/ Cybersécurité et fiabilité / Campagne de phishing interne : comment tester vos employés sans briser la confiance ?
Professionnel analysant un email avec vigilance dans un environnement de travail moderne et éclairé
Publié le 15 mars 2024

Le succès d’une campagne de phishing ne réside pas dans un faible taux de clic, mais dans un fort taux de signalement, transformant chaque employé en un allié de votre cybersécurité.

  • Privilégiez la gamification et les scénarios personnalisés pour un apprentissage engageant et pertinent.
  • Adoptez une culture de renforcement positif, où le signalement est récompensé et l’erreur devient une opportunité de formation.

Recommandation : Intégrez ces principes dès l’onboarding et renforcez-les avec des contrôles d’accès stricts (RBAC) pour créer une défense en profondeur.

Lancer une campagne de phishing interne est devenu une pratique courante. La question n’est plus « faut-il tester ses équipes ? », mais « comment le faire sans transformer le lieu de travail en un terrain de jeu miné ? ». En tant que RSSI ou DRH, vous marchez sur une ligne de crête : d’un côté, le besoin impérieux de mesurer et de renforcer le premier rempart de l’entreprise – le facteur humain. De l’autre, le risque de créer un climat de méfiance, de flicage, où l’employé se sent piégé plutôt que formé.

Les approches traditionnelles, souvent focalisées sur le « taux de clics » comme unique mesure de l’échec, renforcent ce sentiment. On brandit un chiffre, on pointe du doigt le « maillon faible », et on espère qu’une formation PowerPoint punitive changera les comportements. Cette méthode est non seulement contre-productive, mais elle passe à côté de l’essentiel. Elle ignore la psychologie de l’apprentissage et néglige l’opportunité de construire une véritable culture de sécurité. Et si la véritable clé n’était pas de traquer l’erreur, mais de cultiver le réflexe ?

Cet article propose une rupture avec ce paradigme. Nous allons explorer une approche bienveillante et pédagogique, où la campagne de phishing devient un outil d’engagement. L’objectif n’est plus de compter ceux qui tombent dans le panneau, mais de célébrer ceux qui signalent la menace. Nous verrons comment transformer la vigilance passive en une participation active, faisant de chaque collaborateur non pas une vulnérabilité potentielle, mais le premier et le plus efficace des capteurs de votre système de défense.

Cet article est structuré pour vous guider pas à pas dans la mise en place de cette philosophie. Du jeu à la personnalisation des scénarios, en passant par la redéfinition des indicateurs de succès, vous découvrirez des stratégies concrètes pour bâtir une culture du signalement positive et durable.

Sommaire : Mettre en place une campagne de phishing interne efficace et bienveillante

Serious Games et Escape Rooms : pourquoi le jeu marque plus les esprits qu’un PowerPoint ?

L’époque des formations sur la cybersécurité dispensées via des présentations arides et soporifiques est révolue. Pour marquer durablement les esprits et transformer les comportements, il faut engager, surprendre et impliquer. C’est ici que la gamification, ou ludification, entre en scène. En plaçant les employés dans des situations simulées mais réalistes, le jeu transforme un concept abstrait – la menace de phishing – en une expérience concrète et mémorable. L’apprentissage ne se fait plus par l’écoute passive, mais par l’action et la prise de décision.

Comme le souligne une analyse de PwC France sur le sujet, la gamification permet un apprentissage plus rapide et plus profond, car il est accéléré par la mise en pratique. Le droit à l’erreur dans un cadre sécurisé, la compétition amicale pour obtenir le meilleur score ou la collaboration nécessaire pour résoudre une énigme d’Escape Room ancrent les bons réflexes bien plus efficacement qu’une liste de consignes. L’émotion ressentie – le stress de la décision, la satisfaction de la réussite – crée un ancrage mémoriel puissant.

Cette approche change radicalement la perception de la formation. Elle n’est plus une obligation subie, mais un défi stimulant. L’étude de cas de TDF illustre parfaitement cette transition. En remplaçant ses cours magistraux par le serious game « Keep An Eye Out », l’entreprise a vu l’engagement de ses collaborateurs exploser. Le RSSI rapporte des retours enthousiastes, des employés rejouant pour améliorer leur score et réclamant ce format pour d’autres sujets. Le jeu transforme ainsi les employés en acteurs de la sécurité, motivés et volontaires.

