Simulations de phishing : mieux que la théorie

5 min. de lecture

Le phishing entraîne chaque année des pertes se chiffrant en milliards pour les entreprises. Selon Bitkom, le coût total des cyberattaques subies par les entreprises allemandes s’est élevé à 203 milliards d’euros en 2022. En 2024, 94 % des entreprises ont été victimes d’au moins une attaque par phishing. Les formations traditionnelles se révèlent peu efficaces. Une solution alternative est proposée par msecure, filiale du groupe synaforce, qui simule des scénarios réels de phishing au sein même des processus opérationnels.

Points clés

94 pour cent des entreprises ont été victimes d’attaques de phishing en 2024 (Keepnet Labs, 2025).
Les e-mails de phishing générés par l’IA obtiennent un taux de clics de 54 pour cent, contre seulement 12 pour cent pour les messages rédigés manuellement.
En mars 2024, synaforce a reçu la certification BSI C5 pour ses services cloud, spécialement destinée aux clients relevant des infrastructures critiques essentielles (KRITIS).
La loi d’application de la directive NIS2 est obligatoire en Allemagne depuis le 6 décembre 2025. L’obligation d’enregistrement auprès du BSI est entrée en vigueur en janvier 2026.
Le partenariat stratégique avec TEHTRIS permet de mettre à disposition une plateforme XDR assistée par l’IA, destinée aux MSP et aux entreprises.

94 %

des entreprises ont été victimes d’au moins une attaque de phishing en 2024

Source : Keepnet Labs, Statistiques sur le phishing 2025

Qu'est-ce que Simulations de phishing ?

Simulations de phishing est un levier concret pour les entreprises en 2025, car il influence directement la capacité de datacenter, l'efficacité énergétique et la conformité. Cet article montre, à partir de l'exemple de synaforce, quels indicateurs, exigences et étapes opérationnelles comptent dans la pratique.

Pourquoi le phishing reste-t-il dangereux ?

L’obtention frauduleuse d’identifiants de connexion via des e-mails falsifiés demeure l’un des principaux vecteurs d’attaque utilisés par les hackers au sein des entreprises allemandes. En 2024, environ 20 % de tous les e-mails échangés à travers le monde contenaient du contenu de type phishing ou spam. Chaque jour, entre trois et quatre milliards d’e-mails de phishing sont envoyés. Selon Bitkom, les dommages totaux causés aux entreprises allemandes par les cyberattaques, notamment en lien avec des conséquences classiques telles que le vol de mots de passe et les ransomwares, s’élevaient à 203 milliards d’euros en 2022.

À l’instar du spam, le phishing vise avant tout la fraude : des e-mails, messages, appels générés par l’intelligence artificielle ou des sites web d’apparence parfaitement authentique incitent leurs destinataires à divulguer volontairement leurs informations personnelles et bancaires.

Autrefois, les e-mails de phishing trahissaient leur nature grâce à des formulations maladroites ou à des erreurs dans l’objet. Mais depuis l’avènement des modèles d’IA entraînables comme ChatGPT, cette situation a radicalement changé. D’après les dernières analyses, les e-mails de phishing générés par l’IA affichent un taux de clics de 54 %, contre seulement 12 % pour ceux rédigés manuellement. Par ailleurs, repérer ces menaces grâce à des URL cryptiques devient également plus ardu : qui prête encore attention à un domaine .co pour la Colombie plutôt qu’à .com, ou détecte facilement le remplacement du « m » par un « r n » dans « rnicrosoft.com » ?

C’est précisément cette capacité à identifier ces tentatives d’escroquerie qu’il est essentiel de développer chez les collaborateurs, souligne Götz Blechschmidt, directeur général de la société de conseil en cybersécurité msecure, filiale du groupe synaforce.

