Simulations de phishing bien menées : mesurer le risque humain
Un e-mail piégé qui humilie ceux qui cliquent n’apprend rien à personne. Voici comment nous menons une simulation de phishing qui mesure le risque humain et fait bouger les indicateurs qui comptent : taux de signalement, délai de réaction et récidivistes du clic.

16 h 55, un vendredi. Une employée du service financier d’une entreprise que nous appellerons acme-corp ouvre un e-mail du “CFO”. Virez le fournisseur maintenant, la facture est déjà en retard, je suis coincé en réunion alors ne m’appelez pas. Son curseur était sur le bouton d’approbation.
Elle s’est arrêtée. Pas parce qu’un filtre l’a signalé, ni parce qu’elle est plus maligne que le reste du service. Deux semaines plus tôt, elle avait cliqué sur une simulation de phishing qui utilisait exactement le même ressort : de l’urgence empilée sur de l’autorité, un motif que l’on ne peut pas vérifier de vive voix. La leçon est restée. Elle a plutôt transféré le vrai message au bouton de signalement.
C’est tout l’enjeu. Une simulation de phishing ne consiste pas à prendre les gens en faute. Elle consiste à mesurer comment vos collaborateurs se comportent face à un leurre crédible, puis à réduire l’écart entre ceux qui cliquent et ceux qui signalent. Menez-la comme une machine à blâmer et vous apprenez au personnel à cacher ses erreurs. Menez-la bien et vous en ressortez avec un chiffre défendable pour le risque humain et une courbe de tendance que vous pouvez réellement faire évoluer.
Points clés à retenir
- Une simulation de phishing mesure le risque humain face à un leurre réaliste. C’est un diagnostic, pas un piège ni un outil de punition.
- Le taux de signalement compte plus que le taux de clic. Une équipe qui signale vite contient une attaque plus rapidement qu’une équipe qui se contente de cliquer moins.
- Menez-la de façon éthique : accord écrit de la direction, RH et responsable du SOC informés, aucun mot de passe réel jamais stocké, et aucune personne nommée.
- Associez à chaque campagne une formation courte, dans l’instant. La seconde propice à l’apprentissage se situe juste après le clic, pas dans un diaporama trimestriel.
- Suivez sur plusieurs séries le taux de clic, le taux de soumission, le taux de signalement, le délai avant le premier signalement et les récidivistes du clic. Une seule campagne est un instantané ; la valeur réside dans la tendance.
Ce qu’est réellement une simulation de phishing
Une simulation de phishing est un exercice contrôlé où votre équipe de sécurité, ou un cabinet comme le nôtre, envoie à vos propres collaborateurs des e-mails de phishing inoffensifs mais réalistes, enregistre qui interagit et transforme le résultat en formations et en corrections de processus. Les e-mails ont l’air vrais. La charge utile n’existe pas. L’ordinateur portable de personne n’est compromis, et aucun identifiant réel n’est jamais capturé.
Cela correspond parfaitement à la manière dont les attaquants s’introduisent. Le phishing relève de la technique MITRE ATT&CK T1566, avec des sous-techniques pour les liens de spearphishing (T1566.002) et les pièces jointes (T1566.001). La collecte d’identifiants via une fausse page de connexion est la variante que nous modélisons le plus, car elle est peu coûteuse à mettre en place et elle fonctionne. La compromission de messagerie d’entreprise, le scénario de fraude au virement ci-dessus, en est le cousin coûteux, et il vaut la peine de la simuler spécifiquement pour les rôles de la finance et des assistants de direction.
Voici le point gênant. Vos contrôles techniques peuvent être excellents, et un seul e-mail convaincant adressé à une seule personne distraite passe malgré tout juste devant eux. Les gens ne sont pas le maillon faible parce qu’ils sont négligents. Ils sont la cible parce qu’ils sont joignables, et parce qu’un bon prétexte détourne des instincts que nous voulons justement voir chez les employés : être serviable, être rapide, ne pas faire attendre le patron.
Comment mener une simulation de phishing de façon éthique ?
Obtenez une autorisation écrite avant qu’un seul e-mail ne quitte la boîte d’envoi. Dans nos missions, la campagne ne se déclenche pas tant que nous n’avons pas l’accord de la direction, une liste de cibles convenue et une fenêtre d’exclusion qui écarte les incidents en cours, les jours de publication de résultats et tout ce qui ressemble à un drame au sein de l’entreprise. L’ingénierie sociale est le seul type de test où le sujet est une personne, pas un serveur. L’éthique y est porteuse.
Quelques limites que nous ne franchissons pas :
- Informez les bonnes personnes, pas tout le monde. Les RH, le service juridique et le responsable du SOC doivent être prévenus à l’avance. La population générale ne doit pas l’être, sinon vous mesurez du théâtre plutôt que du comportement.
- Ne conservez jamais un identifiant réel. Si la page d’atterrissage comporte un champ de mot de passe, la valeur saisie part à la poubelle. Nous journalisons qu’une soumission a eu lieu, jamais ce qui a été tapé. Il n’existe aucune raison défendable de conserver un mot de passe réel.
