Résumé exécutif

Les exercices de phishing interne sont le pilier mesurable de tout programme de sensibilisation cybersécurité. En simulant des attaques de phishing réalistes sur les collaborateurs de l'entreprise, ces exercices mesurent objectivement le niveau de vigilance de l'organisation et identifient les départements et les profils à risque nécessitant une formation renforcée. Ce guide pratique couvre l'intégralité du processus de déploiement : choix de la plateforme (GoPhish open source versus KnowBe4 SaaS avec leurs avantages et limites respectifs), conception de scénarios réalistes adaptés au contexte professionnel de chaque département, configuration technique de l'infrastructure d'envoi pour maximiser la délivrabilité, métriques de suivi en temps réel et debriefing post-campagne qui constitue le moment pédagogique le plus impactant du programme. Les erreurs courantes qui peuvent compromettre l'efficacité du programme ou créer des tensions avec les collaborateurs et les représentants du personnel sont détaillées pour garantir un déploiement réussi et accepté par toutes les parties prenantes de l'organisation.

  • Identification des vecteurs d'attaque et de la surface d'exposition
  • Stratégies de détection et de réponse aux incidents
  • Recommandations de durcissement et bonnes pratiques opérationnelles
  • Impact sur la conformité réglementaire (NIS2, DORA, RGPD)

Les simulations de phishing interne sont devenues un standard de l'industrie avec plus de 65% des grandes entreprises européennes qui en conduisent au moins une par an selon le rapport Proofpoint 2025. Pourtant, la qualité des exercices varie considérablement : entre les campagnes simplistes envoyant le même email générique à tous les collaborateurs et les programmes sophistiqués avec des scénarios personnalisés par département et un suivi comportemental sur 12 mois, l'efficacité pédagogique diffère d'un facteur 10. Le choix de l'outil, la conception des scénarios et la gestion du debriefing post-campagne déterminent si l'exercice améliore réellement la vigilance des collaborateurs ou génère frustration et désengagement. Ce guide s'appuie sur l'expérience de déploiement de campagnes de phishing pour des organisations de 500 à 10 000 collaborateurs dans les secteurs banque, industrie et administration. L'intégration dans un programme de sensibilisation structuré maximise l'impact pédagogique des simulations. La compréhension des techniques de spear phishing avancé permet de concevoir des scénarios crédibles que les collaborateurs rencontreront dans la réalité. Les articles sur le phishing sans pièce jointe illustrent les techniques modernes que les scénarios doivent reproduire. Les outils de contournement MFA par phishing comme Evilginx montrent l'importance de former les collaborateurs au-delà du simple clic sur un lien. La CNIL recommande explicitement les exercices de simulation dans son guide de formation cybersécurité, et l'ANSSI les intègre dans ses recommandations d'hygiène informatique pour les organisations de toutes tailles.

Outils Open-Source pour les Exercices de Phishing Interne

La conduite d'exercices de phishing interne ne nécessite pas obligatoirement d'investissement dans des plateformes commerciales. Des solutions open-source matures permettent de déployer des campagnes de phishing simulé professionnelles avec des fonctionnalités comparables à celles des solutions commerciales, moyennant un investissement plus important en configuration et maintenance. Ces outils sont particulièrement adaptés aux organisations avec des ressources budgétaires limitées ou qui souhaitent garder un contrôle total sur leur infrastructure de simulation.

