moins de 15 % sur le taux de clic à six mois (Gartner Security & Risk Management 2025). En d'autres termes, six mois après une formation classique, les employés cliquent presque autant qu'avant.

La raison est neurologique. L'apprentissage par l'expérience active les circuits de mémoire épisodique, la même mémoire qui vous fait retenir que la plaque de cuisson est brûlante après vous y être brûlé une fois. Un collaborateur qui vit l'expérience du phishing simulé, la surprise, la prise de conscience, la page de remédiation : encode un souvenir émotionnel bien plus résistant à l'oubli qu'une diapositive sur les « 5 signaux d'alerte ».

Les organisations combinant simulation et micro-learning atteignent un taux de signalement supérieur à 70 %, contre moins de 10 % pour la formation théorique seule (SANS Institute 2025). Le signalement, le fait qu'un employé reporte activement un email suspect plutôt que de simplement l'ignorer, est le véritable indicateur d'une culture de cybersécurité mature.

Cadre légal en France : ce qui est autorisé, ce qui ne l'est pas

La simulation de phishing en entreprise est légale en France, mais elle est encadrée par plusieurs textes que toute organisation doit connaître avant de lancer sa première campagne.

Ce qui est autorisé :

  • Envoyer des emails de phishing simulés aux collaborateurs dans le cadre d'un programme de sensibilisation déclaré
  • Collecter des métriques agrégées (taux de clic par département, évolution dans le temps)
  • Afficher une page de remédiation éducative après un clic
  • Utiliser les résultats pour orienter les formations, jamais pour sanctionner

Ce qui est encadré :

  • RGPD : les données individuelles de résultats constituent un traitement de données personnelles. Base légale recommandée : intérêt légitime de l'employeur (sécurisation des systèmes d'information). Information préalable des personnes concernées obligatoire. Durée de conservation limitée et proportionnée.
  • Droit du travail : le CSE (Comité Social et Économique) doit être informé de la mise en place du programme. Les résultats individuels ne peuvent pas être utilisés dans le cadre d'une procédure disciplinaire.
  • CNIL : la Commission recommande la transparence sur l'existence du programme de simulation, tout en reconnaissant que l'effet de surprise est nécessaire à son efficacité. Il n'est pas obligatoire de prévenir les employés de la date exacte d'une campagne.

Ce qui est interdit :

  • Utiliser les résultats pour sanctionner, licencier ou discriminer un employé
  • Collecter des données excessives (enregistrement des frappes clavier, capture d'écran, etc.)
  • Conduire des simulations sans base légale ni information des personnes concernées

Obligations réglementaires : NIS2, SOC 2 et ISO 27001

Au-delà du cadre légal, les référentiels de conformité imposent désormais explicitement des tests réguliers de sensibilisation. La directive NIS2 (applicable depuis octobre 2024 en France) exige des « mesures de gestion des risques cyber incluant la sensibilisation et la formation du personnel ». SOC 2 (Trust Services Criteria) requiert des « programmes de sensibilisation incluant des tests périodiques ». ISO 27001 (contrôle A.6.3) impose une « sensibilisation, éducation et formation à la sécurité de l'information ». Dans tous les cas, la simulation de phishing est le moyen le plus direct et le plus mesurable de démontrer la conformité à ces exigences. Pour approfondir le volet conformité, consultez notre page dédiée à la conformité SOC 2 et ISO 27001.

Préparer votre première campagne : la checklist en 10 points

La réussite d'un programme de simulation de phishing se joue avant l'envoi du premier email. Voici les dix étapes de préparation à suivre scrupuleusement.

1. Définir les objectifs

Toute campagne de simulation de phishing doit répondre à une question précise. S'agit-il d'établir un baseline initial (mesurer le taux de clic actuel de l'entreprise sans référence antérieure) ? D'améliorer un score existant ? De répondre à une exigence de conformité NIS2 ou SOC 2 ? L'objectif détermine le type de simulation, la fréquence et les métriques de succès. Un baseline se fait avec une simulation simple envoyée à toute l'entreprise. Une amélioration se mesure par la tendance du taux de clic et du taux de signalement sur plusieurs mois.