- Aucune humiliation publique. Les résultats restent agrégés. “Le taux de signalement de la finance était de 40 pour cent” convient. Citer nommément Dave de la finance dans un canal d’entreprise, voilà comment on tue le programme en une seule campagne.
- Dosez la cruauté. Les fausses lettres de prime, les faux avis de licenciement et les faux appels aux dons après une vraie catastrophe génèrent tous des taux de clic énormes et détruisent la confiance tout aussi vite. Nous écartons les prétextes émotionnellement abusifs. Nous visons un changement de comportement, pas une plainte auprès des RH.
Comment nous construisons et envoyons la campagne
Le déroulement reprend celui de l’attaquant, sans les dégâts. La reconnaissance vient en premier. À quoi ressemblent vraiment vos e-mails réels ? Nous étudions le ton des communications internes, les SaaS que vous utilisez vraiment (Microsoft 365, Okta, quel que soit le portail RH dans lequel vous vivez) et les domaines depuis lesquels vous envoyez. Un leurre convaincant se fait passer pour quelque chose que la cible voit chaque semaine, pas pour un générique “service informatique” que personne ne reconnaît.
Puis l’infrastructure. Le logiciel libre GoPhish couvre l’envoi, le suivi et la capture sur la page d’atterrissage pour la plupart des travaux de sensibilisation. Pour un domaine sosie, nous enregistrons quelque chose de plausible, par exemple acme-corp-hr.com ou un quasi-homoglyphe du vrai, nous le chauffons et configurons SPF, DKIM et DMARC pour qu’il atteigne la boîte de réception plutôt que le dossier de courrier indésirable. Avant même d’envoyer quoi que ce soit, l’une des premières choses que nous vérifions est la posture de la cible elle-même :
$ dig +short TXT _dmarc.acme-corp.com
"v=DMARC1; p=none; rua=mailto:[email protected]"
Une politique p=none signifie que le domaine surveille les courriers usurpés mais ne les rejette pas, ce qui vous en dit long avant même le début de la campagne. Si votre propre passerelle met le test en quarantaine, vous avez appris quelque chose de réel sur la passerelle et absolument rien sur les humains, si bien que le réglage de la délivrabilité fait partie du travail.
Le flux de suivi lui-même est simple. Chaque lien porte un jeton propre à chaque destinataire, de sorte que chaque événement se rattache à une seule personne sans deviner :
GET /login?rid=7f3a9c2e HTTP/1.1
Host: acme-corp-hr.com
User-Agent: Mozilla/5.0 ...
-- click logged for rid=7f3a9c2e
-- page renders a fake Okta login
-- if the user submits:
POST /login { username, password }
-- submit logged, credentials discarded, redirect to training
Quiconque soumet quelque chose arrive sur un court débriefing à l’instant même où il appuie sur Entrée. Voici l’e-mail que vous avez reçu. Voici les trois indices que vous auriez pu repérer. Voici le bouton de signalement. Cette page surpasse n’importe quel module de formation annuel, pour une seule raison : la leçon arrive tant que l’erreur est encore fraîche.
Pour les clients plus matures, nous allons au-delà de l’e-mail. Le vishing (un prétexte téléphonique) et le smishing (SMS) complètent le tableau, et un leurre par code QR teste si le “quishing” contourne entièrement vos défenses de messagerie. Les attaquants ne se limitent pas à un seul canal, et un test mature ne devrait pas non plus s’y limiter.
Quels indicateurs de phishing comptent vraiment ?
Le taux de clic est le chiffre que réclame chaque partie prenante et celui auquel je me fie le moins pris isolément. Il est trivial à truquer. Envoyez un leurre paresseux et évident, et votre taux de clic paraîtra brillant. Les chiffres qui vous apprennent quelque chose :
- Taux de signalement. Quelle part des destinataires appuie sur le bouton de signalement ? C’est de loin le meilleur prédicteur de la vitesse à laquelle une vraie attaque est contenue. Une équipe qui clique à 15 pour cent mais signale à 60 pour cent est bien mieux placée qu’une équipe qui clique à 8 pour cent et ne signale rien.
- Taux de soumission. Parmi ceux qui ont cliqué, combien ont saisi leurs identifiants ? Le clic est un faux pas. La soumission est la compromission.
- Délai avant le premier signalement. Les minutes entre l’envoi et votre premier signalement d’utilisateur. Un signalement rapide permet au SOC de retirer le courriel malveillant de toutes les boîtes de réception avant que d’autres ne mordent.
- Récidivistes du clic. La petite frange qui clique campagne après campagne constitue votre risque concentré. Ces personnes ont besoin d’un accompagnement ciblé, pas d’un nouvel e-mail de masse.
Une campagne vous donne un instantané. Quatre réparties sur une année, segmentées par service, vous donnent une tendance, et la tendance est le vrai livrable. C’est ce qu’un conseil d’administration veut réellement voir et ce qu’un auditeur accepte comme preuve qu’un contrôle de sensibilisation fonctionne plutôt que d’exister sur le papier.
