Mesurer l'efficacité de votre programme de sensibilisation : KPI et benchmarks
Les indicateurs clés pour mesurer l'efficacité de votre programme de sensibilisation au phishing. Benchmarks par secteur, tableaux de bord et reporting pour la direction.
Vous lancez des campagnes de simulation de phishing depuis six mois. Vous formez vos employés. Vous savez que ça fonctionne — mais quand votre direction vous demande de le démontrer avec des chiffres, vous n’avez pas de réponse claire.
C’est le problème le plus fréquent dans les programmes de sensibilisation : on mesure mal, ou on ne mesure pas. Résultat, un programme qui réduit réellement le risque passe pour une dépense sans résultat démontrable.
Ce guide vous donne les 5 indicateurs qui comptent, les benchmarks par secteur pour vous situer, et la structure du tableau de bord que vous présenterez à votre direction chaque trimestre. Avec ces outils, votre programme cesse d’être un coût et devient une ligne de défense dont vous pouvez mesurer le rendement.
Pourquoi mesurer l’efficacité de votre programme
« What gets measured gets managed. » C’est vrai en gestion, et c’est particulièrement vrai en sécurité humaine.
Sans métriques, votre programme de simulation de phishing est une boîte noire : vous dépensez un budget, vous envoyez des emails simulés, vous espérez que les comportements changent. Votre direction voit un coût. Elle ne voit pas de résultat.
Avec des métriques, la conversation change. Vous présentez une tendance : taux de clic passé de 28 % à 9 % en 12 mois, taux de signalement passé de 3 % à 54 %, score de risque humain en baisse de 61 points. Votre direction voit une réduction de risque documentée, un ROI calculable, et une preuve de conformité.
Ce que la réglementation attend
La directive NIS2 (article 21.2.g) impose aux entités concernées des « pratiques de base en matière de cyber-hygiène et de formation à la cybersécurité ». Ce n’est pas suffisant d’organiser des formations : vous devez pouvoir prouver qu’elles existent et qu’elles produisent des résultats. Les métriques de votre programme sont cette preuve.
Le règlement DORA, applicable aux entités financières, va dans le même sens : il exige des programmes de sensibilisation documentés et des tests réguliers des comportements. L’ISO 27001, dans sa version 2022, intègre la mesure de l’efficacité des contrôles humains parmi les exigences de l’annexe A.
Ce que les assureurs examinent
Depuis 2023, les principaux assureurs cyber français intègrent dans leurs questionnaires de souscription des questions sur les programmes de simulation de phishing. « Réalisez-vous des simulations de phishing ? », « Suivez-vous le taux de clic dans le temps ? », « Disposez-vous de rapports documentant la progression ? »
Répondre « oui » avec des métriques à l’appui peut réduire votre prime de 10 à 20 %. Répondre « non » peut entraîner des exclusions de garantie sur les incidents liés au phishing — c’est-à-dire les plus fréquents. Consultez notre guide sur l’assurance cyber pour les détails.
Ce que votre direction attend
La direction ne lit pas les rapports techniques. Elle veut trois informations : est-ce qu’on s’améliore, est-ce qu’on est conforme, et combien ça coûte comparé à ce que ça rapporte. Vos métriques doivent répondre à ces trois questions en moins de deux minutes de présentation.
Sans chiffres, votre programme de sensibilisation est un centre de coûts. Avec des chiffres, c’est un investissement en réduction de risque avec un rendement démontrable.
Les 5 KPI de la sensibilisation au phishing
1. Le taux de clic
Définition : pourcentage d’employés qui cliquent sur le lien dans un email de simulation de phishing.
C’est l’indicateur le plus connu, et souvent le seul que les équipes suivent. Il mesure la vulnérabilité brute : combien d’employés auraient fourni leurs identifiants ou déclenché un téléchargement malveillant si l’email avait été réel.
Benchmarks : selon le SANS Security Awareness Report 2025 et les données agrégées Proofpoint State of the Phish, un taux de clic initial avant tout programme de sensibilisation tourne entre 25 et 35 % pour la plupart des secteurs. Après 12 mois de programme continu, les organisations les plus avancées descendent sous les 8 %, et les meilleures sous les 5 %.
Cible : < 8 % après 12 mois, < 5 % après 24 mois pour les secteurs tech et finance.
Attention : le taux de clic seul peut être trompeur. Une équipe qui ne clique pas parce qu’elle ne regarde pas ses emails n’est pas plus sécurisée qu’une équipe qui clique. C’est pourquoi il faut le combiner avec le taux de signalement.
2. Le taux de signalement
Définition : pourcentage d’employés qui signalent activement l’email simulé comme suspect, via le bouton de signalement ou en contactant l’IT.
