Vous êtes responsable informatique, DPO ou référent qualité. Vous savez que votre entreprise est vulnérable au phishing. Vous avez les données. Vous avez la solution. Et pourtant, le budget est bloqué.

La réalité, c’est que convaincre une direction d’investir en cybersécurité n’est pas un problème technique. C’est un problème de communication. Votre direction ne pense pas en termes de taux de clic ou de vecteurs d’attaque. Elle pense en termes de risques, d’obligations et de retour sur investissement.

Ce guide vous donne les arguments, les chiffres et la structure pour présenter un business case que votre direction pourra approuver. Vous trouverez ici les objections les plus fréquentes, les données qui font bouger les lignes, un calcul de ROI simple à reproduire, et un plan de présentation prêt à l’emploi.

L’objectif : que vous repartiez de cette réunion avec un accord — ou au moins une expérimentation.

Pourquoi la direction résiste

Avant de préparer votre argumentaire, identifiez l’objection que vous allez affronter. Les quatre objections classiques ont chacune leur réponse.

« Ça n’arrive qu’aux grands groupes »

C’est l’objection la plus fréquente et la plus fausse. En réalité, les PME sont plus ciblées que les grandes entreprises, pas moins. Elles cumulent trois caractéristiques qui en font des cibles de choix pour les attaquants : des données de valeur (clients, fournisseurs, données financières), des défenses plus légères que les grands groupes, et des équipes souvent peu formées à la détection.

La donnée qui contredit l’objection : selon l’ANSSI, 43 % des PME françaises ont été la cible d’une attaque de phishing en 2025. La Confédération des PME (CPME) estime que 1 PME sur 2 a subi au moins un incident cyber en 2024. Les attaquants ne cherchent pas les entreprises les plus grandes. Ils cherchent les plus faciles à compromettre.

« On a déjà un antivirus »

Un antivirus protège contre les logiciels malveillants connus. Il ne protège pas contre un employé qui saisit ses identifiants sur une fausse page de connexion. Ces deux menaces sont différentes.

Les filtres anti-spam et les solutions de sécurité email arrêtent une grande partie des tentatives. Mais selon le rapport Verizon DBIR 2025, 91 % des cyberattaques commencent par un email de phishing, et les techniques d’évasion progressent plus vite que les filtres. Un email qui passe les filtres et atterrit dans une boîte de réception ne sera stoppé que par l’employé qui le lit.

« Pas le budget »

Cette objection appelle une réponse chiffrée, pas émotionnelle. Un programme de simulation de phishing coûte entre 1 200 et 3 000€ par an pour une PME. Le coût moyen d’un incident cyber pour une PME française est de 59 000€ selon le baromètre CESIN 2025. Pour que l’investissement se justifie, il suffit d’éviter un seul incident tous les 20 à 50 ans.

La vraie question n’est pas « est-ce qu’on a le budget ? » mais « quel est le coût du risque si on ne fait rien ? »

« L’IT gère déjà »

Votre équipe informatique gère les outils techniques. Elle ne peut pas former les 50, 100 ou 300 employés de l’entreprise à reconnaître un email frauduleux. La sensibilisation n’est pas une tâche IT : c’est une démarche organisationnelle qui concerne chaque collaborateur, de la comptabilité à la direction.

De plus, dans la grande majorité des PME, la personne qui gère l’IT n’a pas le mandat ni le temps d’orchestrer des programmes de simulation, de suivre les métriques et de reporter à la direction. C’est précisément ce que couvre un programme externalisé.

Les chiffres qui font bouger les dirigeants

Les arguments généraux ne suffisent pas. Votre direction prend des décisions sur des chiffres. Voici les données à avoir en main — avec leurs sources, pour que vous puissiez les citer.

43 % des PME françaises ciblées par phishing en 2025 (ANSSI, Panorama de la cybermenace 2025, cyber.gouv.fr). Ce n’est plus un risque théorique. C’est une statistique qui place votre entreprise, statistiquement, dans la catégorie des cibles probables.

59 000€ de coût moyen par incident cyber pour une PME française (Baromètre CESIN 2025). Ce chiffre inclut les coûts directs — restauration des systèmes, rançon éventuelle, frais de gestion de crise — et les coûts indirects : perte de productivité, préjudice commercial, atteinte à la réputation.

