Skip to content
Retour aux guides
Guide

Microsoft Defender Attack Simulator : guide complet

Configurer Attack Simulation Training de Microsoft Defender for Office 365. Licences, payloads, simulations, reporting, limites pour PME.

Thomas Ferreira 26 min de lecture

Microsoft Attack Simulation Training (AST) est l’outil natif de simulation de phishing intégré à Microsoft Defender for Office 365 Plan 2 et à Microsoft 365 E5. Pour les organisations déjà équipées de ces licences, c’est l’option par défaut : pas de serveur à provisionner, pas de SMTP à configurer, intégration directe avec Entra ID et avec le reste de la suite Defender.

Mais AST n’est pas magique. Sa logique de licence par siège, son catalogue de payloads orienté anglophone et l’absence de coaching adaptatif post-clic en font un outil parfois inadapté aux PME françaises sous Microsoft 365 E3 ou Business Premium. Le sujet mérite d’être traité honnêtement : ce que AST fait, ce qu’il ne fait pas, comment le configurer correctement, et à quel moment une plateforme tierce devient plus rationnelle.

Cet article couvre les conditions d’accès, les six techniques d’ingénierie sociale disponibles, la bibliothèque de payloads, la configuration pas-à-pas d’une première simulation, et les limites concrètes pour les PME. Pour un comparatif fonctionnalité par fonctionnalité avec GoPhish et avec nophi.sh, consultez notre comparatif GoPhish vs Attack Simulator vs nophi.sh.

Si vous cherchez la sécurisation générale de votre tenant Microsoft 365 (MFA, Conditional Access, Defender), commencez par notre guide complet sécuriser Microsoft 365. AST est une brique de sensibilisation, qui s’ajoute à un socle technique correctement configuré.

Conditions d’accès et licences

Les licences éligibles

AST fait partie de Microsoft Defender for Office 365 Plan 2. La page officielle Get started using Attack simulation training liste les licences qui ouvrent l’accès :

  • Microsoft 365 E5 (incluant Defender for Office 365 Plan 2)
  • Office 365 E5 (incluant Defender for Office 365 Plan 2)
  • Microsoft 365 A5 (équivalent E5 pour l’éducation)
  • Office 365 A5 (équivalent éducation)
  • Microsoft Defender for Office 365 Plan 2 en add-on à une licence éligible (E1, E3, A1, A3, Business Basic, Business Standard, Business Premium)
  • Microsoft 365 GCC G5 et Office 365 G5 GCC pour le secteur public américain
  • Microsoft Defender for Office 365 (Plan 2) for Government

Microsoft 365 Business Premium n’inclut pas AST par défaut : il faut ajouter Defender for Office 365 Plan 2 en add-on.

La licence se paye par siège ciblé, pas par tenant

C’est le point le plus souvent mal compris. La documentation Microsoft est explicite : pour qu’un utilisateur soit éligible à une simulation AST, il doit lui-même porter une licence éligible. Pas l’administrateur, pas un compte de service : l’utilisateur ciblé.

Concrètement, si vous avez un tenant de 100 personnes en Microsoft 365 E3 et que vous achetez une seule licence Defender for Office 365 Plan 2 pour l’administrateur, vous pourrez accéder à l’interface AST mais aucune simulation ne pourra cibler les 99 autres utilisateurs. Il faut équiper chaque siège ciblé.

Cette logique de licence par utilisateur est ce qui rend AST coûteux à grande échelle pour les organisations en E3. Pour une PME de 100 personnes, ajouter Defender Plan 2 sur tout le monde représente environ 6 000 euros par an. Pour les organisations déjà en E5, c’est inclus.

Disponibilité régionale

AST est disponible dans la région EUR (Europe), qui inclut la France et les pays de l’Union européenne. Les tenants français hébergent leurs données dans les datacenters européens de Microsoft. Les régions GCC, GCC High et DoD (administration américaine) disposent d’AST avec quelques restrictions documentées sur les fonctionnalités avancées.

Essai gratuit de 90 jours

Microsoft propose un essai gratuit de 90 jours de Defender for Office 365 Plan 2 via le trials hub du portail Microsoft Defender. C’est la façon la plus directe d’évaluer AST sans engagement : activez l’essai depuis security.microsoft.com → Trials → Microsoft Defender for Office 365 Plan 2.

