Cahier des charges pour choisir une solution anti-phishing : modèle et grille
Modèle de cahier des charges pour évaluer et choisir une solution de simulation de phishing. 10 critères pondérés, grille de notation, questions vendeur et signaux d'alerte.
Un responsable des achats d’une PME de services financiers reçoit trois démonstrations en deux semaines. Chaque éditeur lui montre des slides soignées, des clients grands comptes, des certifications. Il ne peut pas comparer : les démonstrations n’ont pas couvert les mêmes points, les tarifs sont formulés différemment, et aucun éditeur n’a abordé l’hébergement des données ou la qualité des scénarios en français. Il choisit la solution la plus connue. Six mois plus tard, ses équipes utilisent des scénarios de phishing traduits de l’anglais qui font sourire les collaborateurs francophones, et les rapports ne produisent pas les éléments attendus par son auditeur NIS2.
Ce scénario est évitable. Un cahier des charges structuré, rédigé avant le premier contact commercial, permet de comparer sur des bases identiques, d’éliminer les solutions inadaptées dès le départ, et de justifier le choix final à votre direction ou à un auditeur.
Ce guide vous donne la structure complète : les 10 critères à évaluer, une grille de notation prête à l’emploi, les questions à poser lors des démonstrations, et les signaux qui doivent vous faire reculer.
Pourquoi formaliser le processus de sélection
Trois raisons pratiques justifient de structurer la sélection avant d’entrer en contact avec les éditeurs.
Éviter l’influence commerciale. Les cycles de vente des éditeurs de sécurité sont construits pour court-circuiter l’évaluation rationnelle. Les démonstrations mettent en avant les points forts et esquivent les faiblesses. La pression sur les délais (« cette offre n’est valable que cette semaine ») pousse à décider trop vite. Un cahier des charges rédigé à froid, avant les démonstrations, fixe les critères indépendamment du discours commercial de chaque éditeur.
Comparer sur les mêmes bases. Sans critères définis à l’avance, chaque éditeur est évalué selon les attributs qu’il a choisi de mettre en avant. L’un vous impressionne sur l’interface graphique, l’autre sur la taille de sa bibliothèque, le troisième sur ses certifications. La grille d’évaluation garantit que vous posez les mêmes questions à tous et que les réponses sont notées de façon consistante.
Justifier la décision et protéger le contrat. Votre direction, votre DAF ou votre auditeur peut demander pourquoi vous avez retenu tel éditeur. Un tableau comparatif documenté répond sans ambiguïté. Un cahier des charges transmis à l’éditeur avant signature devient aussi une pièce du dossier contractuel : si la solution livrée ne correspond pas à ce qui a été évalué, vous disposez d’une base pour demander des ajustements.
Les 10 critères à évaluer
Ces critères couvrent l’ensemble des dimensions pertinentes pour une PME française évaluant une solution de simulation de phishing. Pour chaque critère, un descriptif, les questions à poser, et ce que les meilleures réponses ressemblent.
Critère 1 — Qualité et volume de la bibliothèque de scénarios
La bibliothèque de scénarios détermine la variété et le réalisme des campagnes que vous pourrez mener sur 12 mois. Une bibliothèque trop petite force à répéter les mêmes templates, ce qui entraîne un effet de reconnaissance chez les employés.
Ce que vous devez savoir : nombre total de scénarios disponibles, fréquence de mise à jour, couverture des différents types d’attaques (phishing email classique, fraude au président/BEC, pièces jointes malveillantes, quishing via QR code, smishing).
Bonne réponse : bibliothèque de plus de 200 scénarios, mise à jour mensuelle avec les dernières tendances d’attaque, couverture de l’ensemble des vecteurs.
Critère 2 — Localisation et pertinence des scénarios pour le contexte français
C’est l’un des critères les plus discriminants et l’un des moins bien couverts par les éditeurs anglo-saxons. Des scénarios traduits de l’anglais — même bien traduits — manquent de réalisme dans le contexte français.
