Repenser les tests de phishing des employés : la peur est-elle la meilleure motivation ?

mars 2025 par Anna Collard, SVP Stratégie de contenu et Évangéliste chez KnowBe4 AFRICA

Les tests de phishing des employés sont devenus populaires comme moyen pour les organisations d’évaluer la vulnérabilité de leurs employés aux attaques de phishing et d’améliorer leur sensibilisation à la cybersécurité. Cependant, certains se demandent s’il est approprié d’utiliser la peur, la honte et la trahison comme méthodes lorsque les employés échouent à ces tests de phishing simulés. Certains soutiennent qu’une approche de renforcement positif peut conduire à des résultats plus efficaces.

Anna Collard, SVP Stratégie de contenu et Évangéliste chez KnowBe4 AFRIQUE, une organisation de formation en cybersécurité, pensait qu’elle était immunisée contre le fait d’être trompée par un test de phishing—jusqu’à ce que cela se produise réellement. Elle a cliqué sur un e-mail parce qu’elle était distraite et qu’il semblait tout à fait légitime.

« J’étais dans un Uber, vérifiant mes e-mails tout en discutant avec le chauffeur », se souvient Collard. Elle a vu un e-mail soi-disant d’Uber lui demandant de mettre à jour les détails de son compte. « C’était une incroyable coïncidence que je sois dans un Uber à ce moment-là, alors sans hésiter, j’ai cliqué dessus. » Finalement, elle a dû suivre le programme de formation en cybersécurité qu’elle avait elle-même conçu.

Pourquoi les employés cliquent-ils sur les e-mails de phishing ?

Selon une étude récente, au moins 14 % des employés cliquent régulièrement sur les e-mails de phishing. L’expérience de Collard montre que les employés sont dépassés ou distraits, et cela conduit à des attaques de phishing réussies, plutôt qu’à un simple manque de formation. Une autre étude (https://apo-opa.co/4catV2l) menée au Royaume-Uni et aux États-Unis en 2020 a révélé que 45 % des employés cliquent sur les e-mails de phishing à cause de distractions. Certaines approches sont plus efficaces que d’autres, par exemple, les employés sont plus susceptibles de tomber dans le piège des e-mails de phishing s’ils semblent provenir d’une figure senior de l’entreprise ou de leur supérieur direct.

« Les tests de phishing sont essentiels car la menace d’une violation de données pour les entreprises est très réelle », affirme Collard. « Cela permet aux organisations de voir comment leurs employés réagissent lorsqu’ils sont exposés à des e-mails de phishing réalistes mais faux. » Les organisations utilisent également des simulations de phishing pour évaluer l’efficacité de leurs programmes de formation. « Si vous voulez changer le comportement humain, vous ne pouvez pas vous fier uniquement à la formation. C’est là que les tests de phishing jouent un rôle crucial. »

Il est également important de considérer l’effet de prévalence—un phénomène psychologique où les gens sont moins susceptibles de détecter quelque chose (comme un e-mail de phishing) quand cela se produit rarement. En d’autres termes, même les employés bien formés peuvent manquer un e-mail malveillant simplement parce que les vraies menaces sont rares, et nos cerveaux deviennent conditionnés à s’attendre à des messages sûrs. Cela souligne la nécessité de tests et de renforcements continus pour garder la détection des menaces à l’esprit, tout en approchant les utilisateurs avec empathie et compréhension.

Éviter le jeu de la honte

L’approche que les organisations adoptent pour mener les tests de phishing est tout aussi importante. « Le but ne devrait pas être de faire honte aux individus qui échouent au test, car cela peut avoir des conséquences négatives », dit Collard. « Il est important que les employés ne se sentent pas blessés ou trahis par leurs employeurs. Dès le début, les entreprises devraient établir une communication claire avec leur personnel, expliquant que les tests de phishing font partie intégrante de leur formation globale en cybersécurité », explique-t-elle.

Utiliser des tactiques insensibles dans les tests de phishing, comme offrir des primes pendant une période de restructuration, peut endommager la confiance entre une organisation et ses employés. La recherche suggère qu’au lieu de percevoir la cybersécurité comme une mesure de protection, les utilisateurs peuvent alors considérer les simulations de phishing comme nuisibles. Collard suggère que les organisations devraient prioriser à la fois la cybersécurité et le bien-être de leurs employés en trouvant un équilibre entre les deux.

Cela dit, il existe certains environnements à enjeux élevés—tels que les institutions financières, les infrastructures critiques ou les rôles gouvernementaux sensibles—où les conséquences d’une attaque de phishing réussie sont si graves que des politiques plus strictes peuvent être justifiées. « J’ai vu des environnements où les exigences de sécurité sont naturellement strictes, et le non-respect répété de la politique ou l’échec constant aux tests de phishing peut finalement entraîner des conséquences graves, y compris la perte d’emploi », dit Collard. « Je comprends que dans des contextes où les enjeux sont extrêmement élevés, ce niveau d’application peut être nécessaire pour protéger l’organisation et son écosystème plus large. »

Créer une culture de sécurité positive

« Au lieu de simplement punir ceux qui échouent aux tests de phishing, les employeurs devraient être plus empathiques », suggère Collard. « Leur personnel se sent-il stressé et surmené ? Traversent-ils des difficultés financières ? Le savoir aidera les organisations à comprendre ce qui motive le comportement en ligne risqué des employés. » Une autre approche consiste à interroger les utilisateurs qui ont affiché le bon comportement pour comprendre ce qui leur a fait repérer et signaler la simulation de phishing.

La gamification et la célébration du succès sont également des outils puissants pour favoriser une culture de sécurité positive au travail. « Vous pourriez avoir un cyber-héros du mois pour l’employé qui a signalé un e-mail qui a empêché une attaque », suggère-t-elle. « Ou vous pourriez avoir une compétition pour l’équipe qui signale le plus de tests de phishing. »

Quand c’est bien fait, la simulation de phishing devrait éduquer les employés, plutôt que de les humilier. « Les tests de phishing devraient améliorer leur capacité à détecter les faux e-mails et les e-mails potentiellement menaçants et à les signaler immédiatement à leur service informatique », conclut Collard. « Le but devrait être le renforcement positif et la récompense devrait être intrinsèque : féliciter ceux qui ont fait du bon travail. »

Dans une étude récente menée par KnowBe4 auprès de plus de 32 millions d’utilisateurs, les données montrent de manière concluante que plus les groupes faisaient fréquemment des tests de phishing (comme chaque semaine), mieux les utilisateurs réussissaient à repérer ces tests de phishing simulés. Les groupes qui ont fait à la fois de la formation et du phishing simulé ont obtenu les meilleurs résultats.