Les formations antiphishing traditionnelles ne fonctionnent pas. Et aujourd’hui, la science le démontre.
Nous sommes ravis de constater que la recherche scientifique confirme enfin ce que nous affirmons chez Phished depuis des années : les formations antiphishing, dans leur forme actuelle et largement répandue, ne réduisent tout simplement pas les risques. C’est précisément pour cela que nous avons développé Zero Incident Mail™, une protection e-mail réellement zéro-incident, qui prévient les fuites causées par l’erreur humaine et qui compense les défaillances des filtres anti-spam.
Une étude de terrain révolutionnaire et la plus vaste jamais réalisée, menée par l’Université de Californie à San Diego et l’Université de Chicago, a observé plus de 19 000 employés pendant huit mois. Présentés lors de la conférence Black Hat 2025 (slides - 5 minutes de lecture), les résultats sont clairs et sans appel, confirmant les premières conclusions de l’ETH de Zurich : les simulations de phishing et les formations intégrées, dans leur forme actuelle, n’ont aucun effet.
C’est exactement ce que nous expliquions déjà en 2021 dans notre article Le secret pour ne pas se faire hameçonner ? Arrêtez de compter uniquement sur les simulations de phishing, où nous mettions en garde contre l’inefficacité de ces simulations, et expliquions pourquoi seule une approche holistique permettait de réellement modifier le comportement des collaborateurs. Les entreprises qui continuent à miser sur les campagnes traditionnelles se retrouvent encore avec des utilisateurs à haut risque : récidivistes, personnes saisissant des données sensibles ou nouveaux utilisateurs qui cliquent pour la première fois. Résultat : un taux moyen de clics se situant autour de 10 % et ce, peu importe le nombre de simulations.
L’échec de la formation traditionnelle par rapport à une approche holistique
Ce qu’il faut mettre en place, c’est une approche holistique, qui dépasse le simple « moment pédagogique » des formations intégrées. L’étude montre que la plupart des utilisateurs ferment les pop-ups de formation dans leur boîte de réception moins de dix secondes plus tard : ils ne souhaitent pas perdre de temps sur une formation à la cybersécurité alors qu’ils sont occupés à traiter leurs e-mails. C’est pourquoi Phished n’interrompt jamais les collaborateurs dans leur travail et propose plutôt des sessions structurées d’apprentissage basé sur les risques, qui captent réellement l’attention et permettent à la connaissance de s’ancrer durablement.
Nous renforçons les comportements positifs à l’aide de notre Score de Risque Comportemental™ (BRS), qui permet aux employés et aux équipes de suivre et de constater avec fierté leurs progrès. En parallèle, nous améliorons la résilience globale à travers des pratiques d’hygiène numérique qui sécurisent aussi bien les applications que les appareils professionnels et personnels ; un aspect essentiel, quand on sait qu’environ 50 % d’entre eux restent non sécurisés.
Et comme les tactiques des cybercriminels évoluent constamment, notre Cyber Newsroom permet aux employés de se tenir à jour vis-à-vis des dernières menaces et leur fournit des recommandations concrètes et faciles à mettre en œuvre.
« Cela fait des années que nous alertons sur le fait que les simulations de phishing, dans leur forme actuelle, ne réduisent pas réellement les risques, et cela est à présent confirmé par la science. C’est pourquoi nous avons développé un modèle qui protège les employés tout en les formant, afin que les erreurs humaines ne deviennent jamais des incidents. »
— Jo Vandebergh, CEO de Phished
Pourquoi vos filtres anti-spam ne fonctionnent pas, et comment Zero Incident Mail™ pallie le problème
Environ 95 % des entreprises comptent sur les filtres anti-spam de Microsoft 365 ou Google Workspace, qui sont souvent complétés par une couche supplémentaire de sécurité. Mais ces systèmes ont été conçus à l’origine pour bloquer des messages promotionnels ou des spams en masse, et non des attaques de phishing ciblées, alimentées par l’IA. Et même avec une formation, on ne peut pas attendre des collaborateurs qu’ils compensent ce que la technologie ne parvient pas à filtrer.
C’est pourquoi les organisations doivent combiner une formation holistique basée sur les risques avec une vraie protection e-mail zéro-incident, afin de prévenir les fuites liées à l’erreur humaine.
La sécurité e-mail zero-trust traditionnelle vs. Zero Incident Mail™
La sécurité e-mail zero-trust repose sur un principe simple : aucune confiance par défaut. Chaque message, lien ou pièce jointe doit être vérifié avant livraison ou accès. Cela inclut l’authentification de domaine (SPF, DKIM, DMARC), le chiffrement obligatoire, l’analyse en temps réel du contenu et des contrôles d’identité renforcés (comme la MFA) pour toute personne accédant à la messagerie.
Toutefois, même ces mesures ne suffisent pas. La sécurité zero-trust classique n’a jamais bien fonctionné face aux attaques de phishing réelles. C’est pourquoi nous poursuivons la formation des employés, en gardant à l’esprit que les chiffres sont sans appel : la formation seule ne prévient pas les incidents.
C’est exactement pour cette raison que Phished a développé Zero Incident Mail™ (ZIM) : une couche zero-trust innovante qui neutralise immédiatement les clics à risque. Ce système garantit que même en cas d’erreur humaine, aucun dommage n’atteint votre infrastructure. Cette approche correspond parfaitement à l’une des recommandations clés de l’étude : combiner formation et protection réelle.
En résumé, nous faisons déjà ce que la science valide aujourd’hui : protéger et guider les individus plutôt que les culpabiliser. Transformez l’erreur humaine en une opportunité d’apprentissage sécurisée et constructive, plutôt qu’en un moment de honte.
Jo Vandebergh
CEO, Phished