60 % des PME victimes d’une cyberattaque cessent leur activité dans les 18 mois (Hiscox Cyber Readiness Report 2025). C’est l’argument qui transforme la cybersécurité en question de survie. Une cyberattaque n’est pas seulement un coût ponctuel. Pour une PME, elle peut être un événement fatal.

Sanctions NIS2 : jusqu’à 10 millions d’euros ou 2 % du chiffre d’affaires mondial pour les entités essentielles. Pour les entités importantes, jusqu’à 7 millions d’euros ou 1,4 % du CA. Pour une PME réalisant 20 millions d’euros de chiffre d’affaires dans un secteur couvert, l’amende potentielle peut dépasser 400 000€. Consultez notre guide de conformité NIS2 pour vérifier si votre entreprise est dans le périmètre.

Les assureurs refusent la couverture sans preuve de sensibilisation. Depuis 2023, les principaux assureurs cyber français intègrent dans leurs questionnaires des questions sur les programmes de formation des employés. Absence de programme = exclusions de garantie, franchise majorée, ou refus. Certains assureurs réduisent la prime en échange de preuves d’un programme actif. Voir notre page sur l’assurance cyber.

4,88 millions de dollars de coût moyen d’une violation de données à l’échelle mondiale (IBM Cost of a Data Breach 2025). Pour les entreprises de moins de 500 employés, ce chiffre descend autour de 3,31 millions de dollars — mais il reste très largement supérieur au coût d’un programme de prévention.

À retenir pour votre présentation : ne citez pas tous ces chiffres. Sélectionnez les deux ou trois qui résonnent le mieux avec la réalité de votre entreprise — son secteur, sa taille, son assureur. La précision est plus convaincante que l’exhaustivité.

Le ROI de la simulation de phishing

Le calcul du retour sur investissement de la sensibilisation est simple. Voici comment le formuler en deux minutes devant votre direction.

Le coût du programme

Un programme de simulation de phishing pour une PME de 50 à 200 employés coûte entre 99 et 249€ par mois, soit 1 200 à 3 000€ par an. Ce budget couvre les campagnes de simulation, les modules de formation automatisés déclenchés après chaque clic, et les tableaux de bord de suivi. Consultez nos tarifs pour les chiffres précis selon la taille de votre équipe.

Le coût d’un incident évité

Le coût moyen d’un incident cyber pour une PME française est de 59 000€ (CESIN 2025). Ce chiffre couvre :

Restauration des systèmes : intervention d’un prestataire, coût des sauvegardes, remise en état du parc
Perte de productivité : arrêt ou ralentissement de l’activité pendant la remédiation (souvent plusieurs jours)
Frais de gestion de crise : communication, conseil juridique, notification CNIL
Préjudice commercial : commandes perdues, contrats résiliés, retards de livraison
Atteinte à la réputation : difficile à chiffrer, mais réelle et durable

Le calcul de rentabilité

Élément	Montant
Coût du programme de sensibilisation	1 200 à 3 000 € / an
Coût moyen d’un incident cyber PME (CESIN)	59 000 €
Seuil de rentabilité	Éviter 1 incident tous les 20 à 50 ans

En d’autres termes : si votre programme de sensibilisation évite un seul incident sur les 20 prochaines années, il est rentable. Sachant que 43 % des PME sont ciblées chaque année, et que les taux de clic sans formation tournent souvent autour de 20 à 30 %, les probabilités jouent clairement en votre faveur.

Les bénéfices additionnels

Le ROI direct n’est pas le seul argument. Trois bénéfices complémentaires méritent d’être mentionnés :

Réduction de la prime d’assurance cyber : plusieurs assureurs accordent des remises de 10 à 20 % sur la prime cyber en échange d’un programme de sensibilisation documenté. Sur une prime de 5 000€ par an, c’est 500 à 1 000€ d’économie directe — soit un tiers à la moitié du coût du programme.

Conformité NIS2 et RGPD : un programme de simulation produit des métriques documentées (taux de clic, taux de signalement, progression dans le temps) qui constituent une preuve de conformité aux articles 21.2.f et 21.2.g de NIS2, et à l’article 32 du RGPD sur les mesures organisationnelles de sécurité.

Réduction du volume de tickets IT : les employés formés signalent les emails suspects au lieu de cliquer ou de ne rien faire. Moins de compromissions de compte = moins d’interventions de réinitialisation, moins de nettoyages de postes infectés, moins de temps passé en gestion de crise.

