Cyberhack Logo Commandez votre test gratuit
Actualités

Phishing : arrêtons de blâmer les employés — ce que révèle (vraiment) l’étude 2025 et comment s’en protéger

Par admin
Publié le 07/10/2025
Phishing : arrêtons de blâmer les employés — ce que révèle (vraiment) l’étude 2025 et comment s’en protéger

Résumé exécutif

Une étude 2025 menée dans un grand centre hospitalier américain (~19 500 collaborateurs, 8 mois, 10 campagnes) conclut que les programmes de formation anti-phishing “tels que pratiqués” n’améliorent pas significativement le comportement des employés. Les résultats varient surtout selon la difficulté et la pertinence des leurres. Traduction opérationnelle : l’ingénierie sociale se gagne par l’architecture (MFA résistant au phishing, politiques de messagerie strictes, contrôles financiers) et par des rituels d’entraînement mieux conçus, pas uniquement par des modules e-learning. UC San Diego Today+2sysnet.ucsd.edu+2

Ce que dit l’étude — sans sensationnalisme

  1. Aucun effet significatif entre “avoir suivi la formation” et la probabilité de cliquer, dans un protocole randomisé sur 8 mois. UC San Diego Today+1
  2. L’entraînement intégré “juste après le clic” n’apporte qu’un gain marginal (~2 %) tel que mesuré dans la pratique étudiée. HR Dive
  3. La difficulté du leurre (échelle NIST Phish Scale) explique davantage le comportement que la formation générique. arXiv
  4. La fatigue temporelle joue : sur la période, la part des personnes ayant cliqué grimpe (≈ 10 % au mois 1, > 50 % au mois 8 ont cliqué au moins une fois). Canadian HR Reporter
À retenir : si votre défense repose surtout sur « reconnaître un mail douteux », vous jouez le match là où l’adversaire est le plus fort.

Non, la sensibilisation n’est pas “morte” — elle est mal utilisée

L’étude ne dit pas « n’enseignez plus », elle dit : “comme on la fait aujourd’hui”, ça n’a pas l’impact attendu. D’ailleurs, certains vendeurs publient des rapports montrant des baisses de taux de clics après 12 mois — preuve que le contexte, la mise en œuvre, la mesure comptent autant que l’intention. Moralité : évitons le tout-ou-rien. KnowBe4

Stratégie moderne pour PME : concevoir avec l’erreur humaine (et non contre elle)

1) Verrouiller l’identité (MFA résistant au phishing)

  1. Passer de TOTP/SMS à FIDO2/WebAuthn sur les comptes critiques (Microsoft 365, Google Workspace, VPN, outil compta).
  2. Activer la vérification de contexte (lieu, device, réputation IP) et bloquer les concessions MFA (push sans code, approbations en rafale).
  3. Invalidation de sessions et réauthentification forcée après signalement de phishing.
  4. → Objectif : que même après un clic, l’attaquant ne puisse pas se connecter.

2) Rendre l’e-mail moins “confiant” par défaut

  1. Appliquer SPF + DKIM + DMARC en “reject” pour vos domaines ; surveiller les domaines look-alike.
  2. Filtrage avancé : sandbox PJ, réécriture de liens, bannière « expéditeur externe » et pénalisation des domaines récents.
  3. Quarantaine visible et bouton « signaler un phishing » intégré au client mail (retour au SOC).
  4. → Objectif : déplacer l’effort sur l’infrastructure, pas sur la mémoire des employés. (Les tendances observées par l’étude vont dans ce sens.) UC San Diego Today

3) Assainir les parcours financiers (anti-BEC)

  1. Jamais de changement d’IBAN par e-mail seul. Contre-appel via un numéro déjà connu.
  2. Seuils d’approbation et règle des 4-yeux pour les paiements sensibles.
  3. Journalisation, rapprochements automatiques, alertes sur IBAN nouveaux.
  4. → Objectif : casser la chaîne d’attaque la plus lucrative (BEC).

4) Navigateur & poste “tolérants au clic”

  1. Isolation des liens douteux (containers), blocage macros par défaut, EDR avec investigation guidée.
  2. Patching agressif, listes blanches d’applications, désactivation d’exécutions depuis %Temp%.

5) Sensibilisation… mais réinventée

  1. Micro-rituels mensuels (5 min) + 1 simulation contextuelle (RH, achat, CFO), pas de “cours fleuve”.
  2. Debrief collectif (15 min) piloté par un humain : ce qu’on change concrètement demain matin.
  3. Tabletop semestriel « phishing → incident » avec la direction (communication, légal, finance).
  4. KPI utiles : délai de signalement, taux de double vérification hors bande, taux de sessions invalidées après clic — pas seulement “% de clic”.

Pourquoi les leurres “RH/paie/congés” gagnent (et comment riposter)

L’étude montre l’impact majeur du contexte : un mail RH sur une politique de congés piégeait > 30 % des personnes, quand une demande de réinitialisation Outlook ne trompait qu’environ 2 %. La pertinence perçue et l’urgence comptent plus que le “style”. D’où l’intérêt de :

  1. calendrer les annonces RH (éviter périodes sensibles) ;
  2. pré-annoncer les campagnes (ex. « Toute MAJ paie passera par l’intranet, jamais par e-mail ») ;
  3. modèles d’info internes signés (visuels/URL stables). Canadian HR Reporter

Feuille de route 90 jours (PME)

J+30 : Assises techniques

  1. Basculer MFA critiques en FIDO2/WebAuthn ; durcir politiques MFA.
  2. DMARC en quarantine, puis reject ; bannières “expéditeur externe”.
  3. Bouton “Signaler un phishing” → file SOC ; playbook d’isolement poste.

J+60 : Processus & finances

  1. Procédures IBAN et achats (double validation hors bande).
  2. Tableau de bord : délai de signalement, sessions invalidées, domaines look-alike détectés.

J+90 : Culture & entraînement

  1. 1 exercice tabletop direction + IT + RH + finance.
  2. Micro-modules et simulations contextualisées par service.
  3. Audit de posture messagerie & identité ; plan d’amélioration continue.

Questions fréquentes (FAQ)

Faut-il arrêter toute formation ?

Non. Le message est : la formation générique seule ne suffit pas. Investissez d’abord dans l’identité (MFA résistant au phishing), la messagerie (DMARC/filtrage) et les processus finance. Puis gardez une sensibilisation courte, contextualisée et mesurée. UC San Diego Today+1

Pourquoi mon taux de clic “remonte” au fil de l’année ?

La lassitude et la variabilité des leurres (difficulté NIST Phish Scale) l’expliquent. D’où l’importance d’un entraînement rythmé et pertinent, et de contrôles techniques en filet de sécurité. arXiv+1

Un éditeur affirme réduire les clics de 86 % en 12 mois — qui croire ?

Les deux peuvent être vrais selon le contexte. Les chiffres dépendent du protocole, du profil des leurres et de la mesure. Ne sur-interprétez pas un seul indicateur : suivez plusieurs KPI (signalement, sessions invalidées, incidents BEC évités). KnowBe4

Conclusion

Le débat « former vs. ne pas former » est un faux choix. Concevez vos systèmes pour encaisser l’erreur humaine (MFA FIDO2, DMARC strict, processus finance robustes), puis entraîne(z)-vous sur des scénarios qui collent à votre réalité. C’est ainsi qu’on réduit vraiment le risque phishing en 2025. UC San Diego Today+1


Partager cet article

Twitter LinkedIn Email

Articles recommandés