Comment réduire concrètement le risque ?
Tester sans donner suite revient simplement à agacer les gens selon un calendrier. La réduction vient de deux sources : une formation rapide et ciblée liée à chaque simulation, et la correction des failles de processus que l’exercice met en lumière.
Faites du signalement l’option par défaut la plus simple et récompensez-le. Un bouton de signalement en un clic dans Outlook ou Gmail, auquel on répond par un simple “merci, nous examinons cela”, l’emporte à chaque fois sur une culture punitive. Côté technique, la même campagne fait presque toujours apparaître des lacunes qu’il vaut la peine de corriger, quel que soit le comportement des humains : DMARC toujours sur p=none, aucune bannière d’expéditeur externe, une MFA qui accepte des codes SMS hameçonnables, aucune règle de flux de courrier pour retirer un phishing signalé de toutes les boîtes aux lettres d’un coup. Poussez les comptes à forte valeur vers une MFA résistante au phishing telle que FIDO2 ou les passkeys, car cela supprime entièrement le bénéfice de la collecte d’identifiants. Aucun mot de passe à voler, aucune fausse page de connexion qui vaille la peine d’être construite.
Soyez honnête aussi lors du débriefing. Se sortir d’un mauvais résultat par des tournures de phrase (“la participation était faible à cause du calendrier”) n’aide personne. Si la moitié de la finance a livré ses identifiants à un leurre de fraude au virement, c’est cela le constat. Notez-le. C’est corrigeable, et prétendre le contraire garantit simplement que vous apprendrez la même chose d’un vrai attaquant le trimestre prochain.
Comment CyberXplore vous aide
Notre service d’ingénierie sociale et de simulation de phishing pilote l’ensemble du programme de bout en bout : des leurres multicanaux réalistes par e-mail, téléphone, SMS et QR, une gestion sûre des identifiants qui ne stocke jamais un vrai mot de passe, des indicateurs par service et une formation dans l’instant qui se déclenche à la seconde où quelqu’un clique. Nous construisons des prétextes autour de vos vrais outils et de votre ton, briefons votre SOC pour que l’exercice serve aussi d’entraînement à la détection et à la réponse, et vous remettons une courbe de tendance que vous pouvez présenter au conseil d’administration ou à un auditeur. Vous voulez connaître votre vrai taux de signalement avant qu’un attaquant ne le mesure à votre place ? Demandez un devis et nous dimensionnerons une campagne selon votre effectif et votre profil de risque.
FAQ
À quelle fréquence devrions-nous mener une simulation de phishing ?
Le rythme trimestriel est le juste milieu pour la plupart des organisations. Un rythme mensuel tend à engendrer lassitude et accoutumance, tandis que des campagnes annuelles sont trop rares pour créer une habitude ou faire apparaître une tendance. Variez le prétexte et la difficulté à chaque tour afin que les gens ne puissent pas simplement se dire “ce doit être le test trimestriel”.
Faut-il punir les employés qui échouent ?
Non. La punition apprend aux gens à cacher leurs erreurs et à se méfier de l’équipe de sécurité, ce qui est l’inverse de ce que vous voulez. Concentrez-vous sur l’accompagnement, la simplicité du signalement et le soutien du petit groupe de récidivistes du clic. Réservez une action formelle des RH aux véritables violations de politique, jamais au fait d’avoir cliqué sur un test bien conçu.
Qu’est-ce qu’un bon taux de clic pour une simulation de phishing ?
Il n’existe pas de chiffre magique universel, et en poursuivre un faible est trompeur. Un leurre bien conçu et ciblé battra toujours un leurre paresseux ; ainsi, une difficulté croissante accompagnée d’un taux de clic stable ou en baisse est la vraie victoire. Surveillez le taux de signalement et les récidivistes du clic dans le temps plutôt que de vous obséder sur un unique pourcentage de clic.
Une simulation de phishing est-elle légale et sans danger pour notre personnel ?
Oui, lorsqu’elle est autorisée et menée de façon éthique. Vous testez vos propres employés sur vos propres systèmes avec l’accord de la direction, donc c’est légal. La sécurité vient du fait de ne jamais stocker d’identifiants réels, d’éviter les prétextes abusifs, d’informer les RH et le SOC, et de garder tous les résultats agrégés plutôt que de nommer des individus.
En quoi une simulation de phishing diffère-t-elle d’une mission de red team ?
Une simulation de phishing est un exercice ciblé et mesurable axé sur le comportement des collaborateurs et les indicateurs de sensibilisation auprès de nombreux destinataires. Une mission de red team peut utiliser le phishing comme point d’entrée, mais poursuit ensuite un objectif plus large, comme atteindre des données sensibles ou des droits d’administrateur de domaine, afin de tester la détection et la réponse dans tout l’environnement. Les deux se complètent : la simulation établit la base humaine qu’une red team mettra ensuite à l’épreuve.



