Skip to content
Retour au blog
phishingbenchmarksKPIcybersécurité

Taux de clic phishing : benchmarks par secteur et comment le réduire

Votre taux de clic est de 15% ? Découvrez les benchmarks phishing par secteur d'activité et la méthodologie pour passer sous les 2% en 3 mois.

Thomas Ferreira20 min de lecture

Quel est le taux de clic phishing acceptable pour votre entreprise ? Si vous ne connaissez pas la réponse, vous ne mesurez pas votre risque humain. Et si vous ne le mesurez pas, vous ne pouvez ni le piloter, ni le réduire.

Le taux de clic sur les simulations de phishing est l'indicateur clé (KPI) le plus direct de la sensibilisation cybersécurité. C'est le chiffre que votre comité de direction (COMEX) demande, que vos auditeurs vérifient, et que votre assureur cyber exige. Pourtant, la plupart des responsables sécurité (RSSI) de PME n'ont aucun benchmark sectoriel pour contextualiser leurs résultats. Un taux de clic de 12 %, c'est bien ou c'est catastrophique ? La réponse dépend de votre secteur, de votre maturité et de la difficulté de vos simulations.

Cet article fournit les benchmarks phishing par secteur d'activité basés sur les données des principaux rapports du marché, une méthodologie concrète pour passer de 16 % à moins de 2 % de taux de clic, et les KPIs complémentaires que vous devriez suivre au-delà du simple taux de clic.

Qu'est-ce que le taux de clic phishing et comment le mesurer ?

Définition

Le taux de clic phishing (ou « phishing click rate ») mesure le pourcentage d'employés qui cliquent sur un lien contenu dans un email de phishing simulé lors d'une campagne de sensibilisation.

Formule :

Taux de clic = (Nombre de clics / Nombre d'emails délivrés) × 100

Si vous envoyez une simulation à 200 employés et que 30 cliquent sur le lien, votre taux de clic est de 15 %.

Distinction avec les autres métriques

Le taux de clic n'est qu'une des métriques d'une simulation de phishing. Voici les principales et ce qu'elles mesurent :

  • Taux d'ouverture : % d'employés qui ouvrent l'email. Peu fiable comme indicateur de risque car ouvrir un email ne constitue pas un danger en soi.
  • Taux de clic : % d'employés qui cliquent sur le lien de phishing. C'est l'indicateur principal du risque humain.
  • Taux de soumission : % d'employés qui saisissent leurs identifiants sur la fausse page d'hameçonnage. Plus grave que le clic, car il implique une compromission réelle des identifiants.
  • Taux de signalement, % d'employés qui reportent l'email comme suspect. C'est l'indicateur de maturité, nous y reviendrons en détail plus bas.

Pourquoi c'est LE proxy du risque humain

82 % des violations de données impliquent l'élément humain (Verizon DBIR 2025). Le taux de clic phishing est le proxy le plus direct et le plus mesurable de cette vulnérabilité. Un taux de clic de 20 % signifie concrètement qu'en cas de campagne de phishing réelle, 1 employé sur 5 compromettrait potentiellement l'entreprise. Pour le panorama complet des statistiques du phishing en France : Phishing en entreprise : statistiques 2026.

Comment mesurer correctement

Pour que vos benchmarks soient comparables, standardisez vos conditions de simulation :

  1. Ne prévenez pas : une simulation annoncée ne mesure rien.
  2. Difficulté cohérente : comparez des simulations de difficulté équivalente entre elles.
  3. Envoi échelonné : n'envoyez pas à tous les employés simultanément (effet de bouche-à-oreille).
  4. Mesurez sur 48h : après 48 heures, les clics ne sont plus représentatifs.
  5. Excluez les absents : ne comptez que les emails effectivement délivrés.

Benchmarks par secteur d'activité

Voici les données consolidées à partir du rapport Proofpoint State of the Phish 2025, des benchmarks sectoriels KnowBe4 2025 et du rapport Verizon DBIR 2025. Ces chiffres représentent des moyennes observées sur des campagnes de difficulté standard (phishing générique, non personnalisé).