Au lieu d’imposer un savoir, la gamification invite à le construire. Elle favorise une dynamique de groupe positive et fait de la cybersécurité un sujet accessible et même amusant, jetant les bases d’une culture de sécurité partagée et non imposée.

Compta, RH, Direction : pourquoi personnaliser les scénarios d’attaque par département ?

Une campagne de phishing réussie est une campagne crédible. Envoyer le même email générique à toute l’entreprise est une erreur qui diminue drastiquement l’efficacité du test. Les cybercriminels, eux, ne font pas cette erreur : ils ciblent, ils personnalisent et ils adaptent leurs attaques au contexte de leurs victimes. Pour que votre simulation soit un véritable exercice d’entraînement, elle doit mimer cette réalité. Le phishing est la principale cyberattaque touchant les entreprises françaises, représentant un risque majeur que la personnalisation permet de mieux adresser. Une analyse du CESIN 2023 révélait que le phishing était impliqué dans près de 60% des cyberattaques réussies, soulignant l’importance de tests pertinents.

Personnaliser les scénarios par département ou par métier permet de tester la vigilance des collaborateurs face aux menaces qui les concernent directement. Un comptable sera bien plus sensible à un faux email concernant une facture impayée ou une prime exceptionnelle qu’à une alerte de sécurité générique. De même, un membre de l’équipe RH sera plus susceptible de cliquer sur un lien lié à la gestion d’un badge d’accès ou à un CV. En exploitant les processus, le jargon et les préoccupations spécifiques de chaque équipe, vous augmentez le réalisme de la simulation et, par conséquent, la valeur pédagogique de l’exercice.

Voici quelques exemples de scénarios de phishing qui peuvent être adaptés pour maximiser leur pertinence :

  • Comptabilité : Un faux email urgent de la direction demandant un virement exceptionnel (fraude au président) ou une notification de prime avec une pièce jointe contenant un prétendu calcul.
  • Ressources Humaines : Une alerte concernant la carte restaurant d’un collaborateur, demandant une connexion sur un faux portail pour récupérer les identifiants, ou un CV piégé d’un candidat très attractif.
  • Direction : Des emails imitant des communications sensibles (levée de fonds, projet confidentiel) demandant une validation ou une relecture via un lien vers un document partagé frauduleux.
  • Tous les départements : Une fausse alerte de sécurité sur un outil quotidien (Microsoft 365, Slack, Google Workspace) ou une notification de livraison de colis personnel au bureau, incitant à se connecter pour suivre le paquet.

Cette approche segmentée ne sert pas à piéger plus de monde, mais à offrir un retour sur expérience plus riche. Le débriefing qui suit le test peut alors s’appuyer sur un cas concret et parlant pour le collaborateur, renforçant l’idée que la menace n’est pas abstraite mais bien réelle et adaptée à son quotidien professionnel.

Taux de clic vs Taux de signalement : quel est le vrai indicateur de maturité de vos équipes ?

Pendant des années, le principal indicateur de performance (KPI) d’une campagne de phishing a été le taux de clic. Un chiffre simple, binaire, qui mesure le pourcentage d’employés ayant cliqué sur le lien malveillant. Si ce chiffre baisse au fil des campagnes, on crie victoire. Pourtant, cet indicateur est trompeur. Il ne mesure que l’échec ponctuel et ne dit rien de la résilience globale de l’entreprise. Se focaliser uniquement sur le taux de clic, c’est comme juger un gardien de but uniquement sur les buts qu’il encaisse, sans jamais compter ses arrêts. Le véritable indicateur de maturité d’une culture sécurité n’est pas le taux de clic, mais le taux de signalement.