2. Obtenir le soutien de la direction

Sans l'engagement de la direction générale, un programme de simulation est voué à l'échec. Le DG ou le comité de direction (COMEX) doit comprendre pourquoi les simulations sont nécessaires, valider le budget et le calendrier, et surtout accepter d'être inclus dans les campagnes. Rien ne décrédibilise plus un programme qu'un dirigeant qui s'en exclut. Présentez les données : un programme de simulation coûte en moyenne 10 à 30 euros par employé par an, contre un coût médian de 50 000 euros pour un incident de phishing réussi dans une PME (source : CESIN 2025).

Lancez votre première campagne - résultats mesurables dès la première semaine.

3. Informer (ou pas) les managers : le débat

Faut-il prévenir les managers avant une campagne ? Le débat est légitime. D'un côté, les prévenir évite les tensions et permet de gérer les réactions post-simulation. De l'autre, les prévenir biaise les résultats (ils alertent souvent leurs équipes). La recommandation du SANS Institute est de trouver un compromis : informer les managers de l'existence du programme et de sa fréquence générale (« des simulations auront lieu chaque mois »), sans révéler les dates ni les scénarios spécifiques. Ainsi, ils ne sont pas pris au dépourvu, mais les résultats restent authentiques.

4. Choisir les scénarios

Le choix du scénario est l'élément qui détermine le plus le taux de clic. Un scénario doit être réaliste (il pourrait s'agir d'un vrai email reçu par l'entreprise), adapté au contexte (secteur d'activité, outils utilisés, actualité) et calibré en difficulté. Pour une première campagne, commencez par un scénario de difficulté facile à moyenne : notification de colis, mise à jour de mot de passe, document partagé. Réservez les scénarios avancés (spear phishing, BEC) pour les campagnes ultérieures.

5. Configurer les domaines d'envoi

L'utilisation d'un domaine d'envoi personnalisé (par exemple notifications-rh.votreentreprise.fr) est nettement plus efficace qu'un domaine générique (comme loginform.net). Un domaine personnalisé reproduit les conditions d'une attaque réelle, où les attaquants enregistrent des domaines ressemblant à ceux de l'entreprise cible. Configurez les enregistrements SPF, DKIM et DMARC du domaine de simulation pour qu'il passe les filtres email : sinon vos simulations finiront en spam et les résultats seront inexploitables.

6. Définir la cible

Pour un baseline initial, ciblez toute l'entreprise afin d'obtenir une photographie complète. Pour les campagnes suivantes, vous pouvez segmenter par département (finance, RH, direction, technique), par niveau hiérarchique, par ancienneté ou par résultat aux simulations précédentes. La segmentation permet d'adapter la difficulté et les scénarios à chaque population, et d'identifier précisément les poches de vulnérabilité.

7. Planifier le timing

Le timing d'envoi influence significativement le taux de clic. Selon les données Proofpoint State of the Phish 2025, les taux de clic les plus élevés sont observés le mardi et le mercredi, entre 9h et 11h : les heures où les employés traitent leur boîte de réception en mode automatique. Évitez les lundis matins (trop d'emails accumulés, attention plus faible) et les vendredis après-midi (déconnexion mentale). Excluez les périodes de vacances, les jours fériés et les périodes de charge intense (clôtures comptables, déploiements techniques) pour ne pas fausser les résultats ni générer de stress inutile.

8. Préparer la remédiation post-échec

Avant d'envoyer le premier email, la page de remédiation doit être prête. C'est la page que verra un collaborateur qui clique sur le lien de phishing simulé. Elle doit être bienveillante et éducative : jamais culpabilisante. Structure recommandée : « Ceci était une simulation. Voici les 3 indices que vous auriez pu repérer. Voici un module de 3 minutes pour renforcer vos réflexes. » Le ton compte : un employé qui se sent piégé ou humilié ne signalera plus jamais un email suspect.

9. Définir les métriques de succès

Avant la campagne, décidez quels indicateurs vous suivrez et quels seuils vous visez. Les métriques essentielles sont le taux de clic (pourcentage d'employés qui cliquent sur le lien), le taux de soumission (pourcentage qui saisit des identifiants), le taux de signalement (pourcentage qui reporte l'email comme suspect) et le temps de réaction (délai entre l'envoi et le premier clic ou signalement). Un objectif réaliste pour une première campagne : taux de clic inférieur à 20 %, taux de signalement supérieur à 10 %.