Une nuance importante : un essai de Microsoft 365 E3 ouvre l’accès à un subset très limité d’AST, principalement Credential Harvest et les modules de formation ISA (Information Security Awareness) ou Mass Market. La doc Microsoft mentionne ces limitations comme une concession pour permettre aux clients E3 de tester avant d’acheter, sans débloquer l’ensemble des fonctionnalités. Pour une évaluation complète, c’est bien l’essai de Defender Plan 2 qu’il faut activer.

Les six techniques d’ingénierie sociale disponibles

AST propose six techniques de simulation, toutes alignées sur le framework MITRE ATT&CK. La documentation officielle Simulate a phishing attack décrit chacune en détail.

TechniqueDescriptionNotes
Credential HarvestL’email contient un lien vers une page de connexion clonée (Office 365, banque, service interne). Quand l’utilisateur saisit ses identifiants, AST les enregistre sans les exposer.Le scénario le plus courant et le plus pédagogique. Idéal pour une première simulation.
Malware AttachmentL’email contient une pièce jointe (Word, Excel, ZIP) qui simule une exécution de code. Aucun vrai malware n’est exécuté : la simulation reste en environnement contrôlé.Teste la propension à ouvrir une pièce jointe non sollicitée. Coupe l’exécution avant tout dommage réel.
Link in AttachmentUne pièce jointe contient une URL malveillante. L’utilisateur doit ouvrir la pièce jointe ET cliquer sur le lien interne.Variante combinant deux gestes risqués. Plus complexe pour l’attaquant, plus rare en simulation.
Link to MalwareUn lien dans l’email pointe vers un fichier hébergé sur un service de partage (SharePoint, OneDrive, GitHub, Dropbox). Le clic simule un téléchargement.Teste la confiance accordée aux liens externes vers des services connus.
Drive-by URLUn lien qui déclenche automatiquement un téléchargement (ou une redirection JavaScript) au clic, sans interaction supplémentaire.Simule les attaques par drive-by download via une page compromise.
OAuth Consent GrantL’email invite l’utilisateur à autoriser une application Azure malveillante via le mécanisme de consentement OAuth. C’est la technique utilisée par Midnight Blizzard en 2023-2025.Particulièrement utile pour les tenants ayant ouvert le consentement utilisateur. AST simule l’écran d’autorisation sans accorder de réel accès.

À noter : AST propose aussi un How-to Guide, qui n’est pas une simulation à proprement parler mais un module pédagogique présentant le déroulé d’une technique. Utile pour sensibiliser avant le test, pas pour mesurer.

Les six techniques actives couvrent les principaux vecteurs d’ingénierie sociale documentés dans MITRE ATT&CK (T1566 — Phishing, et ses sous-techniques T1566.001, T1566.002, T1566.003). L’absence notable : pas de simulation AiTM (Adversary-in-the-Middle) au sens strict. AST ne capture pas le jeton de session après authentification MFA, ce qui distingue Credential Harvest d’un vrai AiTM. Pour tester la résistance des utilisateurs à un AiTM, il faut une plateforme spécialisée ou un exercice red team.

La bibliothèque de payloads

Un payload est le contenu de la simulation : l’email envoyé à l’utilisateur, la page d’atterrissage, le scénario complet. AST propose trois sources de payloads, documentées dans Payloads in Attack simulation training.

Global payloads (catalogue Microsoft)

Plusieurs centaines de payloads pré-construits par Microsoft, disponibles dans 29 langues selon la documentation. Chaque payload inclut :

  • Predicted compromise rate : le taux de compromission attendu, calculé par Microsoft à partir des données agrégées de tous les tenants ayant utilisé le payload. Permet d’anticiper la difficulté.
  • Complexity : classification basse, moyenne ou élevée selon le réalisme et le contexte.
  • Source : la campagne réelle ou le type d’attaque dont s’inspire le payload (par exemple « Office 365 », « LinkedIn », « DocuSign »).

Les payloads couvrent les classiques internationaux : alertes Office 365 (réinitialisation de mot de passe, quota dépassé, espace plein), notifications LinkedIn (nouvelle connexion, message en attente), DocuSign (document à signer), notifications de partage SharePoint, demandes de réunion Teams, factures FedEx ou UPS.