Le taux de signalement mesure le pourcentage d’employés qui, face à un email suspect (simulé ou réel), ne se contentent pas de le supprimer, mais utilisent activement l’outil mis à leur disposition pour le signaler à l’équipe sécurité. Ce geste simple est le signe d’une vigilance active. Il transforme l’employé d’une cible potentielle en un capteur essentiel du système de défense. D’après une analyse de Proofpoint portant sur des millions d’utilisateurs, le taux de signalement moyen est de 13%, montrant une marge de progression considérable dans la plupart des organisations.

Le tableau suivant, inspiré d’analyses du secteur, met en lumière la différence stratégique entre ces deux métriques.

Taux de clic vs Taux de signalement : quelle histoire racontent-ils ?
Métrique Ce qu’elle mesure Limite principale Valeur stratégique
Taux de clic % d’employés tombant dans le piège du phishing Ne reflète que l’échec, pas la progression ni la résilience globale Indicateur de vulnérabilité ponctuelle
Taux de signalement % d’employés signalant activement les emails suspects Nécessite un outil de signalement facilement accessible Mesure la culture sécurité et la participation active à la défense
Facteur de résilience Ratio signalement/clic (idéal : 14x selon Proofpoint) Complexe à calculer et communiquer Vision holistique de la maturité cybersécurité

En valorisant et en suivant le taux de signalement, vous ne mesurez plus seulement la vulnérabilité, mais la force de votre défense humaine. C’est l’indicateur qui prouve que vos formations fonctionnent et que votre culture sécurité est bien vivante et participative.

Récompense vs Punition : comment créer une culture positive du signalement d’incident ?

La manière dont une entreprise réagit à l’erreur d’un employé face à un test de phishing est le pilier de sa culture de sécurité. Une approche punitive, basée sur la réprimande, l’affichage public ou des formations obligatoires perçues comme une sanction, est la garantie d’un échec à long terme. Elle engendre la peur, la dissimulation et le ressentiment. Un employé qui craint d’être puni pour avoir cliqué ne signalera jamais une erreur future, transformant un incident potentiellement mineur en une brèche de sécurité majeure. L’objectif n’est pas de créer des employés craintifs, mais des alliés vigilants.

Une campagne de sensibilisation au phishing réussie est une campagne qui apprend aux salariés à faire preuve de vigilance et à être acteur de sa cybersécurité au quotidien, sans simplement pointer les erreurs, et encore moins les punir.

– Trustpair

Créer une culture positive repose sur le principe du renforcement positif. Au lieu de sanctionner l’échec, il faut célébrer la vigilance. Mettez en place un système où le signalement d’un email (qu’il soit issu de la simulation ou une menace réelle) est reconnu et valorisé. Cela peut prendre plusieurs formes : un simple email de remerciement de la part de l’équipe sécurité, un tableau d’honneur (anonymisé ou par service) des « meilleurs signaleurs », ou même des récompenses symboliques (goodies, bons cadeaux). L’important est de communiquer clairement que le signalement est un acte positif qui contribue directement à la protection de tous.

Étude de cas : l’approche progressive de SkillX

L’entreprise SkillX illustre bien cette philosophie avec une approche en trois niveaux. Une première campagne mesure le risque initial sans jugement. Ensuite, une phase « Advanced » forme les équipes après le test en leur fournissant un kit de sensibilisation pour transformer les bonnes pratiques en réflexes durables, avant de relancer une campagne pour mesurer le progrès. Enfin, un niveau « Guru » maintient la vigilance sur le long terme avec des rappels bienveillants. Cette méthode valorise l’évolution et l’apprentissage continu plutôt que de sanctionner l’erreur initiale, instaurant un climat de confiance.

Lorsqu’un employé clique, la réaction ne doit pas être une punition, mais une opportunité d’apprentissage immédiate et personnalisée : une page explicative, une courte vidéo, un quiz interactif. L’erreur devient un moment pédagogique, non un motif de honte. C’est en dédramatisant l’erreur et en célébrant le bon réflexe que vous transformerez durablement les comportements.

Onboarding sécurité : comment inculquer les bons réflexes dès le premier jour ?

