Déployer des campagnes de phishing interne avec GoPhish et KnowBe4. Scénarios réalistes, métriques, erreurs à éviter et.
Résumé exécutif
Les exercices de phishing interne sont le pilier mesurable de tout programme de sensibilisation cybersécurité. En simulant des attaques de phishing réalistes sur les collaborateurs de l'entreprise, ces exercices mesurent objectivement le niveau de vigilance de l'organisation et identifient les départements et les profils à risque nécessitant une formation renforcée. Ce guide pratique couvre l'intégralité du processus de déploiement : choix de la plateforme (GoPhish open source versus KnowBe4 SaaS avec leurs avantages et limites respectifs), conception de scénarios réalistes adaptés au contexte professionnel de chaque département, configuration technique de l'infrastructure d'envoi pour maximiser la délivrabilité, métriques de suivi en temps réel et debriefing post-campagne qui constitue le moment pédagogique le plus impactant du programme. Les erreurs courantes qui peuvent compromettre l'efficacité du programme ou créer des tensions avec les collaborateurs et les représentants du personnel sont détaillées pour garantir un déploiement réussi et accepté par toutes les parties prenantes de l'organisation.
Les simulations de phishing interne sont devenues un standard de l'industrie avec plus de 65% des grandes entreprises européennes qui en conduisent au moins une par an selon le rapport Proofpoint 2025. Pourtant, la qualité des exercices varie considérablement : entre les campagnes simplistes envoyant le même email générique à tous les collaborateurs et les programmes sophistiqués avec des scénarios personnalisés par département et un suivi comportemental sur 12 mois, l'efficacité pédagogique diffère d'un facteur 10. Le choix de l'outil, la conception des scénarios et la gestion du debriefing post-campagne déterminent si l'exercice améliore réellement la vigilance des collaborateurs ou génère frustration et désengagement. Ce guide s'appuie sur l'expérience de déploiement de campagnes de phishing pour des organisations de 500 à 10 000 collaborateurs dans les secteurs banque, industrie et administration. L'intégration dans un programme de sensibilisation structuré maximise l'impact pédagogique des simulations. La compréhension des techniques de spear phishing avancé permet de concevoir des scénarios crédibles que les collaborateurs rencontreront dans la réalité. Les articles sur le phishing sans pièce jointe illustrent les techniques modernes que les scénarios doivent reproduire. Les outils de contournement MFA par phishing comme Evilginx montrent l'importance de former les collaborateurs au-delà du simple clic sur un lien. La CNIL recommande explicitement les exercices de simulation dans son guide de formation cybersécurité, et l'ANSSI les intègre dans ses recommandations d'hygiène informatique pour les organisations de toutes tailles.
- GoPhish est gratuit et open source, KnowBe4 est un SaaS payant avec 15 000 templates
- Les scénarios doivent être adaptés au contexte professionnel de chaque département
- Le debriefing immédiat post-clic est le moment d'apprentissage le plus efficace
- Prévenir le service desk avant chaque campagne évite la saturation du support
- Les résultats individuels doivent rester strictement confidentiels
Choix de la plateforme : GoPhish vs KnowBe4
GoPhish est la plateforme open source de référence pour les exercices de phishing interne. Développée en Go et déployable en conteneur Docker, elle offre une interface web intuitive pour créer des campagnes, concevoir des templates d'email et de landing pages, et suivre les résultats en temps réel (envois, ouvertures, clics, soumissions de formulaire). Les avantages incluent le coût nul de licence, la personnalisation totale du code source, le contrôle complet des données (hébergement on-premise) et l'API REST pour l'automatisation. Les limites sont l'absence de bibliothèque de templates prédéfinis, le reporting basique nécessitant des exports CSV et la maintenance technique à la charge de l'équipe interne.