Tenant payloads (vos créations)

Les payloads que vous créez vous-même. C’est ici qu’il faut intervenir pour des simulations crédibles dans un contexte français. Le constructeur permet d’éditer le HTML, de choisir l’expéditeur (alias et adresse), de définir l’URL de redirection (depuis une bibliothèque de domaines fournie par Microsoft), et d’attacher des indicateurs pédagogiques (les fameux « teaching moments » qui apparaissent après le clic).

MDO recommendations

Une liste de payloads mise à jour chaque mois par Microsoft, basée sur les campagnes de phishing actives identifiées par leurs équipes de threat intelligence. C’est la liste « la plus représentative de la menace actuelle ». La doc précise que cette liste est dérivée des campagnes identifiées par MDO, ce qui implique qu’elle reflète ce que Microsoft observe à grande échelle, pas nécessairement ce qui circule en France contre les PME francophones.

QR code payloads

Microsoft a ajouté la prise en charge des QR codes en 2024 pour quatre techniques : Credential Harvest, Drive-by URL, OAuth Consent Grant et How-to Guide. Le QR code remplace ou complète le lien dans l’email, ce qui simule les campagnes de « quishing » (QR code phishing) qui ont émergé en 2023-2024. C’est une bonne nouvelle pour la pertinence du catalogue.

Payload Automation (Payload Harvesting)

Une fonctionnalité plus avancée, décrite dans Payload automations. Le principe : AST peut récolter automatiquement des payloads à partir des emails de phishing réels signalés par vos utilisateurs.

Le mécanisme exige plusieurs conditions cumulées :

  1. L’email malveillant a été livré dans la boîte de réception d’un utilisateur (faux négatif des filtres Microsoft)
  2. L’utilisateur a signalé l’email comme phishing via le bouton Report dans Outlook
  3. Le signalement a été transmis à Microsoft pour analyse
  4. Microsoft a confirmé qu’il s’agissait bien de phishing

Une fois ces conditions remplies, l’email signalé peut être transformé automatiquement en payload AST, avec les liens malveillants neutralisés et remplacés par des liens de tracking AST.

L’intérêt : vos simulations restent alignées sur la menace réelle observée dans votre tenant, pas sur les attaques génériques du catalogue Microsoft. C’est particulièrement utile pour les organisations sectorielles (santé, secteur public, finance) qui reçoivent des campagnes ciblées différentes des templates généralistes.

Limitation pratique : pour que le mécanisme produise des payloads pertinents, il faut que vos utilisateurs signalent activement les phishings. Sans culture du signalement, la machine ne tourne pas.

Simulation Automations

Pour les programmes de sensibilisation continus, AST propose les Simulation Automations documentées dans Simulation automations.

Une automation permet de chaîner plusieurs simulations dans le temps avec une configuration unique :

  • Plusieurs techniques dans une même série : par exemple un Credential Harvest, puis deux semaines plus tard un Link to Malware, puis un OAuth Consent.
  • Plusieurs payloads : vous fournissez une liste de payloads et AST les répartit aléatoirement sur les utilisateurs.
  • Ciblage par groupes dynamiques Entra ID : les groupes se mettent à jour automatiquement quand un utilisateur arrive ou quitte l’entreprise, sans intervention manuelle.
  • Planification glissante : envoi sur une fenêtre de plusieurs jours pour éviter l’effet « tout le monde reçoit en même temps et se prévient mutuellement ».

C’est l’équivalent natif d’un programme annuel de sensibilisation. Avec une licence E5 et un peu de configuration, vous pouvez programmer 12 mois de campagnes en une session de travail.

Étape 1 — Activer Attack Simulation Training

Rendez-vous sur security.microsoft.com avec un compte disposant du rôle Attack Simulation Administrator (rôle spécifique, présent dans la liste des rôles Microsoft Defender) ou Global Administrator.

  1. Dans le menu de gauche : Email & CollaborationAttack simulation training
  2. Si l’interface affiche un message « Setting up your tenant », attendez. Microsoft prévient que l’activation initiale peut prendre quelques heures sur un tenant qui n’a jamais utilisé AST.
  3. Une fois actif, vous voyez la page d’accueil avec quatre onglets principaux : Overview, Simulations, Payloads, Settings.