Les principaux outils open-source pour les exercices de phishing interne :

  • GoPhish : la solution de référence open-source pour le phishing simulé, développée en Go, déployable en quelques minutes sur un VPS avec une interface web complète pour créer des campagnes, des landing pages personnalisées et des emails templates ; génère des statistiques détaillées sur les taux d'ouverture, de clic et de soumission de credentials
  • Lucy Security : plateforme européenne avec version communautaire gratuite limitée, proposant des templates de phishing multilingues et des modules de formation intégrés directement accessibles après un clic sur un lien de phishing simulé
  • King Phisher : outil Python permettant des campagnes complexes avec suivi détaillé, support des templates Jinja2 pour la personnalisation des emails et des pages de phishing, et intégration avec les outils de gestion de campagne
  • Social Engineer Toolkit (SET) : framework polyvalent intégré dans Kali Linux couvrant non seulement le phishing email mais aussi le spear-phishing par SMS, le clonage de sites web et l'exploitation des applications web pour les tests d'intrusion complets

La configuration d'une infrastructure GoPhish de production pour des exercices légaux et traçables nécessite au minimum un domaine dédié (distinct du domaine de production pour éviter les impacts sur la réputation email), un certificat SSL/TLS valide, un serveur SMTP configuré avec SPF, DKIM et DMARC correctement paramétrés, et une procédure d'exception dans le filtre anti-spam de l'organisation pour permettre la délivrance des emails de simulation sans les bloquer avant qu'ils n'atteignent les boîtes de réception des utilisateurs cibles.

Cadre Juridique et Éthique des Exercices de Phishing Interne

Les exercices de phishing interne opèrent dans un cadre juridique et éthique qui doit être rigoureusement respecté pour éviter les litiges prud'homaux et les violations du droit au respect de la vie privée des employés. En France, le Code du travail et la jurisprudence encadrent strictement les méthodes de surveillance et de test des employés, et les exercices de phishing entrent dans cette catégorie si leurs modalités n'ont pas été préalablement déclarées et approuvées.

Les précautions juridiques et éthiques indispensables avant tout exercice de phishing interne :

  • Information préalable des représentants du personnel : en France, le Comité Social et Économique (CSE) doit être informé et consulté sur tout dispositif de surveillance des salariés, y compris les exercices de phishing simulé, avant leur mise en oeuvre ; l'absence de consultation peut rendre les résultats inopposables aux salariés
  • Charte informatique et règlement intérieur : mentionner explicitement la possibilité de conduire des simulations de phishing dans la charte informatique et le règlement intérieur, rendant les employés informés de leur existence sans révéler les modalités précises des futures campagnes
  • Traitement des données conforme au RGPD : les résultats des exercices de phishing (qui a cliqué, qui a soumis des credentials) constituent des données personnelles nécessitant une base légale (intérêt légitime de sécurité de l'organisation) et une durée de conservation limitée définie dans le registre des traitements
  • Interdiction d'utiliser les résultats à des fins disciplinaires : les exercices de phishing sont des outils de formation et de sensibilisation, pas des outils de sanction ; les résultats individuels ne peuvent pas être utilisés comme base de mesures disciplinaires selon la jurisprudence française dominante
  • Débriefing collectif et formation : les résultats agrégés doivent être partagés avec l'ensemble de l'organisation dans un esprit de formation collective, pas de stigmatisation individuelle, avec des actions de formation ciblées pour les services présentant les taux de vulnérabilité les plus élevés

La communication interne sur les objectifs des exercices de phishing est cruciale pour obtenir l'adhésion des employés et maximiser l'effet éducatif. Un programme bien communiqué, qui explique clairement que les exercices visent à renforcer la résilience collective de l'organisation face aux menaces réelles et non à piéger les individus, génère une culture de sécurité positive où les employés se sentent partie prenante de la défense de l'organisation plutôt que des sujets de surveillance.

Métriques et Reporting des Exercices de Phishing Interne

La valeur des exercices de phishing interne pour le programme de sécurité de l'organisation se démontre par des métriques claires et comparables dans le temps. Un programme de sensibilisation anti-phishing mature définit des KPIs précis mesurés avant, pendant et après chaque campagne de simulation, et produit des rapports trimestriels permettant de suivre la progression de la maturité des utilisateurs et d'identifier les populations nécessitant une attention particulière.

