Pendant des années, beaucoup d’entreprises ont traité le phishing comme un problème de sensibilisation. L’idée semblait simple : si les collaborateurs apprennent à reconnaître les pièges, ils cliqueront moins.
Le problème, c’est que les résultats réels sont beaucoup moins convaincants que prévu.
Une étude menée à UC San Diego Health sur environ 19 500 employés, pendant huit mois et au travers de dix campagnes de simulation, a conclu qu’il n’existait pas de relation significative entre le fait d’avoir récemment suivi une formation annuelle obligatoire et la probabilité de tomber dans le piège. Une autre étude de reproduction publiée sur arXiv en 2025, menée dans une entreprise fintech sur 12 511 personnes, aboutit dans le même sens : pas d’effet significatif sur les clics ni sur les signalements, tandis que la difficulté du leurre expliquait davantage le comportement. (UC San Diego Today)
Dit autrement : le débat n’est plus de savoir si la sensibilisation est utile en théorie. Le vrai sujet est de savoir pourquoi la formation générique, telle qu’elle est souvent déployée, ne suffit pas dans la pratique. (UC San Diego Today)
Ce que l’étude dit vraiment
La mauvaise lecture serait de conclure : “la formation ne sert à rien, arrêtons tout”.
Ce n’est pas ce que montrent les travaux.
Ce qu’ils montrent, c’est que les formats classiques — module annuel, contenu générique, micro-formation après clic — produisent peu d’effet mesurable dans les environnements observés. À UC San Diego Health, la différence liée à l’entraînement intégré après clic a été jugée extrêmement faible, et les chercheurs indiquent que les formes de formation anti-phishing “commonly deployed” offrent peu de valeur pratique pour réduire le risque. (UC San Diego Today)
Autre point important : l’étude ne portait pas sur une intuition vague, mais sur un protocole réel, avec des campagnes variées, des groupes comparés et une observation dans la durée. La reproduction fintech de 2025 renforce justement l’intérêt du signal : dans un autre secteur, avec une autre population, le constat principal reste proche. (UC San Diego Today)
Pourquoi les modules classiques déçoivent
L’une des raisons tient tout simplement à l’engagement. À UC San Diego, 75 % des utilisateurs ont passé une minute ou moins sur les contenus d’entraînement intégrés, et un tiers ont fermé immédiatement la page sans réellement consulter le contenu. Dans ces conditions, il est difficile d’attendre une transformation durable des comportements. (UC San Diego Today)
L’autre raison, plus intéressante encore, tient au contexte du leurre. Dans cette même étude, une fausse demande liée à une mise à jour de politique de congés a obtenu un taux de clic d’environ 30,8 %, alors qu’une demande de mise à jour du mot de passe Outlook ne trompait qu’environ 1,82 % des destinataires. Ce décalage est essentiel : ce qui fait tomber les gens, ce n’est pas seulement la qualité d’écriture, c’est surtout la pertinence perçue, l’urgence et la cohérence avec leur quotidien. (UC San Diego Today)
C’est aussi ce que confirme l’étude de reproduction : les clics augmentaient de 7,0 % sur les leurres “faciles” à 15,0 % sur les leurres “difficiles” selon la NIST Phish Scale. En clair, quand le scénario est bon, la formation générique pèse moins lourd que beaucoup d’organisations ne l’imaginent. (arXiv)
Ce qu’une PME doit faire à la place
La leçon n’est donc pas “moins de sécurité humaine”.
La leçon, c’est moins de confiance dans la mémoire des gens, plus de sécurité dans l’architecture.
Pour une PME, cela conduit à quatre priorités très concrètes.
1. Verrouiller l’identité
Si un collaborateur clique, l’attaquant ne doit pas pouvoir transformer ce clic en accès. Cela veut dire renforcer les comptes critiques avec des méthodes d’authentification résistantes au phishing, limiter les approbations trop faciles et couper rapidement les sessions suspectes. L’idée est simple : accepter qu’une erreur humaine puisse arriver, mais faire en sorte qu’elle n’ouvre pas toute la porte. Cette orientation est cohérente avec le constat des études : la formation seule ne produit pas l’effet attendu, donc le contrôle doit remonter dans l’infrastructure. (UC San Diego Today)
2. Rendre l’e-mail moins “confiant” par défaut
Plus le système réduit lui-même la crédibilité artificielle d’un message, moins l’utilisateur porte seul la charge. Cela passe par des domaines correctement protégés, des avertissements sur les expéditeurs externes, une quarantaine visible, une meilleure analyse des liens et un signalement simple dans la messagerie. Là encore, l’objectif n’est pas de demander aux équipes d’être parfaites, mais de rendre le piège plus coûteux à faire fonctionner. (UC San Diego Today)
3. Durcir les processus financiers
Le phishing le plus rentable ne cherche pas toujours un mot de passe ; il cherche parfois un virement. Dans ce domaine, une règle claire vaut souvent mieux qu’une longue formation : aucun changement d’IBAN par e-mail seul, contre-appel sur un numéro déjà connu, validation à deux pour les paiements sensibles. Quand la procédure métier est solide, même un message convaincant perd une grande partie de sa force.
4. Réinventer la sensibilisation
La sensibilisation ne doit pas disparaître. Elle doit changer de forme. Des formats plus courts, plus contextuels, plus proches des équipes finance, RH ou direction ont davantage de chances de produire un effet utile qu’un module générique annuel oublié dès le lendemain. Les deux études invitent justement à sortir d’une logique de conformité passive pour aller vers des entraînements plus réalistes et mieux mesurés. (UC San Diego Today)
Ce qu’il faut mesurer à la place du simple taux de clic
Beaucoup d’entreprises regardent encore un seul indicateur : le pourcentage de personnes qui ont cliqué.
C’est trop court.
Une PME gagnera souvent plus à suivre :
- le délai de signalement d’un message suspect ;
- le nombre de sessions invalidées après un doute ;
- la part des demandes financières vérifiées hors bande ;
- le temps entre la première alerte et la réaction ;
- les incidents évités grâce à une règle simple, pas seulement grâce à un module suivi.
Le clic reste utile à observer, mais il ne raconte pas toute l’histoire.
Une feuille de route simple sur 90 jours
J+30 : renforcer les fondations
Sécuriser les comptes critiques, durcir la politique MFA, revoir la confiance accordée aux messages externes et simplifier le signalement.
J+60 : verrouiller les parcours sensibles
Formaliser les changements d’IBAN, les approbations de paiement et les vérifications hors bande.
J+90 : entraîner sur des scénarios réels
Faire un exercice court impliquant direction, finance, RH et IT, puis ajuster les règles à partir de ce qui a réellement coincé.
L’idée n’est pas de lancer un grand programme lourd.
L’idée est de déplacer l’effort là où il réduit vraiment le risque.
Conclusion
Le vrai débat n’est pas “former ou ne pas former”.
Le vrai débat est de savoir si l’on veut continuer à traiter le phishing comme un simple problème de vigilance individuelle, alors que les études récentes montrent que cette approche, seule, ne suffit pas. (UC San Diego Today)
Une PME réduit vraiment son exposition quand elle combine :
- une identité mieux protégée ;
- une messagerie moins permissive ;
- des procédures financières claires ;
- une sensibilisation plus courte, plus réaliste et mieux ciblée.
Autrement dit, il ne s’agit pas d’attendre des employés qu’ils soient infaillibles.
Il s’agit de construire un environnement où un clic ne suffit plus à déclencher une vraie crise.