Avant de lancer quoi que ce soit, vérifiez l’onglet Settings :

  • End user notifications : les emails que recevront les utilisateurs (notification de campagne, rappels de formation, message positif si l’email n’a pas été cliqué). Choisir entre les templates Microsoft par défaut ou créer vos propres notifications.
  • Login pages : la liste des pages de connexion clonées disponibles. Microsoft propose des pages Office 365, Outlook, Teams, ainsi qu’une bibliothèque de marques connues. Les pages personnalisées se créent dans cette section.
  • Payloads → Login pages : à ne pas confondre, c’est la sous-section consacrée aux pages d’atterrissage des payloads (différente de la connexion utilisateur globale).

Étape 2 — Créer une première simulation (Credential Harvest)

Le wizard guidé est l’approche recommandée pour la première simulation. Voici les écrans à parcourir.

Écran 1 — Select technique

Choisissez Credential Harvest. C’est la technique la plus pédagogique pour une première campagne : le scénario est familier (une page de connexion factice) et le retour d’expérience pour les utilisateurs est clair.

Écran 2 — Name simulation

  • Name : par exemple « Q2-2026 — Credential Harvest — Teams Action Required ». Adoptez une nomenclature standard pour faciliter le reporting longitudinal.
  • Description : utile pour les audits internes. Notez la cible, l’objectif pédagogique, et la date prévue.

Écran 3 — Select payload and login page

Parcourez le catalogue. Pour une première simulation, choisissez un payload classé Low complexity et de prédicted compromise rate moyen (30-50 %). Les classiques fonctionnent bien : « Microsoft Teams - Action required », « Office 365 - Storage quota », « SharePoint - Document shared with you ».

Vérifiez la prévisualisation : l’aperçu montre l’email comme il apparaîtra dans Outlook. Si le payload est en anglais, envisagez de créer un tenant payload équivalent en français pour une simulation crédible.

Écran 4 — Target users

Trois modes :

  • Include all users in my organization : pour les premières simulations généralistes
  • Include only specific users and groups : pour cibler un département ou une fonction
  • Dynamic groups : groupes synchronisés avec Entra ID, mis à jour automatiquement

Recommandation pratique : pour la toute première campagne, ciblez d’abord un groupe pilote de 20 à 30 personnes (l’équipe IT, les ambassadeurs sécurité). Mesurez, ajustez les notifications et la formation, puis élargissez.

Écran 5 — Assign training

AST propose plusieurs modes :

  • Assign training for me (Recommended) : Microsoft sélectionne automatiquement les modules adaptés au type de simulation.
  • Select training courses and modules myself : vous choisissez manuellement parmi le catalogue Microsoft.
  • No training : aucune formation post-clic. Déconseillé sauf cas particulier.

Définissez aussi la date d’échéance de la formation : 30 jours est le standard. Au-delà, les modules expirent et la formation n’est plus accessible.

Écran 6 — Select end user notifications

Choisissez les notifications :

  • Microsoft default notifications : les templates standard de Microsoft, disponibles dans plusieurs langues.
  • Customized end user notifications : vos propres templates si vous les avez créés dans Settings.
  • No notifications : déconseillé, perd le bénéfice pédagogique.

Écran 7 — Schedule

  • Launch this simulation as soon as I’m done : pour les tests immédiats
  • Schedule this simulation to launch later : avec date et heure précises
  • Random send : AST répartit les envois sur une fenêtre de plusieurs jours et plusieurs créneaux horaires. C’est le mode recommandé pour éviter que les utilisateurs se préviennent mutuellement en quelques minutes.

Écran 8 — Review

Vérifiez l’ensemble de la configuration, puis lancez. AST commence l’envoi selon le calendrier défini.