Les métriques essentielles à collecter et suivre pour chaque campagne de phishing simulé :

  • Phish-Prone Percentage (PPP) : pourcentage d'utilisateurs ayant cliqué sur le lien ou ouvert la pièce jointe malveillante dans les 24 heures suivant la réception ; la baseline initiale est typiquement de 25 à 35% dans les organisations non sensibilisées, l'objectif à 12 mois est de descendre sous 5%
  • Credential Submission Rate : parmi ceux qui ont cliqué, pourcentage ayant également soumis des credentials sur la page de phishing simulée ; indicateur critique car la soumission de credentials représente la compromission la plus grave dans un scénario réel
  • Report Rate : pourcentage d'utilisateurs qui ont signalé l'email suspect au SOC ou via le bouton de signalement configuré dans le client mail ; l'objectif est d'atteindre un taux de signalement supérieur à 50% car ces utilisateurs deviennent des détecteurs actifs de vraies campagnes
  • Time to Report : délai moyen entre la réception de l'email de simulation et son signalement au SOC par les utilisateurs qui l'ont identifié comme suspect ; un délai inférieur à 30 minutes permet une réponse préventive avant que la majorité des utilisateurs cliquent dans une vraie campagne
  • Taux de récidive : parmi les utilisateurs ayant cliqué sur une campagne précédente et ayant reçu une formation ciblée, pourcentage qui clique à nouveau sur la campagne suivante ; indicateur de l'efficacité réelle des formations correctives

La segmentation des résultats par département, niveau hiérarchique, ancienneté et localisation géographique permet d'identifier les groupes à risque élevé et de concentrer les efforts de formation sur les populations les plus vulnérables. Les résultats doivent être présentés à la direction sous forme d'un tableau de bord exécutif trimestriel montrant la tendance du PPP global, les performances comparées entre départements et le ROI estimé du programme en termes d'incidents de phishing évités grâce à la réduction de la surface d'attaque humaine de l'organisation.

Intégration des Exercices de Phishing dans la Stratégie de Sécurité Globale

Les exercices de phishing interne constituent un composant d'une stratégie de sécurité globale plus large qui adresse la dimension humaine de la cybersécurité. Pour maximiser leur efficacité, ils doivent être intégrés dans un programme de sensibilisation cohérent incluant d'autres types d'exercices et de formation continue. Les exercices de phishing se concentrent sur les attaques par email, mais la surface d'attaque humaine est beaucoup plus large : vishing (phishing par téléphone), smishing (phishing par SMS), attaques par clé USB abandonnée dans les locaux, et ingénierie sociale lors de visites physiques de prestataires ou de faux techniciens.

Un programme de sensibilisation à la sécurité mature intègre des exercices diversifiés au cours de l'année : phishing simulé mensuel via email, un exercice de vishing trimestriel testant la résistance des employés aux appels téléphoniques frauduleux prétendant être le support informatique ou un prestataire, et un exercice physique annuel testant le comportement des employés face à un inconnu tentant de s'introduire dans les locaux. La diversification des vecteurs d'exercice évite l'hypervigilance sélective sur le phishing email qui peut coexister avec une vulnérabilité totale aux autres vecteurs d'ingénierie sociale. Le budget alloué aux exercices de sensibilisation doit être dimensionné à hauteur de 5 à 10% du budget total de cybersécurité selon les recommandations du Gartner, reflétant l'importance stratégique de la dimension humaine dans la posture de sécurité globale de l'organisation.