SecteurTaux de clic moyen (sans formation)Taux de clic (après 12 mois de programme)Amélioration
Finance et banque18 %3,2 %-82 %
Santé25 %4,8 %-81 %
Technologie et SaaS12 %1,5 %-87 %
Industrie et manufacturing22 %5,1 %-77 %
Services professionnels16 %2,8 %-82 %
Commerce et distribution20 %4,2 %-79 %
Éducation28 %6,5 %-77 %
Administration publique24 %5,8 %-76 %
Assurance15 %2,4 %-84 %
Transport et logistique21 %4,6 %-78 %

Sources : Proofpoint State of the Phish 2025, KnowBe4 Phishing Industry Benchmarking Report 2025, Verizon DBIR 2025. Moyennes arrondies.

Votre secteur est au-dessus de 20 % ? Mesurez le taux réel de votre équipe - résultats en 48 heures.

Analyse par secteur

Pourquoi la santé et l'éducation sont-elles les plus vulnérables ? Ces deux secteurs cumulent plusieurs facteurs de risque : une charge de travail élevée qui réduit la vigilance, un turnover important qui dilue les effets de la formation, et une culture numérique souvent moins développée. Selon Proofpoint, le secteur de la santé affiche le taux de clic initial le plus élevé car les professionnels de santé travaillent sous pression constante et traitent un volume considérable d'emails urgents : exactement le contexte que les attaquants exploitent.

Pourquoi la tech performe-t-elle mieux ? Les entreprises technologiques bénéficient d'une culture de sensibilisation préexistante, d'employés familiers avec les menaces numériques, et souvent de programmes de sécurité plus matures. Le taux de clic initial de 12 % est déjà inférieur à la moyenne tous secteurs confondus (environ 20 %). Après formation, la tech atteint 1,5 % : le benchmark d'excellence.

L'administration publique : un cas particulier. Avec un taux initial de 24 % et un taux post-formation de 5,8 %, le secteur public améliore ses résultats mais reste au-dessus de la moyenne. Les contraintes budgétaires, les processus d'achat longs et la résistance au changement organisationnel ralentissent le déploiement de programmes efficaces. Pour autant, la directive NIS2 impose désormais aux entités publiques essentielles les mêmes obligations de formation que le secteur privé. Consultez notre guide NIS2 pour les PME pour le détail des obligations.

Finance et assurance : des progrès rapides. Ces secteurs sont fortement réglementés (SOC2, DORA, NIS2) et les amendes potentielles créent une urgence qui accélère l'adoption. Résultat : des améliorations de 82 à 84 % après 12 mois de programme structuré.

Les 4 facteurs qui influencent le taux de clic

Votre taux de clic ne dépend pas uniquement de la « qualité » de vos employés. Quatre facteurs externes l'influencent considérablement, et les comprendre permet d'interpréter correctement vos résultats.

1. Difficulté du scénario

C'est le facteur le plus déterminant. Selon les données KnowBe4 2025, la différence de taux de clic entre un phishing générique (type « votre colis est en attente ») et un spear phishing personnalisé (nom du CEO, référence à un projet interne) est de 10 à 15 points de pourcentage. Un taux de clic de 8 % sur un scénario difficile est meilleur qu'un taux de 4 % sur un scénario facile.

Implication concrète : vos benchmarks internes doivent comparer des simulations de difficulté équivalente. Augmentez la difficulté progressivement pour tester les réflexes réels, mais ne comparez pas un résultat de spear phishing à un résultat de phishing générique.

2. Fréquence de formation

Selon le rapport SANS Security Awareness 2025, la fréquence de simulation a un impact direct et mesurable sur le taux de clic :

  • Simulations mensuelles : réduction moyenne de 75 % du taux de clic après 12 mois
  • Simulations trimestrielles : réduction de 50 %
  • Simulation annuelle unique : réduction de 15 à 20 % (effet quasi nul après 6 mois)

Sans rappels réguliers, les réflexes acquis en formation s'érodent en quelques mois (USENIX Security 2020). Seule la répétition ancre durablement les bons réflexes. Pour structurer un programme complet, consultez notre guide de formation cybersécurité pour PME.

