Les attaques de phishing n'épargnent désormais plus les TPE-PME qui se font subtiliser leurs données sensibles. Grâce à un exercice bien élaboré, vos équipes pourront répondre à simulation réaliste pour acquérir les bons réflexes.

En 2024, en moyenne, une PME a déboursé 466 000 pour éponger les dégâts d'une cyberattaque - ©vectorfusionart / Sihutterstock
En 2024, en moyenne, une PME a déboursé 466 000 pour éponger les dégâts d'une cyberattaque - ©vectorfusionart / Sihutterstock
Proton Business SuiteProton Business Suite
8.7/10

Offre partenaire

Des solutions simples et chiffrées pour protéger votre entreprise

Protection avancée des e-mails, des calendriers, des mots de passe, du réseau… de votre entreprise grâce à la suite d'applications professionnelles sécurisées.

Essayer Proton Business Suite gratuitement !

Offre partenaire

Lorsqu'ils lancent des campagnes de phishing, les cybercriminels savent que c'est la technique la plus simple pour arriver à leurs fins : voler toutes les données que votre TPE-PME héberge, comme vos fichiers clients, des coordonnées bancaires, des documents comptables, des contrats fournisseurs et tous les identifiants de connexion des salariés. Le phishing, ou hameçonnage cible avant tout les données et non la personne.

En 2024, la Fevad a compilé des chiffres sur la cybercriminalité en France. Elle a coûté 100 milliards d'euros par an aux entreprises, contre seulement 5 milliards d'euros en 2016. En moyenne, selon l'ANSSI, une PME a déboursé 466 000 euros pour éponger les dégâts d'une cyberattaque et chacune d'entre elle a entraîné la fermeture de 60 % des entreprises dans les 18 mois suivants. Le phishing à lui seul a fait l'objet de 21 % de toutes les demandes d'assistance reçues par Cybermalveillance.gouv.fr Comme la technique contourne les pare-feu les plus efficaces et les meilleurs antivirus échouent, ces attaques sont efficaces.

Mais en confrontant vos équipes à celles des cybercriminels avec un exercice de simulation réaliste, vous protègerez davantage et vos données, et vos collaborateurs des ravages du phishing.

Pourquoi le phishing devrait inquiéter davantage les TPE-PME

Un cybercriminel envoie un e-mail qui ressemble trait pour trait à un message légitime d'un fournisseur, d'une banque ou d'un service administratif. Le salarié clique sur le lien car rien ne semble suspect, saisit ses identifiants sur une fausse page de connexion et l'attaquant récupère ces accès en temps réel. Il infiltre ensuite les serveurs de l'entreprise, vole les fichiers stratégiques et prépare une demande de rançon ou une fraude financière. Les employés en télétravail cliquent trois fois plus souvent sur des liens frauduleux que ceux au bureau, car ils travaillent sur des réseaux domestiques moins surveillés.

Les modèles d'IA permettent aux hackers de rédiger des e-mails sans aucune faute d'orthographe, personnalisés avec de vraies informations récupérées lors de fuites précédentes. Les deepfakes clonent désormais les voix de dirigeants pour orchestrer des arnaques au président ultraréalistes. En 2024, 190 % de clics supplémentaires sur des liens frauduleux ont été enregistrés par rapport à l'année précédente. Les techniques traditionnelles de détection échouent complètement.

France Travail a vécu l'une des attaques les plus massives jamais enregistrées en France. En mars 2024, les cybercriminels ont exploité des identifiants compromis de conseillers pour accéder aux systèmes et extraire les données personnelles de 43 millions de personnes, soit l'ensemble des demandeurs d'emploi inscrits au cours des vingt dernières années. Ces données sont des armes pour les campagnes de phishing. L'organisme a d'ailleurs prévenu ses usagers des risques qu'ils encouraient après cette attaque.