Étape 3 — Surveiller et analyser

Le tableau de bord de la simulation est accessible depuis Simulations → cliquez sur la simulation en cours. Les métriques clés :

  • Messages delivered : combien d’emails ont été remis (peut être inférieur aux envois si certains ont rebondi)
  • Click rate : pourcentage d’utilisateurs ayant cliqué sur le lien
  • Compromise rate : pourcentage d’utilisateurs ayant saisi des identifiants (pour Credential Harvest)
  • Reported rate : pourcentage d’utilisateurs ayant signalé l’email (nécessite la configuration du bouton Report Phishing, voir Étape 5)

Le drill-down permet de filtrer :

  • Par utilisateur individuel (qui a cliqué, qui a saisi des identifiants, qui a signalé)
  • Par département (synchronisé depuis Entra ID)
  • Par fonction
  • Par localisation géographique

Export et intégration

Le bouton Export génère un CSV complet avec une ligne par utilisateur et toutes les actions effectuées (delivered, opened, clicked, submitted credentials, reported). C’est la base pour le reporting de conformité.

Microsoft propose aussi une intégration Power BI : un template Power BI officiel se connecte à l’API Office 365 Management et permet de construire des tableaux de bord personnalisés (taux de clic par trimestre, comparaison entre départements, évolution sur 12 mois).

Comparaison avec le Predicted Compromise Rate

Chaque payload Microsoft affiche son predicted compromise rate basé sur les données agrégées tenant-wide. À l’issue de votre simulation, AST compare votre taux réel à la prédiction. Si vous êtes au-dessus, vos utilisateurs sont plus vulnérables que la moyenne sur ce type d’attaque — sujet à approfondir en formation. Si vous êtes en dessous, c’est un indicateur encourageant.

Étape 4 — Former les utilisateurs compromis

AST inclut un catalogue de modules de formation Microsoft. Les modules sont courts (3 à 5 minutes), structurés autour d’un scénario, et assignés automatiquement aux utilisateurs ayant échoué (cliqué ou saisi des identifiants) selon les règles définies dans le wizard.

Le catalogue de modules

Plusieurs dizaines de modules disponibles, couvrant :

  • Reconnaissance des emails de phishing
  • Vérification des URL avant clic
  • Signalement des emails suspects
  • Sécurité des mots de passe
  • Protection des données sensibles
  • Usage sûr des applications cloud
  • Sécurité mobile et BYOD
  • Réponse aux demandes inhabituelles (BEC, fraude au président)

Assignation et suivi

Les modules sont assignés automatiquement aux utilisateurs ayant échoué. L’utilisateur reçoit un email avec un lien pour accéder à sa formation. La progression est visible dans le tableau de bord AST (assigned / in progress / completed / overdue).

Limitations à connaître

Localisation partielle. Les modules sont disponibles en plusieurs langues dont le français, mais le contenu est conçu pour un public international. Les exemples utilisés (Office 365, Outlook, SharePoint) sont familiers, mais il n’y a pas de modules calqués sur les contextes français (fraude au président avec virement SEPA, fausse facture URSSAF, faux email Ameli). Pour des PME francophones, certains modules paraissent abstraits.

Pas de coaching adaptatif individuel. Le module assigné après un clic est standard, identique pour tous les utilisateurs ayant cliqué sur ce type de payload. Pas de personnalisation selon l’historique de l’utilisateur (premier échec ou récidive), selon son département, ou selon son rôle. Les plateformes tierces spécialisées dans la sensibilisation proposent un coaching plus fin, qui adapte le contenu au profil de chaque collaborateur.

Pas de micro-learning immédiat sur la page d’atterrissage. AST propose des « teaching moments » sur la page de redirection après clic, mais c’est un message court, pas un module. La formation complète arrive par email après la simulation, ce qui dilue l’effet de la « teachable moment » documentée par le SANS Institute.

Étape 5 — Configurer le « Reported Message » pour mesurer le reporting

Mesurer uniquement le taux de clic donne une vision incomplète. Le taux de signalement (combien d’utilisateurs ont identifié l’email comme suspect et l’ont signalé) est un KPI plus parlant de la maturité d’une organisation, selon les recommandations Gartner Security & Risk Management.

Activer le bouton Report dans Outlook

Microsoft fournit un bouton Report natif dans Outlook (web, desktop, mobile) depuis 2023. Pour les anciennes versions, le Report Message ou le Report Phishing add-in est nécessaire (gratuit, déployable via le centre d’administration Microsoft 365).