Cadrer le budget comme une conformité, pas une dépense

La façon dont vous présentez le budget détermine souvent l’issue de la réunion. « Investir dans la cybersécurité » est un arbitrage discrétionnaire. « Respecter nos obligations légales » est une nécessité.

Ce que dit NIS2

La directive NIS2, transposée en droit français en 2025, impose aux entités concernées deux obligations directement liées à la sensibilisation :

Article 21.2.g : les entités doivent mettre en place des « pratiques de base en matière de cyber-hygiène et de formation à la cybersécurité ». Ce n’est pas une recommandation. C’est une obligation légale. Pour les entreprises dans le périmètre NIS2 — grosso modo les entreprises de plus de 50 employés dans les secteurs couverts — ne pas avoir de programme de formation est un manquement à la directive.

Article 20 : les membres de la direction des entités concernées doivent « approuver les mesures de gestion des risques » et « suivre une formation » pour être en mesure d’évaluer les risques cyber. La cybersécurité est devenue un sujet de gouvernance, pas seulement un sujet IT.

Ce que dit le RGPD

L’article 32 du RGPD oblige les responsables de traitement à « mettre en œuvre les mesures techniques et organisationnelles appropriées afin de garantir un niveau de sécurité adapté au risque ». La sensibilisation des employés est explicitement citée par la CNIL comme l’une de ces mesures organisationnelles. Après une violation de données causée par un phishing, l’absence de formation des employés sera un facteur aggravant dans l’évaluation de la sanction.

Ce que demandent les assureurs

Depuis la vague de sinistres cyber de 2020-2023, les assureurs ont durci leurs conditions. Les questionnaires de souscription posent désormais des questions directes : « Réalisez-vous des simulations de phishing ? », « Formez-vous vos employés à la détection d’emails frauduleux ? », « Disposez-vous de rapports documentant ces actions ? »

Répondre « non » à ces questions peut entraîner une exclusion des garanties liées au phishing et à l’ingénierie sociale — c’est-à-dire les scénarios les plus fréquents.

Le message à transmettre à votre direction : ce budget n’est pas une dépense optionnelle. C’est le coût de mise en conformité avec des obligations légales (NIS2, RGPD) et contractuelles (assurance). Le présenter comme un choix discrétionnaire est inexact.

Le pilote à zéro risque

La meilleure façon de convaincre votre direction, c’est de lui montrer des données issues de votre propre entreprise. Pas des statistiques génériques, pas des cas d’usage d’autres entreprises : le taux de clic réel de vos propres employés.

Étape 1 : le test de sécurité email gratuit

Avant même de parler de budget, faites réaliser un test de sécurité email gratuit sur votre domaine. Ce test vérifie en quelques secondes si votre entreprise est protégée contre l’usurpation d’identité par email (SPF, DKIM, DMARC).

Si les résultats sont mauvais — et ils le sont souvent — vous disposez d’une première démonstration concrète : « Voilà ce qu’un attaquant peut faire avec notre domaine aujourd’hui. »

Étape 2 : l’essai gratuit de 14 jours

nophi.sh propose un essai gratuit de 14 jours, sans engagement et sans carte bancaire. En deux semaines, vous pouvez lancer une première campagne de simulation de phishing sur un groupe pilote de 10 à 20 personnes, et collecter des données réelles.

Ce que vous obtenez à la fin de ces 14 jours :

Le taux d’ouverture des emails simulés dans votre entreprise
Le taux de clic sur les liens frauduleux
Le taux de signalement (combien d’employés ont signalé l’email suspect)
Les profils de risque par département

Ces données ont un pouvoir de persuasion bien supérieur à n’importe quelle statistique nationale. « 23 % de nos employés ont cliqué sur notre simulation » est plus percutant que « 43 % des PME sont ciblées ».

Étape 3 : présenter les résultats comme point de départ, pas comme accusation

Un point d’attention : ne présentez pas ces résultats comme une preuve que vos employés sont incompétents ou que l’IT a failli. Présentez-les comme le point de départ d’un programme d’amélioration. Un taux de clic de 20 % aujourd’hui, c’est 5 % dans 6 mois avec le bon programme. C’est ce que vous allez démontrer.

Modèle de présentation à la direction

Voici la structure d’une présentation de 20 à 30 minutes, organisée en 10 points. Elle peut être adaptée à un deck de slides ou à une note de synthèse écrite.