3. Culture d'entreprise

Les entreprises qui adoptent une approche punitive (« name and shame », sanctions, affichage des noms) obtiennent paradoxalement de moins bons résultats que celles qui favorisent une culture du signalement.

Selon Proofpoint, les entreprises sans politique punitive ont un taux de signalement 3 fois supérieur à celles qui sanctionnent les échecs. Et un employé qui signale une menace réelle protège toute l'entreprise : ce qui a bien plus de valeur qu'un taux de clic de 1 % si personne ne signale rien.

4. Maturité du programme

Le facteur temps est souvent sous-estimé. Les données KnowBe4 montrent une progression claire selon l'ancienneté du programme :

  • Programme < 6 mois : taux de clic moyen de 12-18 %
  • Programme de 6 à 12 mois : taux de clic de 4-8 %
  • Programme de 1 à 2 ans : taux de clic de 2-4 %
  • Programme > 2 ans : taux de clic < 2 %

Si votre programme est récent, un taux de clic élevé est normal. L'important est la tendance, pas la valeur absolue.

Objectifs réalistes par phase

Voici une grille d'objectifs progressive pour piloter votre programme mois par mois. Ces cibles sont basées sur les trajectoires moyennes observées dans les entreprises de 50 à 500 employés ayant un programme de simulation mensuelle.

PhaseDuréeObjectif taux de clicObjectif taux de signalement
BaselineMois 1Mesurer le point de départMesurer le baseline
DébutMois 2-3Inférieur à 15 %Supérieur à 20 %
ProgressionMois 4-6Inférieur à 8 %Supérieur à 40 %
MaturitéMois 7-12Inférieur à 3 %Supérieur à 60 %
Excellence12+ moisInférieur à 2 %Supérieur à 75 %

Comment lire cette grille : si votre taux de clic est supérieur à l'objectif de votre phase, concentrez vos efforts sur la formation et les simulations. Si votre taux de signalement est inférieur à l'objectif, travaillez sur la culture du signalement (plugin de signalement, feedback positif, gamification).

Méthodologie pour passer de 16 % à moins de 2 %

Voici un plan d'action en 5 étapes, testé et validé sur des PME de 50 à 500 employés. Chaque étape s'appuie sur la précédente : ne sautez pas d'étape.

Étape 1 : Baseline honnête

Lancez votre première simulation sans prévenir personne. Utilisez un scénario de difficulté moyenne (type « mise à jour de mot de passe Microsoft 365 » ou « note de frais à valider »). Ce chiffre initial est votre référence : c'est l'actif le plus précieux de votre programme car il permettra de démontrer toute progression future.

Piège à éviter : ne commencez pas par un scénario trop facile pour « rassurer ». Un baseline artificiellement bas est inutile et trompeur.

Étape 2 : Quick wins : les 3 réflexes fondamentaux

Avant de lancer un programme complet, formez vos employés sur les 3 signaux d'alerte les plus basiques :

  1. Vérifier l'expéditeur : l'adresse email réelle (pas le nom d'affichage)
  2. Survoler les liens : vérifier l'URL avant de cliquer
  3. Se méfier de l'urgence : toute demande « urgente » doit être vérifiée

Un micro-module de 5 minutes sur ces 3 réflexes peut réduire significativement le taux de clic. C'est le meilleur retour sur investissement de tout le programme.

Étape 3 : Simulations de difficulté croissante

Lancez une simulation par mois en augmentant progressivement la difficulté :

  • Mois 1-2 : phishing générique (notification colis, facture, abonnement expiré)
  • Mois 3-4 : phishing contextuel (service interne de l'entreprise, outil utilisé quotidiennement)
  • Mois 5-6 : spear phishing (nom d'un collègue, référence à un projet réel)
  • Mois 7+ : BEC et scénarios multi-vecteurs (email + QR code, faux appel + email)

Pour un guide complet sur la mise en place de simulations, consultez notre guide de simulation de phishing en entreprise.