C’est l’indicateur le plus sous-estimé, et pourtant le plus précieux. Un employé qui signale un email suspect ne se contente pas de ne pas cliquer : il alerte l’ensemble de l’organisation. Dans un vrai incident, ce comportement peut stopper une attaque avant qu’elle ne touche d’autres collègues.
Benchmarks : la plupart des organisations débutent avec un taux de signalement inférieur à 5 %. Après 12 mois de programme bien structuré, les organisations les plus matures atteignent 60 % et au-delà (données Proofpoint State of the Phish 2025).
Cible : > 30 % après 6 mois, > 60 % après 12 mois.
Ce que ce KPI révèle vraiment : un taux de signalement élevé signifie que vos employés ont développé un réflexe de vigilance, pas seulement une méfiance passive. C’est la différence entre « je ne clique pas » et « je protège l’entreprise ».
3. Le temps de réaction
Définition : délai moyen entre l’envoi d’un email simulé et le premier clic observé, comparé au délai moyen avant le premier signalement.
Cet indicateur mesure la rapidité des comportements, dans les deux sens. Un délai court avant le premier clic signifie que certains employés agissent sans vérifier. Un délai court avant le premier signalement signifie que la vigilance est active et rapide.
Cible : les signalements doivent arriver plus vite que les clics. Quand ce ratio s’inverse — quand la moyenne des signalements est plus rapide que la moyenne des clics — votre programme a atteint un niveau de maturité significatif.
Comment l’utiliser : si les clics arrivent dans les 5 premières minutes après l’envoi, cela indique des comportements automatiques et peu réfléchis. Si les signalements arrivent en moins de 30 minutes, cela indique des réflexes de vigilance bien ancrés. Comparez ces deux métriques trimestre après trimestre.
4. Le taux de complétion des formations
Définition : pourcentage d’employés qui complètent le module de formation déclenché automatiquement après un clic sur une simulation.
Cet indicateur mesure l’efficacité de votre boucle d’apprentissage. Un employé qui clique mais ne complète pas sa formation reste exposé. Le taux de complétion révèle aussi les frictions dans votre dispositif : si beaucoup d’employés abandonnent les modules, c’est souvent parce qu’ils sont trop longs, trop techniques, ou mal adaptés au niveau de l’audience.
Cible : > 90 % de complétion. En dessous de 80 %, revoyez la durée et le format des modules.
Point d’attention : distinguez la complétion passive (l’employé a ouvert le module et l’a laissé défiler) de la complétion active (score au quiz > 70 %). Les deux métriques sont utiles, mais seule la seconde garantit un apprentissage réel.
5. Le score de risque humain
Définition : indicateur composite qui agrège les quatre KPI précédents en un score unique par employé, par département et pour l’ensemble de l’entreprise.
C’est la métrique synthétique que vous présenterez à votre direction. Elle traduit toute la complexité de votre programme en un chiffre unique et son évolution dans le temps.
Comment le calculer : la formule exacte varie selon les outils, mais le principe est constant — les comportements négatifs (clics, soumissions d’identifiants) font baisser le score, les comportements positifs (signalements, complétion des formations, absence de clic) le font monter. Le score peut être pondéré par la difficulté des scénarios : cliquer sur un email très sophistiqué est moins grave que cliquer sur un email basique.
Comment l’utiliser : ventilé par département, ce score permet d’identifier les équipes prioritaires pour une formation renforcée. À l’échelle individuelle, il doit rester anonymisé dans les rapports — son usage est de guider les actions collectives, pas de surveiller les individus. Consultez notre plan de sensibilisation 12 mois pour voir comment intégrer ce score dans votre programme.
Benchmarks par secteur
Les benchmarks varient significativement selon le secteur. Un taux de clic de 15 % peut représenter une excellente performance dans le secteur de la santé mais un résultat médiocre dans le secteur technologique. Comparer votre performance à la moyenne générale sans tenir compte de votre secteur peut donc mener à de fausses conclusions.
Les données ci-dessous agrègent les sources SANS Security Awareness Report 2025, Proofpoint State of the Phish 2025 et CESIN Baromètre 2025.
| Secteur | Taux de clic initial | Taux de clic cible (12 mois) | Taux de signalement cible |
|---|---|---|---|
| Finance / Banque | 20 – 30 % | 5 – 8 % | > 65 % |
| Santé | 30 – 45 % | 10 – 15 % | > 50 % |
| Technologies | 15 – 25 % | 3 – 7 % | > 70 % |
| Commerce / Retail | 25 – 40 % | 8 – 12 % | > 45 % |
| Services | 20 – 35 % | 5 – 10 % | > 55 % |
Pourquoi le secteur de la santé présente des taux plus élevés ? Les personnels de santé reçoivent des volumes d’emails élevés, travaillent dans des environnements de pression chronique, et sont régulièrement sollicités par des emails urgents de vrais fournisseurs ou prestataires — exactement le contexte que les attaquants imitent. La comparaison doit donc se faire avec les benchmarks du secteur, pas avec les moyennes générales.