10. Communiquer les résultats

Décidez à l'avance comment et à qui vous communiquerez les résultats. Les résultats agrégés (par département, par campagne) peuvent être partagés largement : c'est même recommandé pour créer une dynamique collective. Les résultats individuels doivent rester confidentiels. Présentez un rapport à la direction avec les tendances, les recommandations et le ROI du programme. Partagez avec les équipes les scores de leur département (sans nommer les individus) pour créer une émulation positive.

Les 5 types de simulations à maîtriser

Toutes les simulations de phishing ne se valent pas. Un programme efficace varie les types d'attaques pour exposer les collaborateurs à l'ensemble du spectre des menaces réelles. Voici les cinq catégories, classées par difficulté croissante.

1. Email générique de masse

Difficulté : Facile | Taux de clic moyen : 20-30 % | Quand l'utiliser : Baseline initial, premières campagnes

L'email générique reproduit les campagnes de phishing les plus courantes : notification de colis en attente, alerte de sécurité sur un compte, mise à jour obligatoire de mot de passe. Ces simulations ne sont pas personnalisées : le même email est envoyé à tous les destinataires.

Exemple de scénario : « Votre colis Colissimo est en attente de livraison. Confirmez votre adresse pour planifier la livraison. » Avec un lien vers une fausse page Colissimo.

Ces simulations sont idéales pour établir un premier diagnostic. Un taux de clic supérieur à 25 % sur ce type de simulation indique un niveau de sensibilisation insuffisant et justifie un programme de formation intensif.

2. Email ciblé par département

Difficulté : Moyenne | Taux de clic moyen : 15-25 % | Quand l'utiliser : Après le baseline, campagnes mensuelles

L'email ciblé est adapté au contexte professionnel du département visé. Les RH reçoivent un email sur les congés ou la mutuelle. La comptabilité reçoit une facture à valider. L'équipe technique reçoit une alerte de monitoring. Cette contextualisation rend l'email plus crédible car il s'inscrit dans le flux de travail quotidien du destinataire.

Exemple de scénario pour la comptabilité : « Facture #2026-0847 : Paiement en retard de 15 jours. Veuillez consulter la facture en pièce jointe et procéder au règlement. » Avec une pièce jointe ou un lien vers un faux portail fournisseur.

Exemple de scénario pour les RH : « Mise à jour mutuelle entreprise : vos garanties changent au 1er avril. Connectez-vous à votre espace pour valider vos nouvelles options. »

3. Spear phishing personnalisé

Difficulté : Élevée | Taux de clic moyen : 10-20 % | Quand l'utiliser : Campagnes avancées, test des profils à risque

Le spear phishing simulé reproduit les attaques ciblées qui utilisent des informations personnelles. Le nom du destinataire, son poste, un projet en cours, le nom de son manager direct : tous ces éléments sont intégrés dans l'email pour maximiser la crédibilité. Ce type de simulation nécessite une préparation plus importante car chaque email est personnalisé.

Exemple de scénario : « Bonjour [Prénom], suite à notre réunion d'hier sur le projet [nom du projet], je t'envoie le document de synthèse mis à jour. Merci de le relire avant la prochaine réunion de vendredi. : [Nom du manager] ». Le lien pointe vers un faux OneDrive ou Google Drive.

4. Business Email Compromise (BEC) simulé

Difficulté : Très élevée | Taux de clic moyen : 5-15 % | Quand l'utiliser : Simulation annuelle, test des équipes finances et direction

Le BEC simulé reproduit les scénarios de fraude les plus dommageables financièrement. L'email simule une demande de changement de RIB fournisseur, un virement urgent demandé par le DG ou une redirection de paiement. Ces simulations testent à la fois la vigilance individuelle et le respect des procédures de vérification (double validation des virements, contre-appel).

Exemple de scénario : « [Prénom], j'ai besoin que tu traites un virement de 45 000 euros vers notre nouveau partenaire d'audit. C'est confidentiel pour l'instant, je t'envoie les coordonnées bancaires. Merci de traiter aujourd'hui, le délai est serré., [Nom du DG] ». L'email provient d'un domaine similaire au domaine de l'entreprise (typosquatting simulé).

