Phishing

Simulation de phishing en entreprise : le guide pour lancer votre première campagne

Les simulations de phishing sont le moyen le plus efficace de mesurer et d'améliorer la vigilance de vos collaborateurs. Mais mal menées, elles peuvent détruire la confiance interne. Voici comment lancer votre première campagne dans les règles.

10 mai 2026 10 min de lecture ThinkTwice
L'essentiel en 30 secondes
  • Une simulation bien menée divise le taux de clic par 3 à 5 en 6 mois
  • Cadre légal : informer les représentants du personnel, ne jamais sanctionner
  • Varier les scénarios : email, SMS, QR code, avec difficulté progressive
  • KPI clés : taux de clic (< 5 %), taux de signalement (> 30 %), taux de saisie (< 1 %)
  • Cadence recommandée : 1 campagne par mois, avec pédagogie immédiate post-clic

Pourquoi les simulations sont indispensables

La formation théorique à la cybersécurité est nécessaire mais insuffisante. Un collaborateur peut connaître la définition du phishing, savoir qu'il ne faut pas cliquer sur les liens suspects, et pourtant tomber dans le piège dès qu'un email crédible arrive dans sa boîte de réception. La raison : le transfert de la théorie à la pratique ne se fait pas automatiquement.

Les simulations de phishing en entreprise comblent cet écart. Elles placent les collaborateurs en conditions réelles — sans risque — et mesurent leur comportement face à des leurres calibrés. Les entreprises qui déploient des simulations régulières constatent une division du taux de clic par 3 à 5 en six mois, et une augmentation du taux de signalement de 5 % à plus de 30 %.

Les simulations de phishing sont parfaitement légales en France, à condition de respecter quelques règles :

Information préalable. Les représentants du personnel (CSE) doivent être informés de la démarche. Il n'est pas nécessaire de révéler les dates ou les scénarios, mais le principe d'exercices de simulation doit être connu. Cette information peut figurer dans la charte informatique ou un avenant au règlement intérieur.

Finalité pédagogique. La simulation doit s'inscrire dans un programme de sensibilisation, pas dans une démarche de surveillance ou de sanction. La CNIL et l'ANSSI reconnaissent la simulation de phishing comme une mesure de sécurité légitime dès lors qu'elle respecte cette finalité.

Absence de sanction. Les collaborateurs piégés ne doivent jamais être sanctionnés. La simulation est un outil de mesure et d'apprentissage, pas de contrôle. Le non-respect de cette règle expose l'entreprise à des risques juridiques (et détruit la confiance interne, ce qui est pire).

Données personnelles. Les résultats individuels sont des données personnelles au sens du RGPD. Leur traitement nécessite une base légale (intérêt légitime de l'employeur en matière de cybersécurité) et les données doivent être conservées de manière sécurisée, avec une durée de rétention limitée.

Méthodologie : 6 étapes pour lancer votre campagne

Étape 1 — Définir les objectifs et le périmètre

Première campagne ou non ? Quels services tester en priorité (finance, RH, direction — les cibles habituelles du spear phishing) ? Quel est le taux de clic actuel estimé ? Fixer des objectifs clairs (« passer de 25 % à 10 % de taux de clic en 6 mois ») donne un cadre mesurable.

Étape 2 — Concevoir les scénarios

Chaque campagne doit tester un vecteur et un levier psychologique différents. Un comptable ne reçoit pas les mêmes leurres qu'un développeur. Commencez par des scénarios de difficulté moyenne (faux email de réinitialisation de mot de passe, faux avis de livraison), puis augmentez progressivement vers du spear phishing personnalisé.

Étape 3 — Préparer la page d'apprentissage post-clic

C'est l'élément le plus important. Quand un collaborateur clique sur le lien de la simulation, il doit atterrir sur une page d'apprentissage qui explique : « Ceci était une simulation. Voici les signaux que vous auriez pu repérer : [liste des indices]. Pas d'inquiétude — c'est exactement le but de cet exercice. » Ce micro-moment pédagogique, vécu dans l'émotion de l'erreur, ancre les réflexes bien plus efficacement qu'une formation en salle.

Étape 4 — Lancer et monitorer

Envoyez la simulation et suivez les résultats en temps réel : taux d'ouverture, taux de clic, taux de saisie de données, et surtout taux de signalement (combien de collaborateurs ont transféré l'email au service IT au lieu de cliquer). Chaque métrique raconte une histoire différente.

Étape 5 — Débriefer et communiquer

Partagez les résultats agrégés (jamais individuels) avec l'ensemble de l'entreprise. Montrez le scénario utilisé, les signaux à repérer, et les statistiques globales. Un debriefing bienveillant transforme la simulation en moment d'apprentissage collectif.

Étape 6 — Itérer mensuellement

Une seule simulation ne change rien. C'est la répétition mensuelle, avec des scénarios variés et une difficulté croissante, qui produit des résultats durables. Au bout de 6 mois, vous constaterez une baisse significative du taux de clic et une hausse du taux de signalement.

