Conscience de la sécurité : le taux de clics mesure l’erreur
7 min de lecture
La plupart des programmes de sensibilisation poursuivent un chiffre qui bouge à peine. Le taux de clic moyen dans les simulations de phishing se situe, selon Verizon, autour de 1,5 % et diminue très peu malgré une formation continue. Qui mesure son programme à cette métrique optimise une valeur proche de son plancher et néglige le levier qui compte réellement : la rapidité et la fréquence avec lesquelles les salariés signalent une attaque.
Les points clés en bref
- Le taux de clic a un plancher. À environ 1,5 % il stagne, car la distraction et les leurres bien conçus restent un risque résiduel humain. Plus de formation n’influence guère le chiffre.
- Signaler est le véritable levier. Les salariés fraîchement formés signalent le phishing quatre fois plus souvent. Un taux de signalement élevé réduit le temps d’atténuation, ce que le faible taux de clic ne fait pas.
- La technologie l’emporte sur la discipline. Les méthodes résistantes au phishing comme les Passkeys retirent à l’utilisateur la décision critique. Lorsque les identifiants ne sont même pas récupérables, le clic de phishing classique aboutit à rien.
Liens associés :Passkeys dans les PME : la fin du mot de passe / Vol de jetons OAuth : comment les attaquants contournent l’authentification multifacteur
Qu’est-ce que la formation à la sensibilisation à la sécurité ? Le Security-Awareness-Training est la formation systématique des salariés afin qu’ils reconnaissent les attaques telles que le phishing, y répondent correctement et les signalent. Il comprend des contenus d’apprentissage, des attaques simulées pour mesurer et des répétitions à intervalles. L’objectif est une main‑d’œuvre qui agit comme capteur d’attaques.
Le taux de clic heurte un plancher dur
La logique derrière la plupart des programmes est simple : on forme, on simule, on mesure le taux de clic et on s’attend à ce qu’il diminue. Cela fonctionne pendant un certain temps. Puis arrive le moment où chaque nouvelle session de formation ne fait bouger le chiffre que dans les décimales. Verizon situe la médiane sur de nombreuses organisations à environ 1,5 %. Cela représente un plancher comportemental que la formation seule ne franchit pas.
Ce plancher a des raisons physiques. Les personnes travaillent sous pression, en multitâche, avec une attention partielle. Un leurre bien conçu un jeudi après‑midi touche même les personnes formées. Réduire le taux de clic à zéro échoue face à la capacité humaine. Le budget qui s’alloue aux derniers dixièmes de pourcentage apporte peu de réduction de risque mesurable.
Signaler révèle plus sur un programme que cliquer
La valeur intéressante se trouve de l’autre côté. Les mêmes données Verizon montrent que les salariés formés au cours des 30 derniers jours signalent le phishing simulé environ quatre fois plus souvent que les non formés, 21 % contre 5 %. Ce taux de signalement est opérationnellement précieux, car il agit directement sur le temps de réaction. Une attaque signalée à 9 h 05 peut être contenue avant que, à 9 h 40, les premiers collègues ne reçoivent le même leurre.
Pour l’équipe de sécurité, cela inverse la logique de pilotage. Au lieu de sanctionner les salariés pour un clic, il est plus judicieux de rendre le signalement aussi simple que possible : un bouton dans le client de messagerie, une confirmation que le signalement a bien été reçu, aucune réprimande en cas de fausse alerte. Un personnel qui signale devient un réseau de capteurs distribué. Là où seule la statistique de clics compte, les personnes se taisent en cas de doute, et le précurseur précoce se perd.
Huit pour cent portent la majeure partie du risque
La même étude fournit une seconde constatation inconfortable : une petite groupe d’environ 8 % des salariés supporte une part disproportionnée des incidents récurrents. Cela bouleverse fondamentalement l’économie de la formation. Qui impose à tous les employés le même programme annuel dépense la majeure partie du budget pour les déjà prudents et en alloue trop peu à la petite groupe où les incidents se concentrent.
Concrètement, cela signifie exploiter les données des simulations pour segmenter, et non seulement pour obtenir un taux global. Les comptes qui se démarquent de façon récurrente reçoivent des intervalles plus courts, des exercices ciblés et, le cas échéant, des garde-fous techniques plus stricts. C’est une gestion du risque sobre. Soixante pour cent de toutes les violations de sécurité comportent, selon Verizon, un facteur humain, le phishing étant impliqué dans environ 16 % des intrusions. On travaille plus précisément avec un groupe à risque qu’avec une formation moyenne.
La technologie enlève la décision à l’utilisateur
La réponse la plus efficace au phishing déplace le problème loin du jugement humain. L’authentification résistante au phishing selon la norme FIDO2, pratiquement appelée Passkeys, lie cryptographiquement la connexion au domaine réel. Un dialogue de connexion falsifié ne reçoit tout simplement aucune donnée exploitable, car il n’existe plus de mot de passe à saisir et à transmettre.