La culture de la sécurité d’une entreprise se forge dès les premiers instants. L’onboarding d’un nouvel employé est une fenêtre d’opportunité unique pour inculquer les bons réflexes avant que les mauvaises habitudes ne s’installent. Un nouvel arrivant est particulièrement vulnérable : il ne connaît pas encore parfaitement les processus internes, les outils, ni les visages de ses collègues, ce qui le rend plus susceptible de tomber dans les pièges de l’ingénierie sociale. Comme le souligne un rapport sur les facteurs de vulnérabilité, les employés non formés sont une cible privilégiée pour les cybercriminels.

Intégrer la sensibilisation au phishing dans le parcours d’intégration est donc non pas une option, mais une nécessité. Il ne s’agit pas de submerger le nouvel employé avec des règles austères, mais de lui fournir un « kit de survie numérique » pratique et bienveillant. L’approche doit être progressive, engageante et immédiatement applicable. Le but est de faire de la vigilance un comportement naturel dès le début, au même titre que la configuration de sa messagerie ou la découverte des locaux.

Voici des éléments concrets à intégrer dans votre processus d’onboarding sécurité :

  • Une simulation de phishing bienveillante dès la première semaine, avec un scénario simple et un débriefing immédiat, chaleureux et pédagogique en cas de clic.
  • Une page de formation interactive qui s’affiche en cas de clic, expliquant l’erreur avec une courte vidéo et un quiz pour valider la compréhension.
  • L’attribution d’une mini-mission : « votre mission, si vous l’acceptez, est d’identifier et de signaler 3 emails suspects (réels ou simulés) durant votre premier mois ».
  • La fourniture d’un mémo (physique ou numérique) résumant les points de vérification essentiels d’un email, la procédure de signalement et les contacts d’urgence.

Votre plan d’action pour un onboarding sécurité réussi

  1. Points de contact : Listez tous les moments du parcours d’intégration où un message de sécurité peut être inséré (accueil, remise du matériel, formation outils…).
  2. Collecte : Inventoriez les supports existants (vidéos, fiches) et créez un premier scénario de phishing « spécial nouvel arrivant » (ex: faux email de bienvenue du PDG avec un lien suspect).
  3. Cohérence : Assurez-vous que le ton de la formation sécurité est aligné avec les valeurs de l’entreprise (bienveillance, accompagnement).
  4. Mémorabilité/émotion : Intégrez un élément ludique ou surprenant (la « mini-mission ») pour rendre l’expérience mémorable et positive.
  5. Plan d’intégration : Intégrez officiellement le module de sécurité au planning d’onboarding standardisé par les RH.

En intégrant la sécurité de manière proactive et positive dans l’accueil de chaque nouveau talent, vous envoyez un message fort : chez nous, la sécurité est l’affaire de tous, et nous vous donnons les moyens d’en être un acteur clé dès votre premier jour.

MFA Fatigue : comment les hackers vous bombardent de notifications pour vous faire craquer ?

L’authentification multifacteur (MFA) est souvent présentée comme la solution miracle contre le vol d’identifiants. Et pour cause, elle ajoute une couche de sécurité essentielle. Cependant, les attaquants s’adaptent et ont développé une technique d’ingénierie sociale redoutable pour la contourner : la MFA Fatigue, ou « prompt bombing ». La technique est diaboliquement simple : une fois qu’un pirate a obtenu votre mot de passe (via un précédent phishing ou une fuite de données), il tente de se connecter à votre compte. Chaque tentative déclenche une notification push sur votre smartphone vous demandant de valider la connexion.

L’attaquant ne s’arrête pas à une seule tentative. Il vous bombarde de dizaines, voire de centaines de notifications, souvent en pleine nuit ou pendant une réunion importante. Le but est de vous épuiser, de vous lasser ou de vous faire douter. Vous finissez par penser qu’il s’agit d’un bug et, dans un moment d’inattention ou d’exaspération, vous appuyez sur « Approuver » juste pour que le harcèlement cesse. À cet instant, la porte est ouverte. Une étude de Microsoft a révélé que près de 1% des utilisateurs ciblés acceptent l’une de ces notifications frauduleuses, un taux de réussite faible en apparence, mais colossal à l’échelle de millions d’attaques.