Ce que vous devez savoir : combien de scénarios sont conçus pour le marché français (pas simplement traduits) ? La bibliothèque inclut-elle des usurpations d’organismes français — DGFIP, Ameli, La Poste, banques françaises, fournisseurs SaaS utilisés en France ? Les templates respectent-ils les conventions culturelles françaises (formules de politesse, ton, mise en page) ?
Bonne réponse : une équipe française qui crée des scénarios locaux en continu, avec des mises à jour liées à l’actualité des arnaques en France (faux Crit’Air, faux remboursements URSSAF, etc.).
Critère 3 — Capacités de reporting
Les rapports sont ce que vous présentez à votre direction et à vos auditeurs. Un tableau de bord limité vous rend aveugle sur les progrès réels.
Ce qu’il faut vérifier : indicateurs natifs (taux de clic, taux de signalement, complétion des formations, évolution dans le temps), segmentation par département ou groupe, exports PDF/Excel, rapport de conformité orienté NIS2 ou ISO 27001.
Bonne réponse : tableau de bord en temps réel, segmentation flexible, exports automatisés, rapport de conformité prêt pour les auditeurs.
Critère 4 — Facilité de déploiement et d’administration
Le temps administratif est un coût réel. Une plateforme qui requiert plusieurs semaines de configuration et l’intervention d’un consultant pour chaque campagne n’est pas adaptée à une PME.
Ce qu’il faut vérifier : durée de configuration de la première campagne, connecteur Active Directory/Azure AD natif, documentation de délivrabilité avec liste d’IP à whitelister.
Bonne réponse : première campagne en moins de deux heures, connecteur annuaire natif, documentation technique fournie d’emblée.
Critère 5 — Qualité du contenu de formation post-simulation
La simulation sans formation ne change pas les comportements. Le module déclenché immédiatement après un clic est le moment d’apprentissage le plus efficace. Sa qualité varie fortement d’un éditeur à l’autre.
Ce qu’il faut vérifier : modules en français, durée inférieure à 10 minutes (au-delà le taux de complétion chute), mises à jour régulières, possibilité d’ajouter du contenu maison, formation proactive et pas seulement réactive aux clics.
Bonne réponse : modules de 3 à 8 minutes, en français natif, mis à jour au rythme de la bibliothèque de scénarios.
Critère 6 — Intégrations techniques (SSO, SCIM, API)
Ce qu’il faut vérifier : SSO SAML ou OIDC compatible Microsoft 365 et Google Workspace, provisionnement SCIM pour synchroniser automatiquement les utilisateurs, API REST pour automatiser les rapports ou alimenter un SIEM.
Bonne réponse : SSO natif compatible avec les principaux IdP, SCIM documenté, API REST avec documentation publique.
Critère 7 — Hébergement des données (France/UE pour le RGPD)
Le lieu d’hébergement est une obligation réglementaire, pas un détail technique. Les données de simulation incluent des noms et emails d’employés — elles sont personnelles au sens du RGPD.
Ce qu’il faut vérifier : localisation des serveurs, DPA RGPD inclus sans frais supplémentaires, liste des sous-traitants et de leur localisation, absence de transfert hors UE.
Bonne réponse : hébergement exclusivement en France ou UE, DPA fourni par défaut, sous-traitants listés dans les conditions contractuelles.
Critère 8 — Reporting de conformité (NIS2, DORA, ISO 27001)
Certains éditeurs offrent des rapports de conformité clés en main ; d’autres vous laissent extraire les données brutes et les mettre en forme vous-même. Pour la conformité NIS2, la différence est significative lors d’un contrôle ANSSI.
Ce qu’il faut vérifier : rapports formatés pour les articles 21.2.f et 21.2.g de NIS2, couverture de l’obligation de l’article 20 pour la direction, documentation DORA si applicable.
Bonne réponse : rapports pré-formatés avec mapping des métriques sur les articles réglementaires concernés.