KnowBe4 est la plateforme SaaS leader du marché avec plus de 65 000 clients et une bibliothèque de 15 000 templates de phishing multilingues (dont 2 000 en français). La plateforme intègre des modules de micro-learning, des évaluations de connaissance, un reporting automatisé par département et un score de risque par collaborateur calculé par machine learning. Le coût varie de 8 à 15 euros par collaborateur par an selon le niveau de licence. L'alternative européenne Cofense PhishMe et l'outil français Mailinblack Training complètent l'offre SaaS avec des garanties de souveraineté des données conformes au RGPD.
| Critère | GoPhish | KnowBe4 | Cofense PhishMe |
|---|---|---|---|
| Prix | Gratuit (open source) | 8-15 €/user/an | 10-20 €/user/an |
| Templates FR | À créer | 2 000+ | 500+ |
| Hébergement | On-premise | Cloud US/EU | Cloud EU |
| Reporting | Basique (CSV) | Avancé (dashboard) | Avancé |
| Micro-learning | Non | Intégré | Intégré |
| Personnalisation | Totale | Limitée | Moyenne |
Conception de scénarios réalistes
Les scénarios réalistes exploitent les contextes professionnels quotidiens des collaborateurs pour maximiser la crédibilité de la simulation. Les catégories de scénarios les plus efficaces sont les notifications IT (« Votre mot de passe expire dans 24h — cliquez pour le renouveler »), les communications RH (« Accédez à votre bulletin de paie de janvier »), les alertes de service (« Colis en attente de livraison — confirmez votre adresse »), les invitations collaboratives (« John vous a partagé un document sur Teams ») et les urgences hiérarchiques (« De la part du directeur : besoin de votre action urgente »). Chaque scénario doit être décliné en trois niveaux de difficulté pour adapter la progression pédagogique.
La personnalisation par département multiplie l'efficacité des exercices. La direction financière reçoit des faux emails de fournisseurs demandant un changement de RIB (fraude au président). Le marketing reçoit des fausses demandes de partenariat avec pièce jointe malveillante. Les développeurs reçoivent des fausses notifications GitHub avec des liens de phishing ciblant leurs identifiants. Cette personnalisation augmente le réalisme et prépare chaque département aux attaques de spear phishing qu'il est le plus susceptible de recevoir dans la réalité. Le contenu des emails de simulation doit être validé par le service juridique pour éviter tout risque de confusion avec de vrais emails internes légitimes.
Infrastructure technique et délivrabilité
La configuration technique de l'infrastructure d'envoi conditionne la délivrabilité des emails de simulation. Un domaine dédié avec SPF, DKIM et DMARC correctement configurés évite que les emails soient classés en spam avant d'atteindre les boîtes de réception des collaborateurs ciblés.
Debriefing et transformation pédagogique
Le debriefing immédiat est le moment pédagogique le plus impactant du programme. Lorsqu'un collaborateur clique sur le lien de phishing simulé, il est redirigé vers une page de formation contextuelle expliquant les indices qu'il a manqués dans l'email spécifique qu'il vient de recevoir. Cette page affiche l'email original avec des annotations visuelles (flèches, encadrés) pointant vers les signaux d'alerte : adresse d'expéditeur suspecte, URL de destination différente du texte affiché, ton d'urgence artificiel, fautes de grammaire. L'ancrage émotionnel (surprise, légère gêne) associé à ce feedback immédiat crée un souvenir durable qui modifie le comportement lors des prochaines expositions réelles.
Le suivi post-campagne comprend un email de synthèse envoyé à l'ensemble des collaborateurs (sans données individuelles) présentant les résultats globaux, les indices clés que la simulation contenait, et les bonnes pratiques de signalement. Les managers reçoivent les résultats agrégés de leur équipe (taux de clic, taux de signalement) sans identification individuelle pour préserver la confidentialité. Les collaborateurs ayant cliqué plusieurs fois consécutivement sont orientés vers une formation complémentaire personnalisée et un suivi individuel par le champion sécurité de leur département.
Le déploiement de 12 campagnes de phishing sur un an pour un groupe bancaire de 2 500 collaborateurs avec GoPhish a produit une progression remarquable : taux de clic passé de 22% (baseline) à 4.1% au bout de 12 mois, taux de signalement passé de 8% à 54%. Le scénario le plus efficace pédagogiquement était la simulation de fraude au président ciblant la direction financière : 45% de clic initial réduit à 3% après 3 exercices ciblés, avec une prise de conscience durable du risque de BEC dans ce département critique.