  • GoPhish est gratuit et open source, KnowBe4 est un SaaS payant avec 15 000 templates
  • Les scénarios doivent être adaptés au contexte professionnel de chaque département
  • Le debriefing immédiat post-clic est le moment d'apprentissage le plus efficace
  • Prévenir le service desk avant chaque campagne évite la saturation du support
  • Les résultats individuels doivent rester strictement confidentiels

Choix de la plateforme : GoPhish vs KnowBe4

GoPhish est la plateforme open source de référence pour les exercices de phishing interne. Développée en Go et déployable en conteneur Docker, elle offre une interface web intuitive pour créer des campagnes, concevoir des templates d'email et de landing pages, et suivre les résultats en temps réel (envois, ouvertures, clics, soumissions de formulaire). Les avantages incluent le coût nul de licence, la personnalisation totale du code source, le contrôle complet des données (hébergement on-premise) et l'API REST pour l'automatisation. Les limites sont l'absence de bibliothèque de templates prédéfinis, le reporting basique nécessitant des exports CSV et la maintenance technique à la charge de l'équipe interne.

KnowBe4 est la plateforme SaaS leader du marché avec plus de 65 000 clients et une bibliothèque de 15 000 templates de phishing multilingues (dont 2 000 en français). La plateforme intègre des modules de micro-learning, des évaluations de connaissance, un reporting automatisé par département et un score de risque par collaborateur calculé par machine learning. Le coût varie de 8 à 15 euros par collaborateur par an selon le niveau de licence. L'alternative européenne Cofense PhishMe et l'outil français Mailinblack Training complètent l'offre SaaS avec des garanties de souveraineté des données conformes au RGPD.

CritèreGoPhishKnowBe4Cofense PhishMe
PrixGratuit (open source)8-15 €/user/an10-20 €/user/an
Templates FRÀ créer2 000+500+
HébergementOn-premiseCloud US/EUCloud EU
ReportingBasique (CSV)Avancé (dashboard)Avancé
Micro-learningNonIntégréIntégré
PersonnalisationTotaleLimitéeMoyenne

Conception de scénarios réalistes

Les scénarios réalistes exploitent les contextes professionnels quotidiens des collaborateurs pour maximiser la crédibilité de la simulation. Les catégories de scénarios les plus efficaces sont les notifications IT (« Votre mot de passe expire dans 24h — cliquez pour le renouveler »), les communications RH (« Accédez à votre bulletin de paie de janvier »), les alertes de service (« Colis en attente de livraison — confirmez votre adresse »), les invitations collaboratives (« John vous a partagé un document sur Teams ») et les urgences hiérarchiques (« De la part du directeur : besoin de votre action urgente »). Chaque scénario doit être décliné en trois niveaux de difficulté pour adapter la progression pédagogique.

La personnalisation par département multiplie l'efficacité des exercices. La direction financière reçoit des faux emails de fournisseurs demandant un changement de RIB (fraude au président). Le marketing reçoit des fausses demandes de partenariat avec pièce jointe malveillante. Les développeurs reçoivent des fausses notifications GitHub avec des liens de phishing ciblant leurs identifiants. Cette personnalisation augmente le réalisme et prépare chaque département aux attaques de spear phishing qu'il est le plus susceptible de recevoir dans la réalité. Le contenu des emails de simulation doit être validé par le service juridique pour éviter tout risque de confusion avec de vrais emails internes légitimes.

Infrastructure technique et délivrabilité

La configuration technique de l'infrastructure d'envoi conditionne la délivrabilité des emails de simulation. Un domaine dédié avec SPF, DKIM et DMARC correctement configurés évite que les emails soient classés en spam avant d'atteindre les boîtes de réception des collaborateurs ciblés.

Debriefing et transformation pédagogique

Le debriefing immédiat est le moment pédagogique le plus impactant du programme. Lorsqu'un collaborateur clique sur le lien de phishing simulé, il est redirigé vers une page de formation contextuelle expliquant les indices qu'il a manqués dans l'email spécifique qu'il vient de recevoir. Cette page affiche l'email original avec des annotations visuelles (flèches, encadrés) pointant vers les signaux d'alerte : adresse d'expéditeur suspecte, URL de destination différente du texte affiché, ton d'urgence artificiel, fautes de grammaire. L'ancrage émotionnel (surprise, légère gêne) associé à ce feedback immédiat crée un souvenir durable qui modifie le comportement lors des prochaines expositions réelles.