5. Simulation multi-vecteur (email + SMS)

Difficulté : Maximale | Taux de clic moyen : Variable | Quand l'utiliser : Tests avancés, organisations matures

La simulation multi-vecteur combine plusieurs canaux d'attaque pour reproduire les campagnes de phishing les plus sophistiquées. Un SMS annonce un problème (« Tentative de connexion suspecte sur votre compte professionnel »), suivi quelques minutes plus tard d'un email proposant la « solution » (lien de réinitialisation de mot de passe). L'effet de convergence des deux messages renforce considérablement la crédibilité de l'attaque.

Ces simulations sont réservées aux organisations ayant déjà un programme de simulation mature. Elles testent la capacité des collaborateurs à résister à des scénarios d'attaque coordonnée : une menace de plus en plus fréquente selon les données du Verizon DBIR 2025. Pour en savoir plus sur les nouvelles formes de phishing multi-canal, consultez notre article sur le quishing, vishing et smishing.

Prêt à tester ces 5 types de simulation ? Créer un compte nophi.sh - déploiement en 15 minutes.

Pour en savoir plus sur les taux de clic par secteur d'activité et comparer vos résultats aux benchmarks nationaux, consultez notre article dédié aux benchmarks taux de clic par secteur.

Anatomie d'un email de phishing simulé efficace

Un email de simulation de phishing doit être suffisamment réaliste pour tester la vigilance des collaborateurs, sans franchir la ligne de la manipulation abusive. Voici la décomposition détaillée de chaque composant.

L'expéditeur : le domaine personnalisé fait toute la différence

Le choix du domaine d'envoi est le premier facteur de crédibilité. Les plateformes de simulation proposent souvent des domaines génériques partagés entre tous leurs clients. Le problème : ces domaines finissent par être connus et listés, et ne reproduisent pas les conditions d'une attaque réelle.

Un domaine personnalisé, comme portail-rh.votreentreprise.fr ou support-it.votresociete.com, reproduit fidèlement la technique de typosquatting utilisée par les vrais attaquants. Les collaborateurs doivent apprendre à vérifier le domaine exact de l'expéditeur, et un domaine personnalisé entraîne ce réflexe critique. C'est l'une des fonctionnalités différenciantes de la plateforme nophi.sh : chaque entreprise dispose de domaines d'envoi dédiés.

L'objet : les 10 sujets les plus efficaces

L'objet de l'email détermine s'il sera ouvert ou ignoré. Selon les données agrégées des campagnes de simulation analysées par Proofpoint, voici les dix thèmes d'objets les plus efficaces (taux d'ouverture le plus élevé) :

  1. « Mise à jour requise de votre mot de passe » : 42 % de taux d'ouverture
  2. « Colis en attente de livraison » : 39 %
  3. « Facture impayée, action requise », 38 %
  4. « Votre compte sera désactivé dans 24h » : 36 %
  5. « Document partagé par [nom du collègue] » : 35 %
  6. « Modification de vos avantages mutuelle » : 33 %
  7. « Notification de connexion suspecte » : 31 %
  8. « Invitation à un événement d'entreprise » : 29 %
  9. « Prime exceptionnelle, détails à confirmer », 28 %
  10. « Mise à jour de vos coordonnées bancaires pour le virement de salaire » : 27 %

Les thèmes les plus efficaces exploitent trois ressorts psychologiques : l'urgence (« 24h », « immédiat »), l'autorité (« votre direction », « votre banque ») et le bénéfice personnel (« prime », « avantages »).

Le corps de l'email : les ressorts psychologiques

Un email de phishing, réel ou simulé, exploite systématiquement un ou plusieurs ressorts psychologiques documentés par Robert Cialdini dans ses travaux sur l'influence :

L'urgence : « Votre accès sera suspendu dans 2 heures si vous ne confirmez pas votre identité. » L'urgence désactive la réflexion analytique et pousse à l'action impulsive. C'est le ressort le plus puissant et le plus utilisé.

L'autorité : « Message du service informatique : une mise à jour de sécurité critique est requise. » L'expéditeur se positionne comme une figure d'autorité (direction, IT, RH, banque) pour inhiber le questionnement.

La curiosité : « Un document confidentiel a été partagé avec vous. » L'être humain est câblé pour satisfaire sa curiosité : même quand la prudence devrait primer.