Cette technique prouve que même les défenses techniques les plus robustes peuvent être contournées si l’humain n’est pas préparé. La sensibilisation est donc cruciale. Vos équipes doivent comprendre ce qu’est la MFA Fatigue et adopter un réflexe simple : si vous ne êtes pas à l’origine d’une demande de connexion, ne l’approuvez JAMAIS. Au contraire, signalez immédiatement l’incident à l’équipe sécurité.

Étude de cas : l’attaque contre Uber par Lapsus$

En 2022, Uber a été victime d’une attaque majeure précisément par cette méthode. D’après une analyse de Specopssoft sur l’attaque, un pirate a acheté les identifiants d’un sous-traitant sur le dark web, puis l’a bombardé de notifications MFA jusqu’à ce qu’il cède. Cet incident illustre la simplicité et l’efficacité de la MFA Fatigue, rappelant que la technologie seule ne suffit pas sans une vigilance humaine constante.

Au-delà de la sensibilisation, des mesures techniques comme la limitation du nombre de tentatives ou l’affichage de contexte (géolocalisation, type d’appareil) dans la notification peuvent aider à endiguer cette menace. Mais le dernier rempart reste l’humain, informé et vigilant.

Onboarding et Offboarding : comment automatiser l’attribution et le retrait des droits ?

La gestion du cycle de vie des employés est un moment critique pour la sécurité de l’entreprise. Si l’onboarding est une occasion d’inculquer les bons réflexes, l’offboarding (le départ d’un collaborateur) est un point de contrôle non-négociable. Un compte d’employé qui reste actif après son départ est une porte d’entrée béante pour les attaquants. Il peut être exploité si ses identifiants ont été compromis par le passé, ou même si l’ancien employé mal intentionné décide de s’en servir. La gestion manuelle de ces accès est source d’erreurs et de retards. L’automatisation n’est plus un luxe, mais une nécessité.

L’automatisation du processus d’attribution et de retrait des droits, souvent gérée via des solutions de gestion des identités et des accès (IAM), garantit une cohérence et une rapidité sans faille. En connectant le système d’information des ressources humaines (SIRH) à l’annuaire d’entreprise (comme Azure AD ou Google Workspace), le processus devient fluide :

  • À l’arrivée (Onboarding) : Le compte du nouvel employé est créé automatiquement, et il se voit attribuer les droits et accès correspondant à son rôle, défini au préalable (voir RBAC). Cela évite les droits excessifs accordés « au cas où » et assure que l’employé est opérationnel rapidement et en toute sécurité.
  • Au départ (Offboarding) : Dès que le départ est enregistré dans le SIRH, le compte de l’employé est instantanément désactivé ou supprimé sur l’ensemble des applications connectées. Cette action est immédiate, éliminant la fenêtre de risque.

Un offboarding automatisé et instantané, par exemple via des protocoles comme SCIM (System for Cross-domain Identity Management), rend un compte compromis par phishing totalement inutile quelques minutes après le départ de l’employé, limitant drastiquement la fenêtre d’opportunité pour un attaquant. Pour y parvenir, plusieurs actions sont nécessaires :

  • Déployer une solution IAM (Azure AD, Okta…) pour centraliser la gestion des identités.
  • Configurer l’authentification adaptative (Conditional Access) pour ajuster les exigences selon le contexte.
  • Mettre en place des accès temporaires avec expiration automatique pour les prestataires et stagiaires.
  • Générer des rapports périodiques de « revue des accès » à destination des managers pour les impliquer.

En systématisant ces processus, vous ne faites pas que gagner en efficacité opérationnelle ; vous construisez une fondation technique solide qui vient renforcer la vigilance humaine et limiter l’impact potentiel d’une erreur.

À retenir

  • Le succès d’un test de phishing se mesure au taux de signalement, pas au taux de clic.
  • La gamification et les scénarios personnalisés rendent la formation plus engageante et mémorable.
  • Une culture de sécurité positive, basée sur la récompense du signalement et non la punition de l’erreur, est plus efficace.

Comment définir un contrôle d’accès RBAC (Role-Based Access Control) efficace pour une équipe de 100 personnes ?