Mais ce qui qui vaut pour les grandes insitutions qui arbritent et conservent une massage importante de données personnelles doit servir de signal d'alarme pour les entreprises plus modestes. En effet, les TPE-PME représentent 77 % des cyberattaques et 40 % des attaques par rançongiciel traitées par l'ANSSI. Les cybercriminels considèrent ces entreprises comme des proies faciles car elles disposent souvent de systèmes de protection moins robustes et d'équipes moins sensibilisées.

Les TPE-PME servent aussi de porte d'entrée vers leurs clients grands comptes dans le cadre des attaques par rebond. Un prestataire compromis permet aux hackers d'infiltrer toute la chaîne. En 2025, 16 % des TPE-PME interrogées déclarent avoir subi un incident de sécurité au cours des douze derniers mois. Le risque de faillite augmente de 50 % dans les six mois suivant un incident. Toutes les entreprises, quelle que soit leur taille, doivent préparer leurs équipes.

L'intérêt de réparer ses équipes par la simulation de phishing

Tous les salariés peuvent tomber dans le piège, du stagiaire au directeur général. Chaque collaborateur dispose d'accès aux outils métier, aux fichiers partagés ou aux plateformes de gestion. Un seul clic ouvre la porte du SI complet. Chaque membre de l'organigramme doit apprendre à reconnaître les signaux d'alerte car vos DSI ne doivent plus avoir le monopole sur la cybersécurité. Et pour cela, rien de tel qu'un exercice de simulation d'une attaque de phishing pour former toutes les équipes.

Une simulation envoie aux salariés de faux e-mails frauduleux qui imitent des messages d'organismes connus, de fournisseurs ou de services internes. Ces e-mails contiennent des liens piégés qui redirigent vers des pages factices sur lesquelles l'employé doit saisir ses identifiants. Le système enregistre les clics et les saisies mais n'exploite aucune donnée. Cette méthode identifie les collaborateurs qui tombent dans le piège et mesure le niveau de vigilance de l'organisation.

En revanche, les dirigeants ne doivent jamais sanctionner mais former. Certains craignent de créer un climat de défiance en envoyant de fausses attaques à leurs équipes. Seuls 20 % des utilisateurs identifient et signalent le phishing lors d'exercices de simulation. Il faut donc leur donner confiance et envie de tester leurs réflexes pour que chaque erreur ne soit plus qu'une leçon.

Les simulations doivent évoluer et gagner en efficacté. Une première campagne pourra utiliser des e-mails évidemment frauduleux avec des fautes d'orthographe, des liens suspects et des demandes inhabituelles pour que les collaborateurs repèrent les signaux d'alerte basiques. Une deuxième vague emploira ensuite des messages plus crédibles qui imitent parfaitement les codes visuels d'un fournisseur réel ou d'une administration française pour affiner la vigilance de chacun. Une troisième simulation introduira des scénarios d'urgence, comme une demande de validation immédiate d'un virement ou une mise à jour de mot de passe présentée comme critique. Ces exercices reproduisent les techniques de manipulation psychologique utilisées par les vrais cybercriminels.

Et pour chaque simulation, un débriefing immédiat. Lorsqu'un employé clique sur le lien piégé, la page factice lui explique qu'il vient de tomber dans une simulation et lui détaille les indices qu'il aurait dû repérer. Ce retour en temps réel marque les esprits bien plus efficacement qu'une formation théorique. Vous pourrez ensuite organiser une séance collective pour présenter les résultats globaux, sans jamais pointer du doigt les personnes. Vous créerez ainsi une culture de cybersécurité partagée où chacun veille sur les autres.

Les simulations permettent aussi de pointer les failles organisationnelles. Par exemple si 80 % des salariés du service comptabilité cliquent sur un faux e-mail imitant un fournisseur, cela signale un besoin de formation spécifique sur les procédures de validation des factures. Si les cadres dirigeants tombent dans le piège d'une arnaque au président, l'entreprise doit revoir ses circuits de décision pour les opérations financières sensibles. Les données collectées permettent de cibler les actions de sensibilisation là où elles apportent le plus de valeur.

