En 2025, les e-mails de phishing RH n’ont pas piégé que le Parlement fédéral belge

Ce qui rend les messages RH aussi efficaces, c’est le fait qu’ils nous touchent personnellement. Un objet tel que « Refus de demande de congé » ou « Mise à jour de la politique de télétravail » suscite immédiatement de la peur, du stress ou de la confusion. Sous l’effet de ces émotions, les bons réflexes en matière de cybersécurité peuvent s’effacer, et le clic devient presque automatique. D’autres thématiques, comme les amendes routières ou la fiscalité, fonctionnent tout aussi bien.

Avec l’intelligence artificielle, les cybercriminels peuvent désormais créer ce type de messages de manière automatisée, sans fautes et souvent personnalisés. Depuis le lancement de ChatGPT, le volume d’e-mails de phishing a doublé à l’échelle mondiale.

1. Informations sur les congés ou les salaires (31,5 %)
2. Changements de politiques de l’entreprise (24,7 %)
3. Documents ou communications RH (18,1 %)
4. Amendes et impôts (16,7 %)
5. Signature de documents internes (9,2 %)

La majorité des entreprises misent encore sur des tests de phishing pour « sensibiliser » leurs équipes. Dès que l’on clique sur un lien frauduleux, une notification s’affiche pour signaler une erreur et rappeler à la cible de faire preuve de vigilance à l’avenir. Ce modèle de type « click & blame » est encore largement perçu comme une bonne pratique par de nombreux responsables IT.

Mais les données racontent une toute autre histoire. Une étude scientifique récente menée par l’Université de Californie à San Diego*** confirme ce que nous constatons sur le terrain : ces simulations, à elles seules, ne suffisent pas. Pourquoi ? Parce que seuls les employés qui commettent une erreur reçoivent une formation. La grande majorité des collaborateurs ne bénéficient jamais d’un véritable accompagnement.

Pire encore : ce feedback arrive souvent au pire moment, lorsque les employés sont concentrés sur leur travail, en plein traitement de leurs e-mails. Ce n’est pas un moment propice à l’apprentissage, c’est une interruption.

Si vous souhaitez renforcer les bons réflexes, il faut offrir aux employés des occasions régulières de se former, pas uniquement après une erreur. Deux séances de formation par mois constituent un strict minimum.

Mais attention, il ne s’agit pas de les culpabiliser. La formation doit être interactive, engageante et axée sur la détection des signaux faibles :

• Comment reconnaître un message suspect ?
• Que faire en cas de doute ?
• Comment rester calme face à un message émotionnellement chargé ?

Un collaborateur formé de cette manière ne se contentera pas d’agir sans réfléchir lorsqu’il reçoit une demande de changement de RIB. Il pensera à vérifier l’expéditeur, à valider la demande via un autre canal et à sécuriser l’entreprise, ainsi que lui-même.

Nos données montrent que les entreprises qui investissent dans une formation continue à la cybersécurité réduisent significativement leur exposition aux risques liés à l’erreur humaine.

Et cela devient urgent. En 2025, le coût mondial de la cybercriminalité s’est élevé à 15 000 milliards de dollars. D’ici fin 2026, ce chiffre pourrait atteindre les 20 000 milliards, dépassant presque l’économie chinoise. Dans ce contexte, penser que quelques simulations suffisent à renforcer la cybersécurité humaine est une illusion dangereuse.

*Source : Analyse des simulations réalisées par Phished, 2025
** Pourcentage de personnes qui cliquent sur un lien, ouvrent une pièce jointe ou partagent des données personnelles ou professionnelles à travers un message frauduleux
*** Source : Understanding the Efficacy of Phishing Training in Practice — Résultats d’une étude randomisée sur 8 mois menée par l’Université de Californie à San Diego et UC San Diego Health

Manon Vandebergh
COO Phished