Cela ne résout pas tous les cas. Les attaquants se tournent alors vers le vol de jetons et la fraude de consentement OAuth dès que le mot de passe disparaît comme butin. Mais chaque connexion migrée vers les Passkeys rend le vol de credentials classique obsolète. L’utilisateur peut cliquer sur le même leurre qu’auparavant, mais aucune authentification valide ne peut en être dérivée. La sensibilisation et la technologie sont deux leviers du même problème, la technologie agissant plus rapidement.
Le facteur DACH : la simulation rencontre la codétermination
En Allemagne, chaque simulation de phishing est soumise au comité d’entreprise. Les attaques simulées génèrent des données de performance liées aux personnes, dont l’analyse doit être soumise à la codétermination. Qui collecte et analyse les taux de clics de salariés individuels sans accord met en péril la confiance et, au final, bloque formellement le programme.
La solution propre consiste en un accord d’entreprise qui définit le but, le niveau d’agrégation et les conséquences : analyse en groupes plutôt qu’au nom individuel, aucune conséquence juridique découlant d’un seul clic, des délais de suppression clairs. C’est précisément ce qui rend un programme durablement viable. Un programme qui considère le personnel comme un adversaire perd la propension à signaler, qui constitue la vraie valeur.
Ce que les équipes de sécurité doivent modifier dans les 90 prochains jours
Trois étapes transforment l’impact sans augmenter le budget. Premièrement, changer l’indicateur clé principal : mettre en avant le taux de signalement et le délai avant premier signalement, avec le taux de clics comme métrique secondaire. Deuxièmement, segmenter les données de simulation et cibler spécifiquement la minorité problématique, au lieu de traiter tout le monde de la même manière. Troisièmement, prioriser la migration des connexions critiques vers les Passkeys, en commençant par les administrateurs et les accès externes. En parallèle, un accord d’entreprise doit être sur la table avant la première évaluation portant sur des données personnelles. Le taux de clics ne disparaîtra pas pour autant, mais il occupera enfin la place qui lui revient : une note marginale dans le reporting.
Foire aux questions
Pourquoi le taux de clics sur les tentatives de phishing ne descend-il guère en dessous d’un certain seuil, malgré les formations ?
Parce qu’il subsiste une part incompressible liée à la distraction, à la pression temporelle et à des leurres très convaincants. Verizon indique une médiane d’environ 1,5 % sur de nombreuses organisations. Ce plancher reflète un comportement humain, pas un échec de la formation. Un budget visant à réduire les derniers dixièmes de pourcent n’apporte qu’une réduction marginale du risque.
Quel indicateur est préférable au taux de clics ?
Le taux de signalement et le délai avant premier signalement. Les collaborateurs ayant suivi une formation récente signalent les simulations de phishing environ quatre fois plus souvent. Un taux de signalement élevé réduit directement le temps de réaction de l’équipe de sécurité, car une attaque devient visible plus tôt, avant qu’elle ne se propage dans l’organisation.
Faut-il vraiment proposer la même formation à tous les collaborateurs ?
Cela a rarement du sens. Selon les analyses de Verizon, environ 8 % des collaborateurs concentrent une part disproportionnée des incidents répétés. Une formation annuelle généralisée répartit le budget de manière égale sur une situation de risque très inégale. Une segmentation s’avère plus judicieuse : des intervalles plus courts et des exercices ciblés pour la minorité problématique.
Les technologies résistantes au phishing rendent-elles la sensibilisation superflue ?
Non. Les Passkeys conformes à la norme FIDO2 dévalorisent les identifiants volés, car la connexion est cryptographiquement liée au véritable domaine. Cependant, les attaquants se tournent vers le vol de jetons et les fraudes par consentement. La technique et la formation sont deux leviers agissant sur le même problème : le levier technique agit plus rapidement, tandis que le levier humain couvre les cas résiduels.
Que faut‑il prendre en compte juridiquement lors des simulations de phishing ?
En Allemagne, les attaques simulées sont soumises à la codétermination, car elles génèrent des données de performance liées à des personnes. Avant la première analyse de données personnelles, il faut établir un accord d’entreprise qui définit le but, le degré d’agrégation, les conséquences et les délais de suppression. L’analyse en groupe plutôt qu’au nom individuel est la voie sûre.
Conseils de lecture de la rédaction
- Passkeys dans les PME : la fin du mot de passe
- Vol de jetons OAuth : comment les attaquants contournent l’authentification multifacteur
- MFA adaptatif comme levier Zero‑Trust dans les PME
Plus du réseau MBF Media
Image titre : générée par IA (juin 2026)
Source de l’image : générée par IA (juin 2026), certificat C2PA intégré à l’image