La peur : « Activité suspecte détectée sur votre compte. Vérifiez immédiatement. » La peur de perdre l'accès à un service ou d'être victime d'une intrusion pousse au clic réflexe.

La réciprocité : « Suite à votre demande, voici le document. » Le faux contexte d'une interaction passée (que le destinataire ne se rappelle pas mais n'ose pas contester) crée une obligation implicite de répondre.

Le lien : landing page réaliste vs tracking pixel

Deux approches existent pour mesurer les clics dans une simulation de phishing.

Le tracking pixel (image invisible intégrée dans l'email) mesure uniquement l'ouverture de l'email. C'est une donnée utile mais insuffisante : ouvrir un email n'est pas un risque, cliquer sur un lien l'est.

La landing page est une page web qui s'affiche après le clic sur le lien de phishing simulé. Elle peut être un simple formulaire de connexion (pour mesurer le taux de soumission d'identifiants) ou une page de remédiation immédiate (pour que chaque erreur devienne un cas pratique). La landing page avec formulaire fournit la donnée la plus critique : combien de collaborateurs auraient saisi leurs identifiants dans une attaque réelle.

Le timing : les heures et jours les plus efficaces

Les données de Proofpoint et du SANS Institute convergent sur les créneaux les plus « efficaces » (c'est-à-dire ceux où les employés sont les plus vulnérables) :

  • Mardi et mercredi : taux de clic 23 % supérieur au reste de la semaine
  • 9h-11h : pic de clics, correspondant au traitement matinal de la boîte de réception
  • 14h-15h : second pic, correspondant à la baisse de vigilance post-déjeuner
  • Lundi 8h-9h : taux de clic élevé (accumulation du week-end, traitement en série)

Variez les jours et les heures d'envoi entre les campagnes pour exposer les collaborateurs à différentes situations et éviter qu'ils n'anticipent les simulations.

Analyser les résultats : au-delà du taux de clic

Le taux de clic est la métrique la plus connue de la simulation de phishing, mais se limiter à ce seul indicateur revient à piloter une entreprise uniquement par son chiffre d'affaires. Voici les six métriques essentielles à suivre et comment les interpréter.

Taux d'ouverture

Définition : Pourcentage de destinataires qui ont ouvert l'email de simulation.

Interprétation : Un taux d'ouverture élevé indique que l'objet de l'email est crédible. Ce n'est pas une métrique de risque en soi (ouvrir un email n'est généralement pas dangereux), mais elle valide la qualité du scénario. Un taux d'ouverture inférieur à 40 % suggère que l'email n'a pas atteint les boîtes de réception (problème technique) ou que l'objet n'est pas assez convaincant.

Taux de clic

Définition : Pourcentage de destinataires qui ont cliqué sur le lien dans l'email.

Interprétation : C'est la métrique de référence. Selon le SANS Institute 2025, le taux de clic moyen lors d'une première simulation (baseline) se situe entre 20 % et 35 % pour les organisations sans programme de sensibilisation préalable. Après 12 mois de simulations régulières, ce taux descend en moyenne à 3-5 %. Un taux inférieur à 5 % est considéré comme excellent par les référentiels du secteur.

Taux de soumission

Définition : Pourcentage de destinataires qui ont saisi des identifiants (login, mot de passe) sur la page de phishing simulée.

Interprétation : C'est la métrique la plus alarmante. Un collaborateur qui saisit ses identifiants sur une page frauduleuse donne potentiellement accès à l'ensemble du système d'information. Le taux de soumission est en moyenne 40 à 60 % du taux de clic : autrement dit, plus de la moitié des personnes qui cliquent vont jusqu'à saisir leurs identifiants. Réduire ce taux est une priorité absolue.

Taux de signalement : l'indicateur clé de performance (KPI) le plus important

Définition : Pourcentage de destinataires qui ont signalé l'email comme suspect (via un bouton de signalement intégré ou par transfert au service IT).

Interprétation : Le taux de signalement est l'indicateur le plus révélateur de la maturité d'une organisation en matière de cybersécurité. Un employé qui signale un email suspect contribue activement à la défense collective. Selon le rapport Gartner Security & Risk Management 2025, les organisations avec un taux de signalement supérieur à 60 % ont un risque de compromission par phishing inférieur de 80 % aux autres (corrélation observée par Gartner, pas une causalité démontrée). L'objectif à 12 mois : un taux de signalement supérieur à 50 %.

