Simulations de phishing en PME : utile ou perte de temps ?

De plus en plus de PME envoient de faux e-mails de phishing à leurs propres équipes. Est-ce vraiment efficace, et comment s'y prendre sans plomber l'ambiance ?

Ces dernières années, c'est devenu monnaie courante : un faux e-mail « de la direction » qui demande d'acheter rapidement des cartes-cadeaux, ou une « facture » qui incite vos collègues à cliquer. Pas d'un criminel, mais d'un outil que votre propre entreprise a mis en place pour voir qui se ferait avoir. On appelle ça des simulations de phishing. Les grandes entreprises le font depuis des années, et les fournisseurs ciblent désormais clairement les PME.

La question que nous posent souvent les office managers et les dirigeants : devons-nous faire la même chose ? La réponse honnête : parfois oui, parfois non, et la façon dont vous vous y prenez change tout.

Pourquoi c'est, en principe, une bonne idée

Le phishing reste de loin la méthode la plus répandue pour pirater les petites entreprises. Pas via un exploit zero-day génial, mais via un e-mail qui semblait juste assez authentique. Quelqu'un clique, saisit ses identifiants sur un faux site, et une semaine plus tard une facture arrive avec un numéro de compte différent de d'habitude.

Une bonne simulation fait trois choses :

• Elle rend l'abstrait concret. « Méfiez-vous du phishing » est un avertissement que plus personne n'écoute. Un e-mail qui vous a personnellement presque eu, ça marque les esprits.
• Elle montre où vous en êtes. 5 % de votre équipe clique, ou 40 % ? Cette différence détermine si vous avez besoin d'une remise à niveau ponctuelle ou d'un travail de fond.
• Elle entraîne le réflexe de signalement. Pas seulement « je n'ai pas cliqué », mais « je l'ai immédiatement signalé ». C'est ce deuxième point qui compte vraiment.

Pourquoi ça peut aussi mal tourner

Nous avons vu comment les choses peuvent déraper chez certains clients. Les grands classiques :

Le piège est trop cruel

Une simulation qui promet « vous recevez un bonus de 800 euros, cliquez ici pour confirmer les détails » envoyée en décembre — ce n'est pas de la formation, c'est une bombe à cohésion sociale. Les gens se sentent humiliés publiquement, la confiance envers l'employeur s'effondre, et le prochain vrai phishing sera quand même ouvert.

Il n'y a pas de suivi

Quelqu'un clique, voit un écran rouge avec « VOUS ÊTES TOMBÉ DANS LE PIÈGE », et c'est tout. Aucune explication, aucune courte formation, aucune seconde chance. Les gens se sentent pris en faute sans avoir rien appris.

Les « scores » sont partagés

Des listes avec les noms de ceux qui se sont fait avoir, transmises aux managers ou, pire encore, affichées dans la cuisine. Dans la plupart des PME, c'est aussi clairement discutable au regard du RGPD, car il s'agit de données personnelles relatives aux performances au travail.

Le niveau est trop facile

Parfois, les e-mails de test sont tellement évidents (fautes de frappe, expéditeur bizarre, nom de domaine louche) que tout le monde les repère et que vous obtenez un rapport qui fait plaisir à lire — mais qui ne dit rien sur les vraies attaques, bien plus professionnelles.

Comment bien faire les choses

Quelques principes qui font la différence :

1. Commencez par avoir les bases en ordre. Une simulation n'a de sens que si vos couches techniques sont correctes. Votre SPF, DKIM et DMARC fonctionnent-ils ? Le MFA est-il activé sur tous les comptes, pas seulement dans l'environnement Microsoft 365 ? Si ce n'est pas le cas — commencez par là. Faire une simulation alors que des failles existent, c'est vider la mer avec une cuillère.
2. Communiquez à l'avance que ça va se passer. Pas quand, ni comment, mais que ça fait partie du quotidien. « Nous allons envoyer de temps en temps de faux e-mails pour nous entraîner. Voici comment signaler un e-mail suspect. » Ce n'est pas trahir le test — c'est exactement ce que vous voulez obtenir.
3. Rendez le signalement plus simple que le clic. Un bouton « Signaler un e-mail suspect » dans Outlook ou Gmail. Une adresse e-mail dédiée. Quelque chose qui prend trois secondes. Si signaler est plus compliqué que cliquer, vous savez ce qui se passera.
4. Donnez un retour immédiat et personnalisé après un clic. Une courte explication, en langage clair, de ce qui n'allait pas, trois conseils, et c'est réglé. Pas un grand module e-learning. Pas de honte. Pas de rapport au manager.
5. Mesurez les bonnes choses. Le taux de clics est intéressant, mais le vrai indicateur est le taux de signalement. Quel pourcentage de votre équipe signale un e-mail suspect en moins d'une heure ? C'est là que se trouve la valeur.
6. Augmentez progressivement la difficulté. Commencez par des modèles facilement reconnaissables et rendez-les plus réalistes au fil de l'année (expéditeur interne, contexte pertinent, urgence simulée). Sinon, vos collègues s'entraînent sur un niveau qui n'a rien à voir avec la réalité.

En pratique : à quelle fréquence et à quelle échelle ?

Pour les PME, un rythme léger fonctionne le mieux : une simulation par trimestre, ciblant toute l'équipe sauf les collègues qui viennent tout juste d'arriver (à qui l'on donne d'abord une courte introduction). Pas de déluge quotidien — cela nuit à la productivité et génère de l'irritation.

Quel outil ? Pour 5 à 50 collaborateurs, il existe d'excellentes options abordables chez des fournisseurs spécialisés. Microsoft Defender l'intègre nativement si vous disposez d'une licence M365 Business Premium ; dans ce cas, vous êtes souvent bien équipé sans rien acheter de plus. Point important : choisissez un outil qui communique dans la langue de vos collaborateurs, sinon vous risquez de passer à côté de l'objectif.

L'autre côté : la direction doit-elle aussi participer ?

Oui. Plus encore : c'est indispensable. La fraude au président et la fraude à la facture ciblent en priorité les personnes ayant pouvoir de signature. Si le dirigeant ou le responsable financier est exempté « parce qu'il n'a pas le temps », vous formez la mauvaise partie de l'organisation.

Pour conclure

Les simulations de phishing ne sont pas une solution miracle. Ce qu'elles peuvent faire : créer un espace d'entraînement sécurisé dans lequel votre équipe apprend à reconnaître ce qu'elle rencontrera de plus en plus souvent dans la réalité. Mais seulement si vous les mettez en œuvre sans malveillance et si la technique sous-jacente est solide.

Vous n'êtes pas sûr que votre sécurité e-mail est en ordre avant de parler formation ? Commencez par là. Nous réalisons régulièrement un audit SPF/DKIM/DMARC pour les PME qui veulent savoir à quel point leur propre domaine est résistant au phishing — souvent une première étape bien plus utile qu'une simulation.