Point 1 — Le contexte menace Commencez par des données sectorielles récentes. Quel est le niveau d’exposition des entreprises de votre secteur et de votre taille ? Utilisez le Panorama de la cybermenace ANSSI, le Baromètre CESIN, et si possible un rapport sectoriel spécifique. L’objectif : ancrer la réalité de la menace, sans catastrophisme.

Point 2 — Notre exposition réelle Présentez les résultats du test de sécurité email de votre domaine, et si vous avez lancé un pilote, les résultats de la première simulation. Ce point transforme le problème abstrait en réalité concrète de votre entreprise.

Point 3 — Les chiffres du coût 59 000€ de coût moyen par incident (CESIN). 60 % des PME victimes cessent sous 18 mois (Hiscox). 4,88 millions de dollars de coût moyen d’une violation de données mondiale (IBM). Traduisez ces chiffres en impact potentiel pour votre entreprise : perte de revenus, coût de remédiation, préjudice clients.

Point 4 — Nos obligations NIS2 article 21.2.g et article 20. RGPD article 32. Exigences des assureurs. Présentez ces obligations comme des contraintes externes — pas comme votre opinion. « Nous ne choisissons pas de faire ça, nous y sommes tenus. »

Point 5 — La solution proposée Présentez la simulation de phishing comme l’outil qui répond simultanément aux trois contraintes : réduction du risque, conformité réglementaire, exigence des assureurs. Expliquez le mécanisme en deux phrases : des emails simulés envoyés aux employés, une formation automatique déclenchée pour ceux qui cliquent, des métriques documentées.

Point 6 — Le budget Annoncez le chiffre directement, sans ambiguïté : entre 1 200 et 3 000€ par an selon la taille de l’équipe. Comparez-le immédiatement au coût d’un incident (59 000€) pour contextualiser.

Point 7 — Le ROI Reprenez le calcul de la section précédente. Le seuil de rentabilité est d’éviter un incident tous les 20 à 50 ans. Ajoutez les bénéfices additionnels : réduction potentielle de la prime d’assurance, conformité réglementaire, réduction des tickets IT.

Point 8 — Le plan par étapes Proposez une montée en charge progressive pour réduire la perception de risque :

Mois 1 : audit email gratuit + essai 14 jours, pilote sur 10 à 20 personnes
Mois 2-3 : première campagne de simulation sur l’ensemble de l’entreprise, collecte des métriques initiales
Mois 4+ : déploiement du programme complet, campagnes trimestrielles, reporting à la direction

Point 9 — Le pilote sans engagement Proposez de commencer par l’essai gratuit de 14 jours. La direction n’a rien à approuver financièrement à ce stade. Elle voit les données réelles de son entreprise avant de prendre une décision.

Point 10 — Les prochaines étapes Terminez par un appel à l’action simple et concret. « Je propose de lancer l’essai gratuit dès cette semaine. Dans 14 jours, je vous présente les résultats et vous décidez de la suite. » Une décision à deux semaines est plus facile à obtenir qu’un budget annuel.

Les erreurs à éviter

Quelques erreurs fréquentes peuvent compromettre même le meilleur argumentaire.

Miser uniquement sur la peur. Les statistiques alarmistes ont un effet contre-productif au-delà d’un certain seuil : elles génèrent de la paralysie, pas de l’action. Ancrez toujours chaque chiffre effrayant sur une action concrète et accessible. « Le risque est X, mais la solution coûte Y et prend Z semaines à mettre en place. »

Demander trop dès le départ. Ne présentez pas un programme complet avec toutes les options avancées dans une première réunion. Commencez par le minimum viable : l’essai gratuit, puis le programme de base. La progression se construit sur des résultats démontrés, pas sur des promesses.

Utiliser du vocabulaire technique. Phishing, vishing, spear phishing, BEC, DMARC, SPF… Votre direction n’a pas besoin de ces termes pour prendre une décision budgétaire. Traduisez : « un email frauduleux qui usurpe l’identité d’un fournisseur », « une fausse page de connexion ». La clarté est plus convaincante que la précision technique.

Présenter sans données de votre entreprise. C’est l’erreur la plus commune. Les statistiques nationales sont utiles pour contextualiser, mais elles ne remplacent pas les données réelles de votre propre organisation. Lancez l’essai gratuit avant la réunion, et présentez vos propres chiffres. L’impact est sans comparaison.