Les types de scénarios à déployer

Pour être efficace, votre programme doit couvrir plusieurs vecteurs d'attaque, pas seulement l'email :

Email classique : fausse réinitialisation de mot de passe, faux avis de livraison, fausse facture, faux email RH (bulletin de paie, mise à jour des coordonnées). C'est la base.

Spear phishing : email personnalisé imitant un collègue, un prestataire ou un manager. Adapté aux postes sensibles (finance, RH, direction).

Smishing (SMS) : faux avis de livraison, faux message de la banque, faux lien de validation. Les collaborateurs sont souvent moins vigilants sur mobile.

QR code : faux QR code dans un email, un flyer interne ou un poster en salle de pause. Teste la vigilance face au quishing.

Les 4 KPI à suivre absolument

< 5%
Taux de clic cible à 6 mois (contre 20-30 % au départ)
> 30%
Taux de signalement cible (signe d'une culture de vigilance)
< 1%
Taux de saisie de données sensibles (le KPI le plus critique)

Le quatrième KPI est le temps de signalement : combien de minutes s'écoulent entre la réception de l'email et le premier signalement au service IT. Plus ce temps diminue, plus votre défense humaine est réactive.

Lancez votre première simulation en moins de 48h

ThinkTwice gère tout : conception des scénarios, déploiement, pages d'apprentissage, reporting. Vous recevez un dashboard complet par service.

Réserver une démo

Les 4 erreurs qui sabotent une campagne de simulation

Erreur 1 — Sanctionner les collaborateurs piégés

On ne le répétera jamais assez. Sanctionner tue le signalement. Un collaborateur qui sait qu'il sera puni ne remontera plus jamais un incident, même réel. L'approche pédagogique bienveillante produit des résultats bien supérieurs à l'approche punitive.

Erreur 2 — Lancer une seule simulation par an

Une simulation isolée mesure un instant T mais ne change rien durablement. La courbe de l'oubli efface 80 % du contenu en 30 jours. C'est la cadence mensuelle qui installe les réflexes.

Erreur 3 — Utiliser toujours le même type de scénario

Si toutes vos simulations utilisent le même schéma (faux email Microsoft), les collaborateurs apprennent à repérer CE scénario mais restent vulnérables à tous les autres. Variez les vecteurs (email, SMS, QR code) et les leviers (urgence, autorité, curiosité).

Erreur 4 — Ne pas débriefer

Une simulation sans debriefing est une occasion manquée. Le moment où le collaborateur réalise qu'il s'est fait piéger est le moment pédagogique le plus puissant. La page d'apprentissage post-clic et le debriefing collectif sont ce qui transforme une mesure en apprentissage.

Questions fréquentes

Une simulation de phishing est-elle légale en entreprise ?

Oui, à condition qu'elle s'inscrive dans un cadre pédagogique (pas de sanction), que les représentants du personnel soient informés, et que les données personnelles collectées soient traitées conformément au RGPD. L'ANSSI et la CNIL reconnaissent cette pratique comme mesure de cybersécurité légitime.

Combien coûte une campagne de simulation de phishing ?

Le coût varie de quelques centaines d'euros (outils en self-service) à plusieurs milliers pour un accompagnement complet avec scénarios personnalisés, pages d'apprentissage et reporting. Le ROI est considérable : une simulation à 2 000 € qui évite une fraude à 466 000 € se rentabilise 230 fois.

À quelle fréquence faut-il lancer des simulations ?

La cadence recommandée est d'une simulation par mois, avec des scénarios variés et une difficulté progressive. Cette fréquence permet de maintenir la vigilance sans créer de lassitude, et de mesurer la progression mois après mois.

Faut-il prévenir les collaborateurs qu'il y aura des simulations ?

Le principe d'exercices de simulation doit être connu (via la charte informatique ou le CSE), mais les dates et les scénarios précis ne doivent pas être révélés. L'objectif est de tester le comportement en conditions réelles.

La simulation : le meilleur investissement cybersécurité

Une campagne de simulation de phishing bien menée produit un retour sur investissement sans équivalent en cybersécurité. Pour un coût modeste, elle mesure votre niveau de risque réel, identifie les services les plus vulnérables, et installe des réflexes durables chez vos collaborateurs. À condition de respecter deux principes non négociables : la bienveillance (jamais de sanction) et la régularité (mensuelle, pas annuelle).

Prêt à lancer votre première campagne ?

ThinkTwice déploie votre programme complet : 15 scénarios (email, SMS, QR code, deepfake), pages pédagogiques post-clic, dashboard par service, conforme NIS2.

Réserver une démo gratuite

Pour aller plus loin

Phishing

Guide complet du phishing en entreprise

Lire Phishing

12 signaux pour reconnaître un phishing

Lire Phishing

Que faire après un clic sur un phishing

Lire Phishing

Whaling et fraude au président

Lire Phishing

Spear phishing vs phishing classique

Lire Phishing

Smishing : le phishing par SMS

Lire