Le phishing reste le vecteur d'attaque numéro un en entreprise, représentant plus de 80% des incidents de sécurité signalés en 2025. Face à ce constat, une grande entreprise du secteur financier a déployé un programme complet de sensibilisation utilisant la plateforme KnowBe4, obtenant une réduction de 73% du taux de clic sur les emails de phishing en 18 mois. Ce retour d'expérience détaille les méthodes employées et les facteurs clés de succès.
Le programme a débuté par une campagne de simulation initiale sans avertissement préalable des collaborateurs, afin d'établir une ligne de base objective. Les résultats ont révélé un taux de clic de 32%, avec des pics à plus de 45% dans certains départements. Ces chiffres, bien que préoccupants, ont permis de convaincre la direction de l'urgence d'investir dans la sensibilisation et ont fourni des indicateurs mesurables pour suivre les progrès.
La stratégie de sensibilisation s'est articulée autour de trois piliers : la formation continue, les simulations régulières et la gamification. Chaque mois, les collaborateurs suivent un module de formation interactif de 10 minutes couvrant un type de menace spécifique (spear phishing, vishing, smishing, BEC). Des simulations de phishing sont envoyées toutes les deux semaines avec des scénarios de difficulté croissante. Un système de points et de badges récompense les collaborateurs qui signalent correctement les tentatives, créant une culture de vigilance collective.
Les résultats après 18 mois sont éloquents : le taux de clic est passé de 32% à 8,6%, soit une réduction de 73%. Plus significatif encore, le taux de signalement des emails suspects est passé de 5% à 67%, démontrant que les collaborateurs sont devenus de véritables capteurs de menaces. Les clés du succès identifiées sont le soutien visible de la direction, la régularité des actions, l'absence de sanctions punitives en cas d'échec, et l'intégration de la sensibilisation dans les objectifs annuels de chaque service.