Temps de réaction

Définition : Délai entre l'envoi de l'email et le premier clic ou le premier signalement.

Interprétation : Cette métrique révèle deux choses. Un temps de clic très court (moins de 2 minutes) indique un comportement impulsif : l'employé a cliqué sans réfléchir. Un temps de signalement très court indique au contraire un réflexe de vigilance aiguisé. L'évolution du temps de réaction au fil des campagnes est un excellent indicateur de progrès.

Analyse multidimensionnelle

Au-delà des métriques globales, l'analyse par dimension révèle les poches de vulnérabilité spécifiques :

  • Par département : Les équipes finances et RH présentent traditionnellement les taux de clic les plus élevés (exposition à des emails de ce type au quotidien). Les équipes techniques ont les taux les plus bas.
  • Par ancienneté : Les nouveaux arrivants (moins de 6 mois) et les collaborateurs les plus anciens (plus de 10 ans) sont les plus vulnérables : les premiers par manque de formation, les seconds par excès de confiance.
  • Par type de poste : Les postes à fort volume d'emails (assistants de direction, service client, achats) présentent un risque supérieur lié à la surcharge cognitive.
  • Par type de simulation : Suivre les résultats par scénario permet d'identifier les ressorts psychologiques auxquels l'organisation est la plus sensible (urgence? autorité? curiosité?).

Créer un rapport actionnable pour la direction

Un rapport de simulation efficace pour le COMEX tient en une page et contient quatre éléments : le taux de clic comparé au baseline et aux benchmarks sectoriels, la tendance sur les 3-6 derniers mois, les départements nécessitant une attention renforcée, et le ROI estimé du programme (coût du programme vs coût moyen d'un incident évité). Accompagnez toujours les chiffres de recommandations concrètes. Consultez notre article sur les benchmarks taux de clic par secteur pour situer vos résultats. Pour structurer l'argumentaire ROI à présenter à votre direction : ROI de la sensibilisation cybersécurité.

La remédiation post-échec : chaque erreur devient un cas pratique

La remédiation, ce qui se passe après qu'un collaborateur a échoué à une simulation, est le moment le plus critique du programme. Bien gérée, chaque échec devient un apprentissage durable. Mal gérée, elle détruit la confiance et sabote l'ensemble du programme.

Micro-learning immédiat : la fenêtre des 5 minutes

Le principe du « teachable moment » est au coeur de l'efficacité de la simulation de phishing. Lorsqu'un collaborateur clique sur un lien de phishing simulé, il se trouve dans un état d'attention maximale : la surprise et la prise de conscience ouvrent une fenêtre d'apprentissage optimale. C'est dans les 5 minutes qui suivent le clic que l'impact pédagogique est le plus fort.

Le module de remédiation immédiat doit être court (3 à 5 minutes maximum), spécifique (ciblé sur le type d'attaque de la simulation) et bienveillant (aucun jugement, aucune sanction). Structure recommandée :

  1. Révélation : « Ceci était un test de simulation de phishing. »
  2. Explication : « Voici les 3 indices que vous auriez pu repérer » (flèches annotées sur l'email d'origine)
  3. Renforcement : Module interactif de 3 minutes avec quiz
  4. Encouragement : « En signalant le prochain email suspect, vous protégez toute l'entreprise. »

Contenu adapté au niveau d'échec

Tous les échecs ne se valent pas. Un collaborateur qui a cliqué sur le lien mais n'a pas saisi ses identifiants a eu un réflexe de méfiance tardif : c'est un signal positif. Celui qui a saisi son mot de passe complet a besoin d'une remédiation plus approfondie. Adaptez le contenu :

  • Clic seul : Module court (2 minutes) sur la vérification des liens
  • Soumission d'identifiants : Module complet (5 minutes) couvrant la vérification de l'expéditeur, du lien et du contexte
  • Récidive (échec lors de la campagne précédente) : Parcours de formation approfondi avec exercices pratiques

Ne PAS punir : encourager le signalement

Ce point est fondamental. Gartner 2025 documente que les organisations qui utilisent les résultats de simulation de phishing à des fins disciplinaires voient leur taux de signalement chuter de 75 %. La raison est logique : si échouer à un test entraîne une sanction, les employés cessent de signaler les emails suspects : par peur d'attirer l'attention sur leur propre vulnérabilité.