Mettre la direction en position d’accusée. Si vos employés cliquent sur des emails frauduleux, c’est parce que les attaquants sont efficaces — pas parce que la direction a mal géré. Évitez tout ce qui pourrait être perçu comme une critique des décisions passées. Vous êtes là pour proposer une solution, pas pour pointer des défaillances.

Questions fréquentes

En combien de temps voit-on les effets de la sensibilisation ?

Les résultats sont mesurables rapidement. Après une première campagne de simulation, les entreprises observent en général une baisse du taux de clic de 40 à 60 % dès la deuxième campagne, selon les données internes nophi.sh. Sur 6 à 12 mois de programme continu, les taux descendent fréquemment sous les 5 %. La direction peut suivre l’évolution en temps réel via les tableaux de bord.

Que répondre si la direction dit qu’elle n’a pas le budget ?

Ramenez la question à son coût d’opportunité : un programme de simulation coûte entre 100 et 250€ par mois. Un seul incident de phishing coûte en moyenne 59 000€ selon le CESIN. À cette échelle, le programme se rembourse en évitant un incident tous les 20 à 50 ans. Proposez ensuite un pilote gratuit de 14 jours : il ne coûte rien et fournit des données concrètes sur la vulnérabilité réelle de l’entreprise.

Quel est le budget minimum pour démarrer un programme de sensibilisation ?

Le minimum viable est un programme de simulation seul, à partir de 99€ par mois pour une entreprise jusqu’à 50 employés, soit environ 1 200€ par an. Ce tarif couvre les campagnes de simulation, les modules de formation post-clic et les tableaux de bord de suivi. Consultez nos tarifs pour les chiffres précis selon la taille de votre équipe.

Comment présenter le sujet sans que ça ressemble à une critique de l’IT ?

Cadrez le sujet comme un risque métier, pas un problème technique. La direction n’est pas en cause, ni l’IT : 91 % des attaques commencent par un email (Verizon DBIR 2025), et aucun filtre technique ne les arrête toutes. La sensibilisation des employés est la dernière ligne de défense. C’est une décision stratégique, pas un aveu d’échec.

Comment trouver des données de référence pour mon secteur ?

Les meilleures sources par secteur sont : le Baromètre CESIN (cesin.fr) pour les grandes tendances françaises, les rapports sectoriels de l’ANSSI (cyber.gouv.fr), le Verizon DBIR pour les benchmarks internationaux par secteur, et les rapports des fédérations professionnelles de votre secteur. Le rapport IBM Cost of a Data Breach 2025 fournit des coûts moyens par secteur.

Les assureurs exigent-ils vraiment une preuve de formation pour accorder une couverture cyber ?

De plus en plus, oui. Depuis 2023-2024, les principaux assureurs français (Allianz, AXA, Hiscox, Chubb) intègrent dans leurs questionnaires des questions sur la sensibilisation des employés et les simulations de phishing. L’absence de programme documenté peut entraîner une exclusion de garantie, une franchise majorée ou un refus de couverture. Certains assureurs acceptent également de réduire la prime en échange de preuves d’un programme actif.

NIS2 impose-t-elle vraiment la sensibilisation ou est-ce facultatif ?

L’article 21.2.g de la directive NIS2 impose explicitement aux entités concernées de mettre en place des « pratiques de base en matière de cyber-hygiène et de formation à la cybersécurité ». C’est une obligation, pas une recommandation. De plus, l’article 20 impose aux membres de la direction de suivre eux-mêmes une formation pour être en mesure d’évaluer les risques cyber. Pour les entreprises dans le périmètre NIS2, présenter le budget sensibilisation comme une dépense optionnelle est inexact : c’est une obligation légale.

Convaincre sa direction n’est pas une question de technique. C’est une question de langage. Votre direction pense en risques, en obligations et en chiffres. Donnez-lui les données dans ce format, montrez-lui les chiffres de son propre entreprise, et proposez-lui une première étape sans engagement.

Commencez par le test de sécurité email gratuit — résultats en 30 secondes, sans compte requis. Puis lancez un essai de 14 jours. Vous aurez les données dont vous avez besoin pour la réunion la plus importante de votre programme de sécurité.

Démarrer l’essai gratuit de 14 jours — simulation de phishing, formation automatisée, rapport de conformité inclus.