Seuls 20 % des utilisateurs identifient et signalent le phishing lors d'exercices de simulation - ©ImageFlow / Shutterstock

7 étapes d'une simulation réussie

Définir les objectifs de mesure

Décidez de ce que vous souhaitez mesurer et améliorer avec cette simulation. Certaines organisations cherchent à évaluer le niveau général de vigilance de leurs équipes. D'autres veulent tester la réactivité sur un type d'attaque précis, comme le quishing par QR code ou l'usurpation d'identité d'un dirigeant. Une fois tout cela au clair, vous pourrez concevoir des scénarios adaptés et mesurer ensuite les progrès réels. Un objectif flou donnera des résultats inexploitables.

Choisir les scénarios et les outils

Créez vos propres e-mails frauduleux ou utilisez des plateformes spécialisées qui proposent des modèles préconçus et des tableaux de bord pour suivre les résultats. Ces outils automatisent l'envoi, le suivi des clics et la génération de rapports. Les scénarios doivent varier pour couvrir plusieurs vecteurs d'attaque car les cybercriminels n'utilisent jamais deux fois la même méthode. Un premier e-mail peut imiter un message de la direction générale, un second reproduire une notification de livraison et un troisième simuler une alerte de sécurité Microsoft 365.

Communiquer avec vos équipes

Certaines entreprises préfèrent annoncer qu'elles vont lancer des simulations sans préciser quand ni comment, ce qui maintient un niveau d'alerte constant. D'autres choisissent de ne rien dire pour obtenir des résultats plus représentatifs de la réalité. Dans tous les cas, votre CoDir doit valider l'approche et s'assurer que les salariés ne se sentiront jamais piégés individuellement mais accompagnés collectivement. L'objectif reste pédagogique.

Lancer un test sur un groupe pilote

Avant de déployer la campagne à l'ensemble de l'entreprise, il vaut mieux commencer par un échantillon restreint, comme un service ou une équipe projet pour ajuster les messages, vérifier que les liens fonctionnent correctement et vous assurer que les pages factices délivrent les bons messages pédagogiques. Si 90 % du groupe test clique sur le lien, cela signale soit qu'un e-mail est trop crédible et doit être revu, soit un besoin urgent de formation préalable.

Déployer la simulation complète

Envoyez les e-mails frauduleux à l'ensemble des collaborateurs sur plusieurs jours pour reproduire le rythme d'une vraie campagne. Les hackers n'envoient jamais tous leurs messages en même temps car cela déclenche les alertes de sécurité. Grâce à un envoi progressif, vous pourrez mesurer si les premiers salariés piégés alertent spontanément leurs collègues, et voyez cela comme un excellent indicateur de culture cyber. Chaque jour peut cibler un service différent pour analyser les comportements par métier.

Analyser et communiquer les résultats

Compilez les données sur le taux de clics, le temps moyen avant le clic, les services les plus touchés et les signalements reçus. Partagez ensuite ces données avec l'ensemble des équipes lors d'une réunion collective sans stigmatiser personne. Dans votre communication, mettez en avant les points positifs, comme les collaborateurs qui ont signalé l'e-mail suspect, et présentez les axes d'amélioration sans désigner de coupables. Les chiffres bruts ne servent à rien si personne ne les comprend ou se frustre d'avoir été désigné en exemple d'un mauvais pas.

Organiser des formations ciblées

Mettez en place des ateliers pratiques au sein des services qui ont obtenu les moins bons résultats pour leur apprendre à vérifier les adresses d'expéditeurs, à survoler les liens sans cliquer et à repérer les demandes inhabituelles. Ces sessions ne doivent pas durer plus d'une heure et alterner théorie et exercices concrets. Programmez ensuite une nouvelle simulation trois à six mois plus tard pour évaluer les progrès ou noter les faiblesses et oublis.