Le suivi post-campagne comprend un email de synthèse envoyé à l'ensemble des collaborateurs (sans données individuelles) présentant les résultats globaux, les indices clés que la simulation contenait, et les bonnes pratiques de signalement. Les managers reçoivent les résultats agrégés de leur équipe (taux de clic, taux de signalement) sans identification individuelle pour préserver la confidentialité. Les collaborateurs ayant cliqué plusieurs fois consécutivement sont orientés vers une formation complémentaire personnalisée et un suivi individuel par le champion sécurité de leur département.

Le déploiement de 12 campagnes de phishing sur un an pour un groupe bancaire de 2 500 collaborateurs avec GoPhish a produit une progression remarquable : taux de clic passé de 22% (baseline) à 4.1% au bout de 12 mois, taux de signalement passé de 8% à 54%. Le scénario le plus efficace pédagogiquement était la simulation de fraude au président ciblant la direction financière : 45% de clic initial réduit à 3% après 3 exercices ciblés, avec une prise de conscience durable du risque de BEC dans ce département critique.

Mon avis : les exercices de phishing interne sont indispensables mais doivent être conduits avec bienveillance. L'objectif est d'éduquer, pas de piéger ou d'humilier les collaborateurs. Les résultats individuels ne doivent jamais être utilisés pour des sanctions disciplinaires, sinon le programme perd toute légitimité et les collaborateurs développent une méfiance contre-productive envers la sécurité informatique de leur propre organisation.

GoPhish ou KnowBe4 pour les simulations de phishing ?

GoPhish est gratuit et open source, idéal pour les budgets limités et les équipes techniques. KnowBe4 offre un SaaS complet avec 15 000 templates et du reporting automatisé, adapté aux grandes organisations souhaitant un déploiement rapide.

Faut-il prévenir les collaborateurs des exercices de phishing ?

Non pour la simulation elle-même. Oui pour le principe : informez que des exercices sont régulièrement conduits. Le service desk doit être prévenu obligatoirement pour éviter la saturation du support par les signalements.

Que faire si un dirigeant clique sur le phishing simulé ?

Le traiter comme tout collaborateur. Les résultats individuels restent confidentiels. Proposer un briefing personnalisé sur le whale phishing car les dirigeants sont les cibles prioritaires des attaquants sophistiqués.

Conclusion

Les exercices de phishing interne sont le pilier mesurable de la sensibilisation cybersécurité. Le choix entre GoPhish (open source, on-premise) et KnowBe4 (SaaS, bibliothèque complète) dépend du budget et des ressources techniques. La conception de scénarios réalistes adaptés par département et le debriefing immédiat post-clic sont les facteurs de succès déterminants pour réduire le taux de clic sous 5% en 12 mois.

Déployez votre première campagne de phishing interne avec GoPhish ou KnowBe4 pour mesurer objectivement le niveau de vigilance de votre organisation. La simulation de référence initiale est le point de départ indispensable pour fixer des objectifs réalistes et démontrer les progrès de votre programme de sensibilisation.

Article suivant recommandé

Deepfakes et Social Engineering : Menaces IA en 2026 →

Voice cloning, deepfake vidéo et BEC automatisé par IA : comment les attaquants exploitent l'IA générative et comment s'

Découvrez mon outil

PhishingDetector-AI

Détection de phishing par intelligence artificielle

Voir →

Surface d'attaque : Ensemble des points d'entrée exploitables par un attaquant pour compromettre un système, incluant les services exposés, les interfaces utilisateur et les API.

Les techniques décrites dans cet article sont présentées à des fins éducatives et défensives uniquement. Toute utilisation non autorisée sur des systèmes tiers constitue une infraction pénale.

Ayi NEDJIMI

Renforcez votre posture de sécurité

Audit, pentest, formation, conseil — une approche sur-mesure adaptée à votre contexte.