Configurer les User reported settings

Dans le portail Defender :

  1. SettingsEmail & collaborationUser reported settings
  2. Microsoft 365 audited mailbox : activez et désignez une boîte aux lettres centrale qui recevra les signalements (par exemple report-phishing@votredomaine.fr). Cette boîte doit avoir l’audit unifié activé.
  3. Send the reported messages to : choisissez Microsoft and my reporting mailbox pour bénéficier à la fois de l’analyse Microsoft et de votre propre revue interne.
  4. User reporting experience : configurez les notifications de confirmation qui s’affichent à l’utilisateur après signalement (le « merci d’avoir signalé », essentiel pour entretenir la culture du signalement).

Lier signalement et simulation

Une fois cette configuration en place, les signalements d’emails AST par les utilisateurs sont automatiquement attribués à la simulation correspondante. Le reported rate apparaît dans le tableau de bord, à côté du taux de clic. Vous pouvez alors suivre les deux métriques en parallèle : taux de clic ↓ et taux de signalement ↑ sont les deux indicateurs d’une organisation qui mûrit.

Limites concrètes pour les PME

AST est puissant quand l’organisation est déjà en E5 et a une équipe pour exploiter l’outil. Pour les PME, plusieurs limites pèsent concrètement.

Le coût des licences

Microsoft 365 E5 est tarifé autour de 57 euros par utilisateur par mois selon la page publique Microsoft 365 plans comparison (tarif à vérifier au moment de l’achat, susceptible de variations). Pour une PME déjà équipée en E3 (à environ 27 euros par utilisateur par mois) ou Business Premium (à environ 22,60 euros), passer à E5 juste pour AST représente un saut significatif.

L’alternative est l’add-on Defender for Office 365 Plan 2 à environ 5 euros par utilisateur par mois, qui apporte AST sans tout le reste de l’E5. Pour 100 personnes : 6 000 euros par an. Une plateforme tierce spécialisée dans la simulation et la formation propose souvent un tarif inférieur, avec un périmètre fonctionnel plus large sur la sensibilisation. Consultez notre page tarifs pour le comparatif.

La logique de licence par siège

Comme rappelé en début de guide, chaque utilisateur ciblé doit porter une licence éligible. Cela exclut :

  • Les comptes externes (invités Entra ID)
  • Les utilisateurs sous licence Microsoft 365 F1 / F3 (frontline workers) qui n’inclut pas Defender Plan 2
  • Les boîtes partagées et les comptes de service

Pour une PME avec des employés terrain en F3 ou des saisonniers, AST ne peut pas couvrir l’intégralité de l’effectif sans déploiement complémentaire.

Le catalogue de payloads orienté anglophone

Les payloads en français existent dans le catalogue Global, mais sont globalement génériques et moins nombreux. Aucun payload « Ameli », « DGFiP », « Chronopost France », « URSSAF », « banque française » n’est disponible par défaut. La doc Microsoft mentionne que les MDO recommendations sont basées sur les campagnes identifiées par les équipes de threat intelligence Microsoft, qui voient majoritairement des campagnes ciblant des marques internationales.

Conséquence : pour des simulations crédibles dans un contexte PME française, il faut créer ses propres tenant payloads depuis zéro. Compter 1 à 2 heures par template, plus le test de délivrabilité.

Pas de coaching adaptatif post-clic

Les modules de formation Microsoft sont standards. Pas de personnalisation selon le profil utilisateur, pas de progression individuelle adaptée. Un utilisateur qui clique pour la cinquième fois reçoit le même module que celui qui clique pour la première fois. Les plateformes spécialisées en sensibilisation gèrent ce mécanisme finement, ce qui se traduit par une baisse plus rapide du taux de clic sur les programmes annuels.

Reporting moins granulaire que les solutions spécialisées

AST fournit les bases (taux de clic, taux de compromission, taux de signalement) mais ne propose pas par défaut :

  • Score de risque humain par collaborateur (équivalent du « Phish Prone Percentage » de KnowBe4 ou du score de risque nophi.sh)
  • Benchmarks sectoriels (votre PME du BTP de 50 personnes versus la moyenne du secteur)
  • Rapports pré-formatés pour la direction sans passer par Power BI

Le reporting standard est correct pour un usage interne par une équipe sécurité. Pour présenter en CODIR ou pour un audit NIS2, il faudra souvent retravailler les exports.