Étape 4 : Ciblage des récidivistes

Après 3 mois de simulations, identifiez le « top 10 % » : les employés qui ont cliqué sur plusieurs simulations consécutives. Ces récidivistes représentent un risque disproportionné et nécessitent une attention particulière :

  • Formation renforcée automatique après chaque échec
  • Simulations supplémentaires ciblées (fréquence bimensuelle au lieu de mensuelle)
  • Entretien individuel avec le manager si le comportement persiste après 3 échecs

Selon KnowBe4, cibler les 10 % de récidivistes réduit le taux de clic global de 2 à 3 points de pourcentage : un impact disproportionné par rapport à l'effort investi.

Étape 5 : Culture du signalement

La dernière étape, et la plus importante, consiste à faire passer vos employés de cibles passives à capteurs actifs. Concrètement :

  • Plugin de signalement en 1 clic dans Gmail ou Outlook : le signalement doit être aussi facile que le clic
  • Feedback immédiat : quand un employé signale une simulation, affichez un message de remerciement (« C'était une simulation. Bravo, vous avez le bon réflexe ! »)
  • Gamification positive : classement par équipes (jamais individuel) sur le taux de signalement : pas sur le taux de clic
  • Communication régulière : partagez les résultats agrégés (« Ce mois-ci, 67 % des simulations ont été signalées : bravo ! »)

Pour aller plus loin, découvrez comment notre solution de détection IA analyse chaque signalement pour améliorer la protection.

Le taux de signalement : le KPI que tout le monde oublie

Pourquoi c'est plus important que le taux de clic

Un taux de clic de 2 % est excellent. Mais si aucun employé ne signale les emails suspects, votre entreprise est vulnérable aux vrais phishing qui passeront inévitablement les filtres techniques.

Le taux de signalement mesure la capacité de vos employés à détecter ET réagir. Un employé qui signale un vrai phishing protège toute l'entreprise. Un employé qui ne clique pas mais ne signale pas non plus ne protège que lui-même.

Benchmarks de signalement

Selon Proofpoint State of the Phish 2025 :

  • Entreprises sans programme : taux de signalement de 5-10 %
  • Programme débutant (< 6 mois) : 15-25 %
  • Programme mature (6-12 mois) : 40-55 %
  • Programme d'excellence (12+ mois) : 60-80 %
  • Meilleur benchmark observé : 92 % (entreprise tech de 200 employés, programme actif depuis 3 ans)

Comment augmenter le taux de signalement

Les moyens les plus efficaces, par ordre d'impact :

  1. Réduire la friction : un bouton « Signaler » intégré dans le client email. Chaque clic supplémentaire réduit le taux de signalement de 10 à 15 %.
  2. Feedback immédiat : confirmez le signalement en temps réel. Les employés qui reçoivent un retour signalent 2 fois plus que ceux qui envoient un email dans le vide.
  3. Valoriser publiquement : mentionnez le taux de signalement dans les communications internes. « L'équipe finance a signalé 85 % des simulations ce mois-ci » est plus motivant que « L'équipe commerce a cliqué 12 fois ».

Comment présenter ces résultats à votre direction

Le format

Votre COMEX ne veut pas un tableau Excel avec 15 métriques. Il veut trois choses :

  1. Un chiffre principal : le taux de clic (avec la tendance sur les 6 derniers mois)
  2. Un benchmark : « Nous sommes à 4 % vs 18 % de moyenne dans notre secteur »
  3. Un ROI : « Le programme coûte 20 000 €/an. Le coût moyen d'un incident est de 120 000 €. Notre risque a été réduit de 80 %. »

Le rapport idéal

Un rapport mensuel d'une page avec :

  • Taux de clic du mois + courbe de tendance sur 6-12 mois
  • Taux de signalement du mois + courbe de tendance
  • Benchmark sectoriel : position de l'entreprise vs la moyenne du secteur
  • Score de risque par département (identifier les points chauds)
  • Actions du mois suivant : scénarios prévus, formations planifiées

Présentez ce rapport en réunion de direction une fois par trimestre. Envoyez-le par email chaque mois. L'objectif est de démontrer que la cybersécurité est gérée activement, pas subie.