Pourquoi les cibles tech sont-elles plus basses ? Les employés des secteurs technologiques ont en général une exposition plus forte à la sécurité informatique, une culture de la vérification plus ancrée, et des outils de signalement mieux intégrés à leurs habitudes de travail.
Une nuance importante sur les cibles : ces benchmarks représentent des objectifs atteignables pour des programmes bien structurés avec des campagnes régulières (au minimum trimestrielles) et des formations adaptées. Un programme qui envoie une simulation par an n’atteindra pas ces cibles, même après deux ans.
Le tableau de bord pour la direction
Votre direction n’a pas besoin d’un rapport de 20 pages. Elle a besoin d’une page, mise à jour trimestriellement, qui répond à quatre questions : est-ce qu’on s’améliore, où en est-on par rapport aux objectifs, qui sont les équipes prioritaires, et quel est le ROI ?
Les 5 éléments d’un tableau de bord efficace
1. La courbe d’évolution du taux de clic sur 12 mois Un graphique linéaire simple avec la valeur initiale, les valeurs mensuelles et la cible sectorielle en pointillé. C’est l’élément le plus parlant pour une direction : la tendance est claire, le progrès est visible.
2. Le taux de signalement en parallèle Représentez le taux de signalement sur la même période, idéalement sur le même graphique avec un axe secondaire. La direction comprend immédiatement l’enjeu quand elle voit les deux courbes évoluer en sens inverse : le clic descend, le signalement monte.
3. La comparaison par département Un tableau ou graphique à barres qui classe les départements par score de risque humain. Ne l’utilisez pas pour pointer des responsables — utilisez-le pour montrer à votre direction quelles équipes méritent une attention renforcée ce trimestre.
4. Le statut de conformité Trois cases à cocher : NIS2 (formation documentée), DORA si applicable, exigences assureur. Ce bloc rassure la direction sur l’aspect légal sans nécessiter d’explication détaillée.
5. Le ROI estimé du trimestre Voir la section suivante pour le calcul. Présentez un seul chiffre : le coût évité estimé sur le trimestre, comparé au coût du programme.
Format recommandé
Une page A4 ou une slide. Pas plus. Si votre tableau de bord tient sur deux pages, condensez. La direction lira une page, elle survolera deux pages et ignorera trois pages. La contrainte du format est une contrainte de communication, pas d’information.
Exportez ce tableau de bord depuis nophi.sh en PDF au format prêt à présenter, avec votre logo et les données de votre campagne. Vous n’avez pas à construire ce rapport manuellement.
Calculer le ROI de votre programme
Le calcul du retour sur investissement de la sensibilisation suit une logique simple : chaque point de pourcentage de réduction du taux de clic correspond à une réduction équivalente du risque humain. Cette réduction de risque se traduit en incidents potentiellement évités, et donc en coût évité.
La formule de base
ROI = (Incidents potentiellement évités × Coût moyen d'un incident) - Coût du programmeUn exemple concret
Prenons une entreprise de 100 employés dans le secteur des services.
Situation initiale : taux de clic de 30 %. Sur 100 employés, 30 auraient potentiellement fourni leurs identifiants à un attaquant réel.
Après 12 mois de programme : taux de clic de 8 %. Sur 100 employés, 8 seraient désormais à risque.
Réduction du risque : 30 – 8 = 22 employés qui ne constitueraient plus une porte d’entrée. En pourcentage : réduction de 73 % du risque humain.
Traduction financière : le coût moyen d’un incident cyber pour une PME française est de 59 000 € (Baromètre CESIN 2025). En réduisant le risque de 73 %, on peut estimer, de façon conservatrice, que la probabilité d’un incident phishing a été réduite dans les mêmes proportions.
| Élément | Calcul | Montant |
|---|---|---|
| Coût moyen d’un incident cyber (CESIN) | Donnée de référence | 59 000 € |
| Réduction du risque humain | 30 % → 8 % | – 73 % |
| Coût évité estimé | 59 000 € × 73 % | 43 070 € |
| Coût annuel du programme (100 personnes) | Tarif nophi.sh | ~2 400 € |
| ROI annuel estimé | 43 070 € – 2 400 € | 40 670 € |
Comment présenter ce calcul à votre direction : soulignez le caractère conservateur de l’hypothèse. Vous ne prétendez pas qu’un incident se serait nécessairement produit sans le programme. Vous montrez que si un seul incident survient au cours du cycle de vie du programme, le programme se sera remboursé des dizaines de fois. Et que chaque point de réduction du taux de clic représente une valeur financière réelle.