Pas de vérification d’email par IA

Une fonctionnalité qui manque à AST mais que proposent certaines plateformes tierces (dont nophi.sh) : la possibilité pour un utilisateur de transférer un email douteux à un assistant IA qui le qualifie en quelques secondes (légitime, suspect, dangereux). Cela transforme chaque hésitation utilisateur en moment d’apprentissage et démultiplie l’effet du programme.

Conformité NIS2 partielle

AST documente les simulations et fournit des rapports exportables. Mais l’article 21(2)(g) de la directive NIS2 demande un programme de sensibilisation complet, qui couvre :

  • Politique de sensibilisation formalisée
  • Formation initiale et continue
  • Mesure d’efficacité
  • Amélioration continue documentée
  • Adaptation au profil de risque de l’organisation

AST est une brique du dispositif. Pour un dossier NIS2 complet, il faut soit ajouter manuellement les composants manquants (politique, plan annuel, mesure d’efficacité), soit s’appuyer sur une plateforme spécialisée qui les fournit nativement.

Quand AST suffit, quand il ne suffit pas

ProfilRecommandation
Grande entreprise déjà sous M365 E5, équipe SOC ou RSSI à temps pleinAST suffit. L’outil est intégré, performant, et l’équipe sécurité peut exploiter pleinement le reporting et la formation. Pas de surcoût puisque la licence est déjà en place.
PME M365 E3 envisageant E5 uniquement pour ASTTrop cher pour le périmètre. Le saut E3 → E5 représente environ 30 euros par utilisateur par mois, soit 36 000 euros par an pour 100 personnes. L’add-on Defender Plan 2 à 5 euros par mois est plus rationnel, ou une plateforme tierce à coût comparable avec un périmètre plus large. Consultez le comparatif GoPhish vs AST vs nophi.sh.
PME francophone avec besoin de templates sectoriels (Ameli, DGFiP, banques françaises)Une plateforme tierce francophone est plus rapide à déployer. Les payloads prêts à l’emploi évitent les 30 à 60 heures de création annuelle de templates.
Organisation hors environnement Microsoft 365 (Google Workspace, on-premise)AST n’est pas disponible. Il faut une plateforme tierce, indépendante du fournisseur de messagerie.

Et après : le plan d’action

Si vous êtes en Microsoft 365 E5 ou si vous prévoyez l’add-on Defender Plan 2, AST est l’outil par défaut. Activez-le, commencez par une simulation pilote sur un groupe restreint, configurez le bouton Report, mesurez les premiers résultats. Comparez votre taux de compromission au predicted compromise rate Microsoft pour identifier les payloads qui sortent du standard. Ajustez progressivement.

Si vous êtes en E3 ou Business Premium et que la facture E5 ou l’add-on Defender Plan 2 vous semble disproportionnée par rapport au périmètre, comparez avec une plateforme spécialisée dans la sensibilisation. Le critère n’est pas seulement le prix : c’est la disponibilité de templates en français, la qualité du micro-learning post-clic, la conformité NIS2 native, et l’absence d’effort de création manuelle de contenu. Notre comparatif Proofpoint, KnowBe4 et les autres acteurs du marché détaille les critères de sélection.

Quel que soit l’outil retenu, la sensibilisation ne remplace pas la configuration technique. Avant ou en parallèle d’AST, consultez notre guide sécuriser Microsoft 365 et notre guide AiTM pour traiter les vecteurs que la formation seule ne couvre pas. Pour comprendre pourquoi les attaquants se sont déplacés vers Teams et SharePoint, voyez notre analyse phishing Teams et SharePoint.

nophi.sh est une alternative française à AST : hébergement en France, conformité RGPD et NIS2 documentées, plus de 90 templates français prêts à l’emploi incluant les marques françaises usuelles, micro-learning adaptatif post-clic, et vérification IA d’emails douteux par les utilisateurs. Consultez les fonctionnalités et les tarifs pour comparer concrètement.

Testez la posture de sécurité Microsoft 365 de votre domaine avant de lancer un programme de simulation. Notre outil de test de sécurité email vérifie SPF, DKIM, DMARC et la configuration anti-spoofing en quelques secondes — sans inscription.

FAQ

Attack Simulation Training est-il inclus dans Microsoft 365 Business Premium ?