Critère 9 — Transparence du modèle tarifaire
Le coût total dépasse souvent le prix affiché. Suppléments fréquents : scénarios avancés, modules de formation supplémentaires, support prioritaire, intégrations techniques, utilisateurs au-delà d’un seuil.
Ce qu’il faut vérifier : tarif par utilisateur/mois ou forfaitaire par tranches, liste exhaustive des inclusions/exclusions, tarif publié sans appel commercial préalable, durée d’engagement minimale.
Bonne réponse : tarification publiée, inclusions clairement listées, engagement annuel pour le premier contrat. Consultez nos tarifs pour un exemple de transparence.
Critère 10 — Qualité du support
Ce qu’il faut vérifier : SLA par niveau de gravité, support disponible en français, canaux disponibles (email, chat, téléphone), base de connaissance pour l’auto-résolution.
Bonne réponse : SLA < 4 heures pour les blocages critiques, support en français aux heures ouvrées européennes.
Grille d’évaluation : modèle de notation pondérée
Cette grille est prête à l’emploi. Ajustez les coefficients selon votre contexte : si vous êtes soumis à NIS2, augmentez les coefficients des critères 7, 8 et 6. Si votre principal enjeu est la simplicité de déploiement dans une PME sans équipe IT interne, augmentez le coefficient du critère 4.
| Critère | Coefficient | Éditeur A | Éditeur B | Éditeur C |
|---|---|---|---|---|
| 1. Bibliothèque de scénarios | ×3 | /5 | /5 | /5 |
| 2. Localisation française | ×4 | /5 | /5 | /5 |
| 3. Reporting et tableaux de bord | ×3 | /5 | /5 | /5 |
| 4. Facilité de déploiement | ×2 | /5 | /5 | /5 |
| 5. Contenu de formation | ×3 | /5 | /5 | /5 |
| 6. Intégrations SSO/SCIM/API | ×2 | /5 | /5 | /5 |
| 7. Hébergement France/UE | ×4 | /5 | /5 | /5 |
| 8. Conformité NIS2/DORA/ISO | ×3 | /5 | /5 | /5 |
| 9. Transparence tarifaire | ×2 | /5 | /5 | /5 |
| 10. Qualité du support | ×2 | /5 | /5 | /5 |
| Score total | Max : 140 |
Mode de calcul : pour chaque critère, attribuez une note de 1 (inacceptable) à 5 (excellent), puis multipliez par le coefficient. Additionnez les scores pondérés pour obtenir le total sur 140.
Grille de lecture :
- 120-140 : solution très bien adaptée à votre contexte
- 90-119 : solution correcte, quelques lacunes à négocier contractuellement
- 60-89 : solution partielle, requiert des compromis importants
- Moins de 60 : solution inadaptée, à écarter
Questions à poser lors des démonstrations
Transmettez ces questions par écrit à l’éditeur une semaine avant la démo. Les réponses écrites permettent de comparer les formulations entre éditeurs et d’identifier ceux qui répondent par des généralités.
Sur la plateforme et les scénarios
- Combien de scénarios en français (conçus pour la France, pas traduits) sont disponibles aujourd’hui ?
- Quelle est la fréquence de mise à jour ? Pouvez-vous montrer les trois derniers scénarios ajoutés avec leur date ?
- Peut-on créer des scénarios usurpant nos outils internes (intranet, portail RH) ?
- Comment gérez-vous la délivrabilité pour éviter les blocages dans nos filtres de messagerie ?
Sur les données et la conformité
- Où sont hébergés les serveurs ? Liste de vos sous-traitants et de leur localisation ?
- Proposez-vous un DPA conforme RGPD ? Conditions de transfert hors UE ?
- Vos rapports documentent-ils la conformité aux articles 21.2.f et 21.2.g de NIS2 ?
Sur le contrat et le support
- Durée d’engagement minimale et conditions de résiliation anticipée ?