Le ROI additionnel
Deux éléments complémentaires méritent d’être ajoutés au calcul pour votre direction :
Réduction de prime d’assurance : si votre assureur accorde une remise de 10 % sur une prime de 4 000 €/an, c’est 400 € d’économie annuelle directe — soit 17 % du coût de votre programme.
Réduction des tickets IT : les employés formés signalent les incidents au lieu de les ignorer ou de les gérer seuls. Les simulations d’Osterman Research estiment qu’un programme actif réduit de 25 à 40 % le temps de réponse aux incidents phishing réels. À 80 €/heure pour une intervention IT, même quelques heures économisées par trimestre contribuent au ROI.
Les pièges de la mesure
Mesurer n’est pas une garantie d’objectivité. Plusieurs erreurs classiques peuvent fausser vos métriques ou conduire à des décisions contre-productives.
Optimiser pour un seul KPI
L’erreur la plus fréquente : se concentrer uniquement sur le taux de clic et ignorer le taux de signalement. Un programme qui fait baisser le clic sans faire monter le signalement crée des employés passifs, pas des employés vigilants. Pire, certaines équipes peuvent apprendre à détecter les simulations nophi.sh sans pour autant détecter les vraies attaques — ce qui crée une illusion de progression.
Mesurez toujours les cinq KPI en parallèle. Si l’un progresse en sens inverse des autres, c’est un signal d’alerte.
Punir plutôt que former
Les métriques individuelles ne doivent jamais servir de base à des sanctions. Un employé qui clique n’est pas un employé négligent — c’est un employé qui n’a pas encore reçu la formation adaptée. Utiliser les données pour sanctionner génère deux effets pervers : les employés deviennent méfiants envers toute communication interne (y compris les vraies), et ils arrêtent de signaler les incidents pour ne pas se faire remarquer.
La règle : les données de simulation servent à orienter les formations, pas à évaluer les individus. Dans vos rapports à la direction, présentez les données par département ou par cohorte, jamais par individu nommé.
Comparer des audiences incomparables
Les cibles des simulations ne sont pas toutes équivalentes. Un email de phishing ciblant le PDG (spear phishing avec usurpation d’identité fournisseur) est beaucoup plus difficile à détecter qu’un email générique. Comparer le taux de clic de la direction avec celui des équipes opérationnelles sans tenir compte de la difficulté des scénarios fausse l’analyse.
Paramétrez vos simulations avec une difficulté progressive et adaptée aux profils. Les équipes exposées aux emails financiers (comptabilité, direction financière) méritent des scénarios plus sophistiqués que les équipes moins exposées.
Négliger la courbe de difficulté
Un taux de clic qui stagne autour de 5 % après 18 mois peut sembler satisfaisant. Mais si vous n’avez pas augmenté la difficulté des simulations dans ce délai, vos employés ont peut-être appris à reconnaître vos modèles d’emails simulés, pas le phishing en général.
Augmentez régulièrement la sophistication des scénarios : usurpation d’identité interne, fausses mises à jour de logiciels, phishing vocal (vishing), faux portails de connexion Microsoft 365. Un programme qui maintient ses employés en alerte sur les tactiques les plus récentes est plus utile qu’un programme qui obtient de bons scores sur des scénarios dépassés.
Oublier les nouveaux arrivants
Le taux de clic global de votre entreprise peut s’améliorer régulièrement, mais si chaque nouvelle recrue commence avec un taux de 30 %, votre risque humain réel augmente avec vos effectifs. Intégrez systématiquement les nouveaux arrivants dans une première simulation dans les 30 jours suivant leur prise de poste. Leur profil de risque initial doit être trackable séparément pour ne pas polluer vos métriques globales tout en étant corrigé rapidement.
Mesurer l’efficacité de votre programme n’est pas une contrainte administrative. C’est ce qui transforme un budget sensibilisation en investissement démontrable, ce qui vous permet de tenir votre direction informée avec des données objectives, et ce qui vous donnera les arguments pour convaincre la direction de poursuivre et d’approfondir le programme.
Commencez par établir votre baseline dès la première campagne. Choisissez vos cinq KPI. Configurez votre tableau de bord trimestriel. Et laissez les données parler à votre place.
Si vous n’avez pas encore lancé votre première simulation, le test de sécurité email gratuit vous donne un premier indicateur en 30 secondes. Votre baseline commence là.
Démarrer l’essai gratuit de 14 jours — simulation de phishing, tableau de bord KPI, rapport de conformité inclus.