Non. AST requiert une licence Microsoft 365 E5, Office 365 E5, Microsoft 365 A5, ou l’add-on Microsoft Defender for Office 365 Plan 2. Microsoft 365 Business Premium inclut Defender for Office 365 Plan 1, qui ne contient pas AST. Cette limitation est documentée dans la page get-started d’AST sur learn.microsoft.com et reste un point de friction fréquent pour les PME équipées en Business Premium.

Combien coûte AST en add-on quand on est en E3 ?

Microsoft Defender for Office 365 Plan 2 est facturé environ 5 euros par utilisateur par mois en add-on à une licence Microsoft 365 E3 ou Business Premium (tarif public Microsoft, susceptible de variations selon le canal). Pour une PME de 100 personnes, cela représente environ 6 000 euros par an, à comparer aux alternatives tierces spécialisées en simulation de phishing. Le tarif exact est à vérifier sur microsoft.com/fr-fr/security/business car les prix sont régulièrement réindexés.

Peut-on utiliser AST sur des utilisateurs sans licence E5 ?

Non. La page Microsoft Learn d’AST précise clairement que la licence requise s’applique à chaque utilisateur ciblé par une simulation, et non au seul administrateur qui la configure. Un tenant peut techniquement mélanger des utilisateurs E3 et E5, mais seuls les utilisateurs portant une licence éligible peuvent être inclus dans les groupes cibles. Cette limitation par siège est un facteur de coût souvent sous-estimé lors du chiffrage initial.

Quelle différence entre AST et les outils tiers comme nophi.sh ?

AST est l’outil natif Microsoft, parfaitement intégré au reste de Microsoft 365 (Entra ID, Defender, audit unifié). Les solutions tierces comme nophi.sh fonctionnent quel que soit le fournisseur de messagerie, proposent des templates localisés en français (Ameli, DGFiP, Chronopost France), incluent un micro-learning adaptatif post-clic et des rapports de conformité NIS2 prêts à l’emploi. Le choix dépend du contexte : pour un tenant E5 mature avec équipe SOC, AST suffit. Pour une PME francophone en E3, le surcoût E5 dépasse souvent celui d’une plateforme spécialisée.

Comment migrer d’AST vers une plateforme tierce ?

Exportez d’AST les rapports de campagnes au format CSV depuis le tableau de bord (Reports). La liste des utilisateurs est synchronisée avec Entra ID, donc directement réutilisable. Conservez l’historique exporté pour la continuité de votre piste d’audit NIS2 et ISO 27001. Sur la plateforme cible, importez la liste utilisateurs, configurez un domaine d’envoi distinct, et planifiez la première campagne en parallèle pendant un cycle pour valider la délivrabilité avant de basculer.

AST peut-il simuler des attaques AiTM (Adversary-in-the-Middle) ?

Pas directement. AST inclut Credential Harvest, qui simule une page de connexion clonée et collecte les identifiants saisis. C’est le scénario le plus proche d’une attaque AiTM mais sans la captation du jeton de session, qui est la signature technique de l’AiTM. Pour tester la résistance des utilisateurs à un AiTM réel, il faut soit un test red team avec un kit comme EvilGinx2 (et non une simulation à grande échelle), soit une plateforme tierce qui propose des templates AiTM réalistes sans l’aspect offensif réel.

Le contenu d’AST est-il localisé en français ?

Partiellement. L’interface administrateur et les notifications utilisateurs sont disponibles en français. Le catalogue Global payloads contient des payloads dans 29 langues selon la documentation Microsoft, dont le français. En pratique, les payloads français sont moins nombreux et plus génériques que les anglophones, et il n’y a pas de templates calqués sur les services français usuels (Ameli, DGFiP, Chronopost, banques françaises). Pour des simulations crédibles en France, il faut souvent créer ses propres tenant payloads.

AST satisfait-il aux exigences NIS2 en matière de sensibilisation ?

AST documente les simulations menées et fournit des rapports exportables, ce qui couvre la partie test et mesure. Mais l’article 21(2)(g) de la directive NIS2 demande un programme de sensibilisation complet : politique, formation initiale et continue, mesure d’efficacité, et amélioration continue. AST seul ne génère pas de rapport de conformité NIS2 formaté, ne suit pas la complétion individuelle au-delà des modules assignés, et ne fournit pas de score de risque humain par collaborateur. Il est une brique du dispositif, pas le dispositif complet.