- En cas de résiliation, dans quel format et délai récupère-t-on nos données ?
- Le tarif proposé inclut-il tout ce qui est présenté en démo, ou y a-t-il des modules supplémentaires ?
- SLA pour un blocage critique ? Support disponible en français par quels canaux ?
Signaux d’alerte à surveiller
Ces comportements ou situations doivent vous rendre prudent, indépendamment du score final.
Engagement de 36 mois imposé dès le premier contrat. Les éditeurs qui exigent un engagement long avant que vous ayez eu le temps d’évaluer la solution misent sur l’inertie. Négociez un contrat annuel pour la première période.
Tarification opaque, non publiée, conditionnée à un appel commercial. Deux clients similaires peuvent payer des prix très différents chez le même éditeur. Ce manque de transparence se retrouve souvent ailleurs dans le contrat. Notre comparatif recense des exemples de tarification publiée.
Bibliothèque sans contenu en français natif. 500 scénarios traduits valent moins que 80 scénarios conçus pour la France. Si l’éditeur ne peut pas montrer des exemples d’usurpation d’organismes français avec une formulation naturelle, les simulations seront moins efficaces — et vos employés l’identifieront rapidement.
Hébergement aux États-Unis sans DPA conforme RGPD. Des DPA basés sur les SCCs sans mécanisme de contrôle peuvent être insuffisants lors d’un contrôle RGPD ou face aux exigences de votre assureur. L’ANSSI recommande un hébergement sur des infrastructures situées au minimum dans l’UE — voir cyber.gouv.fr.
Démonstration uniquement sur slides, sans accès à la plateforme. Cela préfigure soit un produit moins abouti que présenté, soit des difficultés de déploiement sans accompagnement.
Absence de canal de signalement intégré. Une plateforme sans bouton de signalement pour Outlook ou Gmail ne vous permettra pas de mesurer le taux de signalement, l’un des indicateurs de maturité les plus fiables.
Support uniquement en anglais avec SLA > 48 heures. Pour une PME sans équipe sécurité en interne, ce sont des obstacles réels lors du démarrage.
Comment nophi.sh se positionne sur ces critères
Cette section applique la grille précédente à nophi.sh. L’objectif est d’être transparent — y compris sur les points où d’autres solutions peuvent être meilleures selon votre contexte.
| Critère | Score | Note |
|---|---|---|
| Bibliothèque de scénarios | 3-4/5 | Volume inférieur aux grands éditeurs américains (KnowBe4, Proofpoint). Pertinence pour le contexte français supérieure. |
| Localisation française | 5/5 | Scénarios conçus pour la France, pas traduits. Mises à jour liées à l’actualité des attaques françaises. |
| Reporting | 4/5 | Tableau de bord temps réel, segmentation par département, exports PDF/CSV. Rapport NIS2 natif. Rapport DORA en développement. |
| Facilité de déploiement | 5/5 | Première campagne en moins d’une heure. Connecteurs Azure AD et Google Workspace natifs. |
| Contenu de formation | 4/5 | Modules en français de 3 à 7 minutes, déclenchés automatiquement post-clic. Catalogue e-learning plus limité que des plateformes généralistes. |
| Intégrations SSO/SCIM/API | 4/5 | SSO SAML, SCIM, API REST documentée. Connecteur natif Splunk prévu H2 2026. |
| Hébergement France/UE | 5/5 | Hébergement exclusivement en France (OVHcloud). DPA RGPD fourni par défaut. Aucun transfert hors UE. |
| Conformité NIS2/DORA/ISO | 4/5 | Rapports NIS2 et ISO 27001 disponibles nativement avec mapping réglementaire. DORA complet en développement. |
| Transparence tarifaire | 5/5 | Tarifs publiés sans rendez-vous commercial. Contrat annuel, résiliation documentée, portabilité des données. |
| Support | 4/5 | Support en français, SLA < 4 heures pour les blocages critiques. Support téléphonique non inclus dans les formules entrée de gamme. |
Le test de sécurité email gratuit vous permet d’évaluer votre posture de départ avant de choisir votre plateforme. L’essai gratuit de 14 jours donne accès à une première campagne de simulation — résultats disponibles dans les 48 heures, sans installation.
