Arrêtez de former vos employés au phishing : ça ne marche pas !

Génération NT / Actualités / Arrêtez de former vos employés au phishing : ça ne marche pas !

Publié le 30 septembre 2025 à 18:10 par Mathieu M.

Une étude menée par des chercheurs américains vient confirmer ce que beaucoup soupçonnaient : les formations anti-phishing en entreprise sont inefficaces. Malgré les millions investis, les employés continuent de cliquer sur les liens frauduleux. La solution ne résiderait pas dans l'éducation, mais dans la technologie.

Une étude menée conjointement par l'UC San Diego Health et la société Censys sur près de 20 000 employés vient de conclure que les programmes de formation contre le phishing, qu'ils soient annuels ou intégrés, n'ont quasiment aucun effet sur le comportement des salariés.

Une révélation qui remet en cause des années de stratégie de défense et des millions de dollars d'investissement, alors même que le phishing est la première cause de cyberattaques en 2025.

Pourquoi ces formations sont-elles un échec cuisant ?

Les résultats de l'étude, menée sur huit mois avec dix campagnes de faux mails, sont sans appel. Il n'existe "aucune relation significative" entre le fait d'avoir suivi une formation et la probabilité de se faire piéger. Pire encore, la formation dite "intégrée", qui consiste à éduquer un employé juste après qu'il a cliqué sur un lien malveillant simulé, ne réduit le risque que de 2 %.

La raison principale de cet échec est simple : le désengagement. Les chercheurs ont constaté que 75 % des employés passaient moins d'une minute sur les modules de formation, et qu'un tiers les fermaient sans même les consulter.

Tous les hameçonnages ne se valent-ils pas ?

L'étude révèle un autre enseignement crucial : le contexte est roi. Les pirates le savent bien, et les chiffres le confirment. Un email annonçant une prétendue mise à jour de la politique de congés de l'entreprise a piégé plus de 30 % des employés. En comparaison, une fausse demande de mise à jour du mot de passe Outlook n'a convaincu que 1,8 % des cibles.

L'efficacité d'une attaque de phishing dépend donc moins de la vigilance de l'employé que de la pertinence et de l'urgence perçue du message. L'étude montre d'ailleurs que la lassitude joue un rôle : alors que 10 % des employés cliquaient le premier mois, ils étaient plus de 50 % à tomber dans le panneau au huitième mois.

S'il ne faut plus former, que faut-il faire ?

Face à ce constat d'échec, les chercheurs préconisent un changement radical de stratégie. Plutôt que de s'acharner à éduquer des employés désintéressés, les entreprises feraient mieux d'investir dans des contre-mesures techniques robustes. La priorité devrait être mise sur des solutions qui protègent l'utilisateur malgré lui, comme :

L'authentification à deux facteurs (2FA/MFA) obligatoire sur tous les comptes.
L'utilisation de gestionnaires de mots de passe qui ne remplissent les identifiants que sur les domaines web légitimes.

Ces barrières technologiques sont bien plus efficaces pour bloquer les tentatives de vol d'identifiants que n'importe quelle session de e-learning. L'idée n'est pas forcément d'abandonner toute sensibilisation, mais de la réinventer sous des formes plus engageantes (ateliers, gamification) et de la considérer comme une couche de défense secondaire, et non plus principale.

Foire Aux Questions (FAQ)

Le phishing est-il une menace si importante pour les entreprises ?

Oui, c'est la menace numéro un. Selon les derniers rapports de cybersécurité, le phishing est le principal vecteur d'attaque pour les ransomwares et a été cité par 35 % des organisations victimes d'une cyberattaque en 2025, en hausse par rapport à l'année précédente.

Quels sont les types de phishing les plus courants ?

Les attaques varient, allant de campagnes de masse peu ciblées ("spray-and-pray") à des attaques très personnalisées ("spear phishing"). Les thèmes les plus efficaces sont ceux qui créent un sentiment d'urgence ou d'opportunité, comme des fausses factures, des mises à jour de politiques internes (congés, paie) ou des offres exclusives.

Faut-il complètement arrêter les formations anti-phishing ?

Les auteurs de l'étude suggèrent que dans leur forme actuelle (modules en ligne peu engageants), elles sont une perte de temps et d'argent. Ils n'excluent pas l'utilité d'une sensibilisation repensée (discussions, séminaires interactifs), mais insistent sur le fait que la priorité absolue doit être la mise en place de défenses techniques solides comme l'authentification multifacteur.

Mathieu M.

Journaliste GNT spécialisé imprimantes 3D et nouvelles technologies

Cette page peut contenir des liens affiliés. Si vous achetez un produit depuis ces liens, le site marchand nous reversera une commission sans que cela n'impacte en rien le montant de votre achat. En savoir plus.

Lire les commentaires