À retenir
- Le phishing exploite des ressorts humains universels, pas un manque d'intelligence.
- Culpabiliser pousse à cacher les incidents — l'inverse du but recherché.
- L'entraînement continu (simulations + micro-formations) fait baisser le taux de clic.
Les meilleurs collaborateurs cliquent aussi. Le phishing ne teste pas l'intelligence : il exploite l'urgence, l'autorité, la curiosité et la charge mentale d'une journée chargée.
Les ressorts exploités
- L'urgence : « action requise sous 2 h » court-circuite la réflexion.
- L'autorité : un message « du dirigeant » ou « de la banque » désarme le doute.
- La routine : une fausse facture ou un faux Booking ressemble à ce qu'on traite tous les jours.
Pourquoi culpabiliser ne marche pas
Punir celui qui clique pousse surtout à cacher l'incident — l'inverse de ce qu'on veut. NIS2 le reconnaît d'ailleurs : la formation régulière de tout le personnel est une obligation, pas une option. Selon le panorama 2025 du CERT-FR (ANSSI), près de la moitié des victimes de rançongiciel en France sont des TPE, PME et ETI.
Ce qui marche : l'entraînement continu
Des simulations régulières et des micro-formations de 5 minutes transforment la vigilance en réflexe. On mesure sans culpabiliser, on cible les profils les plus exposés, et on suit la baisse du taux de clic dans le temps.
Notre pilier Former
Court, gamifié, sectoriel, pensé pour le turnover. Cinq minutes, pas une journée perdue.
Source : Panorama de la cybermenace 2025, CERT-FR / ANSSI.
Questions fréquentes
Pourquoi même des gens prudents cliquent-ils ?
Parce que le phishing imite des situations routinières et joue sur l'urgence et l'autorité, quand l'attention est saturée.
Faut-il sanctionner ceux qui cliquent ?
Non : la sanction pousse à dissimuler. Mieux vaut mesurer sans culpabiliser et entraîner régulièrement.
Les simulations de phishing sont-elles efficaces ?
Oui, lorsqu'elles sont régulières et suivies de micro-formations courtes : le réflexe de vigilance s'installe et le taux de clic baisse.