La bonne approche : valoriser le signalement plutôt que pénaliser l'échec. Certaines organisations mises en avant par le SANS Institute ont mis en place des systèmes de « gamification positive » : récompenser les départements avec les meilleurs taux de signalement plutôt que stigmatiser ceux avec les pires taux de clic. Le message est clair : « Nous ne vous jugeons pas sur vos erreurs, nous vous félicitons pour votre vigilance. »

Formation renforcée pour les départements à risque

Les résultats des simulations permettent d'identifier les départements nécessitant une attention particulière. Pour ces équipes, prévoyez des sessions de formation dédiées (format atelier de 30 minutes), des simulations plus fréquentes avec des scénarios adaptés à leur contexte professionnel, et un suivi individualisé (toujours confidentiel) des collaborateurs en difficulté récurrente.

Fréquence et planification sur 12 mois

Un programme de simulation de phishing efficace se planifie sur un cycle annuel, avec une montée en puissance progressive. Voici le calendrier recommandé par le SANS Institute et validé par les données Gartner.

Mois 1 : Établir le baseline

Envoyez une simulation unique à l'ensemble de l'entreprise. Choisissez un scénario de difficulté facile (email générique de masse) pour obtenir un taux de clic représentatif. Ce baseline est votre point de référence pour mesurer tous les progrès futurs. Ne communiquez pas les résultats individuels : présentez uniquement les données agrégées à la direction.

Mois 2-4 : Phase de rampe

Passez à une simulation par mois avec une difficulté croissante. Mois 2 : email générique sur un thème différent du baseline. Mois 3 : email ciblé par département. Mois 4 : premier scénario de spear phishing. Chaque simulation est suivie d'un module de remédiation immédiat. Communiquez les tendances globales aux équipes pour créer une dynamique d'amélioration collective.

Mois 5-12 : Phase de croisière

Montez à deux simulations par mois, en alternant les types et les niveaux de difficulté. Variez systématiquement les thèmes pour éviter que les collaborateurs ne reconnaissent un « style » de simulation. Intégrez les événements du calendrier : simulation de phishing sur le thème du Black Friday en novembre, sur les déclarations d'impôts en avril, sur les actualités marquantes. Cette variation reproduit la réalité des attaques, qui exploitent l'actualité pour maximiser leur impact.

Événements à intégrer dans votre calendrier

  • Janvier : Voeux, primes, objectifs annuels
  • Mars-Avril : Déclaration d'impôts, bilan annuel
  • Mai-Juin : Congés d'été, mutuelle
  • Septembre : Rentrée, nouvelles embauches, formation obligatoire
  • Novembre : Black Friday, achats en ligne
  • Décembre : Colis de Noël, fêtes d'entreprise, clôture comptable

Reporting trimestriel à la direction

Chaque trimestre, présentez un rapport de synthèse au COMEX incluant l'évolution du taux de clic et du taux de signalement, la comparaison avec les benchmarks du secteur, les départements en progrès et ceux nécessitant une attention renforcée, et les recommandations pour le trimestre suivant. Ce reporting régulier maintient l'engagement de la direction et justifie le renouvellement du budget du programme.

Questions fréquentes

La simulation de phishing est-elle légale en France ?

Oui. La simulation de phishing est légale dans le cadre d'un programme de sensibilisation à la cybersécurité, à condition de respecter le RGPD (base légale d'intérêt légitime, information des personnes), le droit du travail (information du CSE, interdiction d'usage disciplinaire des résultats) et les recommandations de la CNIL (transparence sur l'existence du programme). Les résultats individuels doivent rester confidentiels et ne peuvent en aucun cas justifier une sanction. Consultez notre page conformité pour un guide complet du cadre réglementaire.

Faut-il prévenir les employés avant une campagne ?

La recommandation du SANS Institute est d'informer les collaborateurs de l'existence du programme de simulation de phishing (ce qui est de toute façon requis par le RGPD), sans révéler les dates ni les scénarios spécifiques. Cette approche préserve l'effet de surprise nécessaire à l'efficacité du test tout en respectant la transparence attendue par les salariés et leurs représentants. Le CSE doit être informé en amont de la mise en place du programme.