Questions fréquentes

Quel est un bon taux de clic phishing ?

Un bon taux de clic phishing dépend de la maturité de votre programme. En dessous de 5 %, vous êtes dans la bonne fourchette. En dessous de 2 %, vous atteignez l'excellence. Selon les benchmarks KnowBe4 2025, la moyenne tous secteurs confondus est de 18 % sans formation et de 4,1 % après 12 mois de programme. Si votre taux est supérieur à 10 %, vous avez un risque humain élevé qui nécessite une action immédiate.

Comment comparer mon taux de clic à mon secteur ?

Utilisez le tableau de benchmarks par secteur de cet article comme référence. Pour une comparaison plus fine, assurez-vous que la difficulté de vos simulations est comparable à celle des benchmarks (phishing générique, non personnalisé). Les plateformes de simulation comme nophi.sh fournissent des benchmarks sectoriels intégrés qui sont régulièrement mis à jour.

Faut-il viser 0 % de taux de clic ?

Non. Un taux de clic de 0 % signifie soit que vos simulations sont trop faciles, soit que vos employés ont appris à reconnaître vos templates de simulation (et non le phishing en général). Visez moins de 2 % sur des scénarios de difficulté réaliste. Un programme qui maintient 1-2 % de taux de clic avec des scénarios difficiles est plus efficace qu'un programme à 0 % avec des scénarios basiques.

Comment mesurer le taux de clic sans biaiser les résultats ?

Quatre règles : ne prévenez jamais de la simulation à l'avance, envoyez de manière échelonnée sur 24-48 h (pas tous en même temps), utilisez des domaines d'envoi crédibles (pas des domaines génériques reconnaissables), et variez les scénarios pour éviter l'effet d'habituation. Si vos employés disent « encore un test phishing de la DSI », vos simulations sont trop prévisibles.

Quelle est la différence entre taux de clic et taux de soumission ?

Le taux de clic mesure qui clique sur le lien. Le taux de soumission mesure qui va plus loin en saisissant ses identifiants sur la page d'hameçonnage. Le taux de soumission est toujours inférieur au taux de clic (en moyenne 30-50 % des cliqueurs soumettent leurs identifiants). Le taux de soumission est l'indicateur de gravité : il mesure les employés qui auraient réellement compromis leurs identifiants lors d'une attaque réelle.

Conclusion

Le taux de clic phishing est le point de départ, pas la destination. C'est le KPI le plus visible et le plus compréhensible pour piloter un programme de sensibilisation. Mais le véritable indicateur de maturité cyber de votre entreprise est le taux de signalement : la capacité de vos employés à détecter une menace et à la signaler activement.

Les benchmarks de cet article vous donnent une référence pour contextualiser vos résultats. La méthodologie en 5 étapes vous donne un plan d'action pour les améliorer. Et les objectifs par phase vous donnent un calendrier réaliste pour y arriver.

Pour démontrer le ROI de votre programme à votre direction, consultez notre article sur le ROI de la sensibilisation cybersécurité. Et pour choisir la bonne plateforme, notre guide pour choisir sa solution.

Lancez votre première simulation de benchmarking - comparez vos résultats aux benchmarks de votre secteur.

Articles similaires

France Travail : 43 millions de données volées - Analyse complète

Retour détaillé sur le piratage de France Travail en mars 2024 : chronologie, données volées, failles exploitées, conséquences pour les 43 millions de victimes et leçons pour les entreprises.

Fraude au président et phishing ciblé : les arnaques les plus coûteuses en France

De Pathé (19,2 M€) à Vallourec (22 M€), retour sur les cas de fraude au président les plus chers en France. Techniques, jurisprudence, et comment protéger votre entreprise du BEC.

QR codes malveillants, deepfakes vocaux, SMS piégés : les nouvelles formes de phishing en 2026

Quishing, vishing par deepfake, smishing, phishing IA : les 5 nouvelles menaces qui contournent les défenses classiques. Comment les reconnaître et s'en protéger.