Même avec les employés les plus vigilants, l’erreur humaine reste possible. La question n’est pas seulement « comment éviter un clic ? », mais « comment limiter les dégâts SI un clic survient ? ». C’est le rôle du contrôle d’accès basé sur les rôles (RBAC). Ce principe consiste à n’accorder aux employés que les accès strictement nécessaires à l’exercice de leurs fonctions. C’est l’application directe du principe du moindre privilège. Si le compte d’un commercial est compromis, l’attaquant ne doit pouvoir accéder qu’aux données commerciales, et en aucun cas à la comptabilité ou aux serveurs de développement.

Pour une équipe de 100 personnes, définir une matrice RBAC peut sembler complexe, mais la méthode est structurée et collaborative. Tenter de le faire seul depuis le bureau du DSI est voué à l’échec. L’implication des managers de chaque département est indispensable, car ce sont eux qui connaissent le mieux les besoins réels de leurs équipes. Un atelier collaboratif est la meilleure approche pour co-construire une politique de droits d’accès réaliste et adoptée par tous.

La méthode pratique pour construire cette matrice peut se résumer en quelques étapes clés :

  1. Identifier les rôles : Ne raisonnez pas par individu, mais par fonction (ex: « Comptable Fournisseur », « Commercial Grand Compte », « Développeur Backend »).
  2. Lister les ressources : Identifiez les applications, dossiers partagés, bases de données et autres ressources critiques.
  3. Construire la matrice : Créez un tableau simple avec les rôles en lignes et les ressources en colonnes.
  4. Définir les permissions : Pour chaque intersection, définissez le niveau d’accès nécessaire : Aucun accès, Lecture seule, Écriture, ou Administration. Appliquez systématiquement le principe du moindre privilège.
  5. Implémenter et auditer : Une fois la matrice définie, implémentez-la dans vos systèmes (via les groupes de votre annuaire, par exemple) et planifiez des revues régulières (au moins annuelles) avec les managers pour l’ajuster.

Mettre en place une politique de contrôle d’accès rigoureuse est votre filet de sécurité ultime. Pour réussir, il est essentiel de suivre une méthode claire pour définir un modèle RBAC efficace.

Le RBAC n’est pas un projet ponctuel, mais un processus continu. Il constitue la dernière ligne de défense technique qui, combinée à une culture de vigilance humaine, crée une posture de sécurité véritablement résiliente. En cas d’incident, il fait la différence entre un problème contenu et une crise majeure.

Rédigé par Sarah Benali, Sarah Benali est une experte en cybersécurité certifiée CISSP et CISM, cumulant 15 années de pratique en défense des systèmes d'information. Elle intervient sur la sécurisation des flux réseaux et la gestion des identités numériques (PKI). Elle audite régulièrement la conformité SSL/TLS et les plans de reprise d'activité.
Comment définir un contrôle d’accès RBAC (Role-Based Access Control) efficace pour une équipe de 100 personnes ?
L’erreur de configuration MFA (Multi-Factor Authentication) qui laisse entrer 90% des hackers
Fraîchement publiés
Cloud Hybride : comment garder vos données sensibles en interne tout en profitant de la puissance du cloud public ?
Cloud Act vs RGPD : vos données hébergées chez un GAFAM sont-elles vraiment en sécurité juridique ?
Règle du 3-2-1 : pourquoi votre stratégie de sauvegarde actuelle ne vous protège pas d’un incendie ?
Algorithmes prédictifs : comment l’IA optimise vos stocks, clients et opérations mieux qu’un humain
Tests automatisés E2E (End-to-End) : comment vérifier que votre site e-commerce fonctionne vraiment comme un utilisateur ?
Articles similaires
Déployer le MFA sans révolte : comment faire accepter la double authentification à 500 employés ?
SOC (Security Operations Center) : faut-il l’internaliser ou l’externaliser pour une ETI ?
Cyber-résilience : comment votre entreprise peut-elle continuer à fonctionner pendant une attaque ransomware ?
Transactions financières : comment la directive DSP2 impacte la sécurité de vos encaissements ?