Comment gérer les employés qui échouent plusieurs fois ?

Avec bienveillance et accompagnement renforcé, jamais avec des sanctions. Les récidivistes bénéficient d'un parcours de formation approfondi adapté à leur profil de risque. Certaines plateformes, dont nophi.sh, proposent des parcours adaptatifs qui ajustent automatiquement la difficulté et le contenu en fonction des résultats individuels. En dernier recours, pour les profils à très haut risque (accès à des données sensibles, fonctions financières), un entretien individuel bienveillant avec le RSSI peut être organisé, comme un coaching, pas comme un avertissement.

Quelle est la fréquence idéale de simulation ?

Les données SANS Institute 2025 et Gartner 2025 convergent : une à deux simulations par mois est le rythme optimal. En dessous d'une simulation par mois, l'effet de la formation s'estompe (les réflexes s'émoussent après quelques semaines sans pratique). Au-dessus de deux simulations par mois, le risque de « fatigue de simulation » apparaît : les collaborateurs deviennent cyniques et cessent de prendre les emails au sérieux. Le calibrage compte : assez fréquent pour maintenir la vigilance, pas trop pour préserver la crédibilité du programme.

Peut-on simuler du smishing (SMS) en plus de l'email ?

Oui, et c'est de plus en plus recommandé. Les attaques de phishing par SMS (smishing) ont augmenté de 300 % depuis 2023 selon Proofpoint, et les taux de clic sur les liens SMS sont jusqu'à 8 fois supérieurs à ceux des emails (le SMS bénéficie d'un niveau de confiance plus élevé). Les plateformes de simulation les plus avancées permettent de combiner email et SMS dans des scénarios multi-vecteur. C'est le niveau le plus avancé de simulation, à réserver aux organisations ayant déjà un programme email mature. Découvrez les capacités multi-vecteur d'nophi.sh.

Comment choisir entre un outil interne et une plateforme SaaS ?

Le développement d'un outil de simulation de phishing en interne est techniquement possible, mais rarement justifié pour une PME. La maintenance des templates d'email, la gestion des domaines d'envoi, la conformité RGPD, l'analyse des résultats et la mise à jour des scénarios représentent une charge de travail significative. Une plateforme SaaS dédiée comme nophi.sh offre des scénarios prêts à l'emploi actualisés en permanence, des domaines d'envoi personnalisés, des parcours de remédiation automatisés, des tableaux de bord analytiques et la conformité réglementaire intégrée : pour un coût de 10 à 30 euros par utilisateur par an. La question n'est pas « pouvons-nous le faire en interne ? » mais « est-ce le meilleur usage du temps de notre équipe IT ? ».

Conclusion

La simulation de phishing reste l'outil le plus efficace pour ancrer les bons réflexes face au phishing. Les organisations qui simulent régulièrement réduisent leur taux de clic de 75 % en 12 mois (SANS Institute 2025). La clé : la progressivité. Commencez par une simulation simple pour établir votre baseline, montez en puissance avec des scénarios plus complexes et variés, et accompagnez chaque échec d'une remédiation bienveillante et immédiate.

Ne laissez pas la prochaine attaque de phishing être le premier test de vos équipes. Lancez votre première simulation en 15 minutes avec nophi.sh : domaines personnalisés, scénarios prêts à l'emploi, remédiation automatisée et tableau de bord analytique inclus.

Lancer votre première simulation | Découvrir la plateforme

Pour structurer un programme de formation complet autour de vos simulations, consultez notre guide de formation cybersécurité pour PME.

Articles similaires

Formation cybersécurité vs simulation de phishing : quelle différence, quelle efficacité ?

E-learning, ateliers présentiels, simulation de phishing : comparaison objective des méthodes de sensibilisation avec données d'efficacité et ROI pour les PME.

France Travail : 43 millions de données volées - Analyse complète

Retour détaillé sur le piratage de France Travail en mars 2024 : chronologie, données volées, failles exploitées, conséquences pour les 43 millions de victimes et leçons pour les entreprises.

Fraude au président et phishing ciblé : les arnaques les plus coûteuses en France

De Pathé (19,2 M€) à Vallourec (22 M€), retour sur les cas de fraude au président les plus chers en France. Techniques, jurisprudence, et comment protéger votre entreprise du BEC.