« La menace était déjà considérable en 2024, et elle ne devrait pas s’améliorer en 2025. Notre résilience collective sera déterminante pour faire face à des dangers toujours plus complexes. »
Andreas Braidt, PDG de synaforce GmbH

Compléter efficacement les formations traditionnelles

L’objectif des formations en matière de protection des données, telles que celles proposées par msecure, est de sensibiliser les employés à la prudence dans la gestion des e-mails. Les participants apprennent à repérer les signaux d’alerte et découvrent quels liens ne doivent en aucun cas être cliqués. Toutefois, face à l’immense quantité d’informations qui inonde quotidiennement les collaborateurs au travail, ces formations classiques n’ont qu’un effet limité dans le temps.

C’est pourquoi msecure mise sur la simulation de scénarios réels de phishing directement dans le cadre professionnel. Plutôt que de se contenter d’un enseignement théorique, les employés sont confrontés à des attaques très proches de la réalité, dans leur propre environnement de travail. Lorsqu’un salarié clique sur un courriel de phishing simulé, il reçoit immédiatement une explication détaillée indiquant comment il aurait pu détecter l’escroquerie. Cette approche pratique promet une sensibilisation plus directe et durable que les formats de formation traditionnels.

synaforce 2024 : De nouvelles normes en matière de sécurité informatique

En 2024, synaforce a franchi des étapes décisives pour consolider sa position en tant que fournisseur de solutions de sécurité informatique de pointe. Une étape majeure a été l’obtention de la certification C5 délivrée par l’Office fédéral allemand de la sécurité de l’information (BSI) en mars 2024. Cette certification atteste que les services cloud de synaforce répondent aux plus hauts standards de sécurité et sont particulièrement adaptés aux clients opérant dans les secteurs d’importance critique (KRITIS).

Par ailleurs, synaforce s’est préparé de manière ciblée à la mise en œuvre de la directive NIS2. Le socle de certifications existant, incluant les normes ISO/IEC 27001, ISAE 3402 et EN 50600, a été encore renforcé par l’obtention du label C5. Depuis le 6 décembre 2025, la loi transposant la directive NIS2 est entrée en vigueur de manière contraignante en Allemagne. Depuis janvier 2026, les entités concernées sont tenues de s’enregistrer auprès du BSI.

Datacenter moderne avec rangées de serveurs éclairées – article sur simulations de phishing et synaforce, section 1

Tobias Lehner, directeur technique (CTO) de synaforce GmbH. Crédit photo : synaforce GmbH.

« Nous sommes fiers de ce que nous avons accompli en 2024. Toutefois, la situation actuelle en matière de menaces souligne l’importance de renforcer continuellement notre position. L’année 2025 sera pour nous une nouvelle année de progrès, au cours de laquelle nous intensifierons davantage notre engagement dans le domaine de la cybersécurité », déclare Tobias Lehner, directeur technique de synaforce.

Partenariat stratégique avec TEHTRIS

Un autre point fort a été le partenariat stratégique avec TEHTRIS. Les deux entreprises présentent ensemble la plateforme XDR AI de TEHTRIS, une solution de sécurité soutenue par l’intelligence artificielle. Elle surveille en temps réel tous les terminaux, réseaux et services cloud, et gère toutes les mesures de sécurité via un tableau de bord centralisé. Les entreprises bénéficient d’une protection globale, d’une conformité sécurisée ainsi que de la modularité de la solution. Les fournisseurs de services gérés peuvent ainsi améliorer l’efficacité de leurs mesures de sécurité et élargir leur offre avec une détection et réponse proactive (MDR), sans avoir à investir dans des infrastructures coûteuses.

Ce qui attend les entreprises en 2025 et 2026

La situation de sécurité informatique présente des défis croissants pour les entreprises. Les cybercriminels utilisent de plus en plus des technologies de Deepfake pour contourner les systèmes de reconnaissance vocale lors des processus de vérification. Les attaques d’identité deviennent la méthode privilégiée : au lieu de pirater les systèmes, les attaquants se connectent simplement.