Mon avis : les exercices de phishing interne sont indispensables mais doivent être conduits avec bienveillance. L'objectif est d'éduquer, pas de piéger ou d'humilier les collaborateurs. Les résultats individuels ne doivent jamais être utilisés pour des sanctions disciplinaires, sinon le programme perd toute légitimité et les collaborateurs développent une méfiance contre-productive envers la sécurité informatique de leur propre organisation.
GoPhish ou KnowBe4 pour les simulations de phishing ?
GoPhish est gratuit et open source, idéal pour les budgets limités et les équipes techniques. KnowBe4 offre un SaaS complet avec 15 000 templates et du reporting automatisé, adapté aux grandes organisations souhaitant un déploiement rapide.
Faut-il prévenir les collaborateurs des exercices de phishing ?
Non pour la simulation elle-même. Oui pour le principe : informez que des exercices sont régulièrement conduits. Le service desk doit être prévenu obligatoirement pour éviter la saturation du support par les signalements.
Que faire si un dirigeant clique sur le phishing simulé ?
Le traiter comme tout collaborateur. Les résultats individuels restent confidentiels. Proposer un briefing personnalisé sur le whale phishing car les dirigeants sont les cibles prioritaires des attaquants sophistiqués.
Conclusion
Les exercices de phishing interne sont le pilier mesurable de la sensibilisation cybersécurité. Le choix entre GoPhish (open source, on-premise) et KnowBe4 (SaaS, bibliothèque complète) dépend du budget et des ressources techniques. La conception de scénarios réalistes adaptés par département et le debriefing immédiat post-clic sont les facteurs de succès déterminants pour réduire le taux de clic sous 5% en 12 mois.
Déployez votre première campagne de phishing interne avec GoPhish ou KnowBe4 pour mesurer objectivement le niveau de vigilance de votre organisation. La simulation de référence initiale est le point de départ indispensable pour fixer des objectifs réalistes et démontrer les progrès de votre programme de sensibilisation.
Télécharger cet article en PDF
Format A4 optimisé pour l'impression et la lecture hors ligne
À propos de l'auteur
Ayi NEDJIMI
Expert Cybersécurité Offensive & Intelligence Artificielle
Ayi NEDJIMI est consultant senior en cybersécurité offensive et intelligence artificielle, avec plus de 20 ans d'expérience sur des missions à haute criticité. Il dirige Ayi NEDJIMI Consultants, cabinet spécialisé dans le pentest d'infrastructures complexes, l'audit de sécurité et le développement de solutions IA sur mesure.
Ses interventions couvrent l'audit Active Directory et la compromission de domaines, le pentest cloud (AWS, Azure, GCP), la rétro-ingénierie de malwares, le forensics numérique et l'intégration d'IA générative (RAG, agents LLM, fine-tuning). Il accompagne des organisations de toutes tailles — des PME aux grands groupes du CAC 40 — dans leur stratégie de sécurisation.
Contributeur actif à la communauté cybersécurité, il publie régulièrement des analyses techniques, des guides méthodologiques et des outils open source. Ses travaux font référence dans les domaines du pentest AD, de la conformité (NIS2, DORA, RGPD) et de la sécurité des systèmes industriels (OT/ICS).
Ressources & Outils de l'auteur
Articles connexes
Le délai d'exploitation se réduit à néant : ce que ça change pour votre défense
En 2026, le délai entre divulgation et exploitation d'une faille se compte en heures. Langflow exploité en 20h, React2Shell industrialisé. Ce que ça change pour votre stratégie de défense.
Culture Sécurité en Entreprise : Changer les Comportements
Transformer la culture sécurité de votre organisation : nudges, champions sécurité, communication interne et métriques c
Deepfakes et Social Engineering : Menaces IA en 2026
Voice cloning, deepfake vidéo et BEC automatisé par IA : comment les attaquants exploitent l'IA générative et comment s'
Commentaires
Aucun commentaire pour le moment. Soyez le premier à commenter !
Laisser un commentaire