FAQ
Faut-il passer par un appel d’offres formel pour choisir une solution anti-phishing ?
Pour les entités publiques soumises au code de la commande publique, oui dès que les seuils sont atteints. Pour les PME privées, aucune obligation — mais un processus structuré reste utile à tout budget : il vous protège contre la décision sous influence commerciale et vous donne une base documentée pour justifier le choix devant votre direction ou vos auditeurs.
Quelle est la durée d’engagement standard ?
De 12 à 36 mois. Privilégiez un contrat annuel renouvelable pour le premier engagement : la solution qui convient aujourd’hui ne sera peut-être pas la même dans trois ans. Les éditeurs qui imposent 36 mois dès le départ comptent souvent sur l’inertie plutôt que sur la satisfaction client.
Comment évaluer la qualité des scénarios sans les tester ?
Demandez à voir la bibliothèque complète, pas un extrait sélectionné. Comptez les scénarios conçus pour la France (DGFIP, Ameli, banques françaises), pas simplement traduits de l’anglais. Vérifiez la présence de scénarios sur des événements récents — c’est le meilleur indicateur de la cadence de mise à jour.
Le lieu d’hébergement des données compte-t-il vraiment pour une PME ?
Oui. Le RGPD interdit les transferts de données personnelles hors UE sans garanties adéquates. Votre assureur cyber peut exclure les incidents impliquant des données hébergées hors EU. Pour les entités soumises à NIS2 ou DORA, des obligations de souveraineté renforcent encore cette exigence.
Peut-on demander un accès à la plateforme avant de signer ?
Oui, et c’est recommandé. Insistez pour une démo interactive : création d’un scénario test, envoi d’une campagne, consultation d’un rapport. Un éditeur qui refuse l’accès avant la signature envoie un signal sur la qualité du produit.
Comment justifier le choix devant la direction ?
La grille de notation pondérée est votre principal outil. Elle transforme une décision subjective en évaluation documentée avec des critères définis à l’avance et des scores consistants. Un document d’une page avec la grille et une note de synthèse suffit pour la plupart des directions de PME.
Quelle différence entre simulation de phishing et solution anti-phishing complète ?
La simulation envoie de faux emails pour mesurer la réactivité et déclencher des formations. C’est un outil de sensibilisation, pas de protection technique. Une solution complète englobe aussi les filtres email et la détection en temps réel. Si votre périmètre inclut la protection technique, ajoutez des critères spécifiques à l’intégration avec votre passerelle de messagerie. Notre page comparatif couvre les deux types de solutions.
La grille de notation téléchargeable et le questionnaire vendeur sont disponibles depuis votre compte nophi.sh. Si vous n’avez pas encore de compte, l’essai gratuit de 14 jours vous donne accès aux modèles de cahier des charges ainsi qu’à une première campagne de simulation pour tester la plateforme sur vos propres critères.
Sources
- ANSSI, Panorama de la cybermenace 2025 — cyber.gouv.fr
- ANSSI, Recommandations de sécurité pour les systèmes d’information — cyber.gouv.fr
- Directive (UE) 2022/2555 (NIS2), articles 20 et 21 — eur-lex.europa.eu
- Règlement (UE) 2016/679 (RGPD), articles 28 et 32 — eur-lex.europa.eu
- Règlement (UE) 2022/2554 (DORA), article 26 — eur-lex.europa.eu
- CNIL, Guide de la sécurité des données personnelles, 2024 — cnil.fr
- SANS Security Awareness Report 2025 — sans.org
- Verizon Data Breach Investigations Report 2025 — verizon.com
Tester la configuration email de votre domaine | Comparer les solutions du marché | Conformité NIS2 pour les PME