En outre, les Threats Persistants Avancés (APTs) reviennent plus fortement à l’esprit. Ils se distinguent par leur longévité et leur précision, permettant aux attaquants un accès prolongé à des informations précieuses. Les entreprises KRITIS sont de plus en plus ciblées, car elles sont exposées supplémentairement grâce à l’augmentation de la surface d’attaque OT.

Datacenter moderne avec rangées de serveurs éclairées – article sur simulations de phishing et synaforce, section 2

Andreas Braidt, PDG de la société synaforce GmbH. Source de l’image : synaforce GmbH.

« L’application de la directive NIS2 joue un rôle décisif. Synaforce soutient activement les entreprises avec une consultation complète ainsi qu’avec la planification et la mise en œuvre de mesures ciblées pour minimiser les risques liés aux cyberattaques et instaurer des stratégies de sécurité durables », déclare Andreas Braidt, PDG de synaforce.

Questions fréquentes

Qu’est-ce que les simulations de phishing et pourquoi sont-elles plus efficaces que les formations classiques ?

Les simulations de phishing exposent les employés à des attaques de phishing réalistes, mais inoffensives, dans leur quotidien professionnel. Si une personne clique sur un courriel simulé, elle reçoit immédiatement une explication sur les indices qui auraient dû lui faire reconnaître la fraude. Contrairement aux formations théoriques, dont l’effet disparaît rapidement, les simulations génèrent un apprentissage durable grâce à l’expérience directe.

Ce qu’est la certification BSI C5 et pourquoi est-elle pertinente pour les KRITIS ?

C5 (Cloud Computing Compliance Controls Catalogue) est un critère d’audit du BSI pour les services cloud. La certification prouve qu’un fournisseur de cloud respecte les normes de sécurité les plus élevées. Pour les entreprises KRITIS, elle est particulièrement pertinente car elle démontre qu’elle couvre les exigences en matière de sécurité des informations, de disponibilité et de conformité.

Ce qu’est la plateforme XDR AI TEHTRIS ?

La plateforme XDR AI TEHTRIS est une solution de sécurité soutenue par l’intelligence artificielle, qui surveille en temps réel les terminaux, les réseaux et les services cloud. Elle combine EDR, EPP et SIEM dans une seule plateforme. Pour les fournisseurs de services gérés, elle permet d’offrir un service de détection et de réponse proactive (MDR) sans avoir à construire leur propre infrastructure.

Depuis quand la NIS2 est-elle applicable en Allemagne ?

Le projet de loi d’application de la NIS2 et de renforcement de la cybersécurité a été adopté par le Bundestag le 13 novembre 2025 et est entré en vigueur le 6 décembre 2025. À partir du mois de janvier 2026, les établissements concernés doivent s’enregistrer auprès du BSI. Aucune période transitoire n’est prévue.

Ce qu’est msecure et quelle relation existe-t-il avec synaforce ?

msecure GmbH basée à Oberhaching près de Munich propose des conseils en cybersécurité, des services de CISO, des simulations de phishing et des formations à la sensibilisation. Les dirigeants sont Götz Blechschmidt et Horst Nadjafi. msecure est une filiale du groupe synaforce et donc membre du groupe.

Lecture complémentaire

Plus d’articles du réseau MBF Media

→ Boom de la cybersécurité : pourquoi NIS2 fait de la filière de sécurité allemande un moteur de croissance (MyBusinessFuture)
→ Cybersécurité 2024 : synaforce fait le bilan (cloudmagazin)

Photo de une : Pixabay / AhmedAlMaslamani

Plus sur ce sujet synaforce

Des exemples d'usage, des services et des repères complémentaires sont disponibles chez synaforce pour les services de datacenter et d'infrastructure.

Imprimer l'article

À propos de l'auteur: Sonja

Plus d'articles de Sonja

Aussi disponible en

Español English Deutsch