Présentation en détails de notre stratégie de sensibilisation au phishing

Un programme en 3 étapes, fondé sur les sciences cognitives, pour ancrer durablement les bons réflexes

Pourquoi les formations classiques échouent

Et comment LePhish change la donne grâce aux sciences cognitives

Le constat
90% de l'information oubliée
en une semaine

En 1885, le psychologue Hermann Ebbinghaus a mesuré pour la première fois la vitesse à laquelle notre mémoire efface ce qu'elle vient d'apprendre. Résultat : sans aucun rappel, nous perdons environ 70 % de l'information en 24 heures et jusqu'à 90 % en une semaine.

C'est ce qu'on appelle la courbe de l'oubli — et c'est exactement la raison pour laquelle une formation annuelle de sensibilisation, aussi bonne soit-elle, n'a quasiment aucun effet durable sur les comportements de vos collaborateurs.

En savoir plus sur la courbe de l'oubli (Ebbinghaus, 1885)
Notre réponse

Pour contrer ce phénomène, LePhish s'appuie sur deux principes scientifiquement prouvés :

Répétition espacée à intervalles croissants

Les travaux de Landauer & Bjork (1978) ont démontré que la clé n'est pas de répéter souvent, mais de répéter au bon moment. Un premier rappel rapide (dans les 24h) empêche la chute initiale de la mémoire. Un deuxième rappel plus tardif (à une semaine) consolide durablement l'information. À chaque intervalle qui s'allonge, la rétention se renforce.

Landauer & Bjork, 1978 — Optimal rehearsal patterns and name learning
Apprentissage actif (testing effect)

Une étude de référence de Roediger & Karpicke (2006) a montré que les personnes qui se testent activement retiennent 50 % d'information de plus après une semaine que celles qui se contentent de relire le même contenu. Se mettre en situation, prendre une décision, faire une erreur et la comprendre — c'est ce qui ancre vraiment un réflexe.

Roediger & Karpicke, Psychological Science, 2006

C'est la combinaison de ces deux principes qui rend LePhish efficace : trois points de contact à intervalles croissants, dont le dernier place le collaborateur en situation d'acteur — pas de spectateur.

J
Simulation de phishing
et sensibilisation sur l'instant
J+1
Email de sensibilisation
J+7
Mini-jeu interactif
Étape 1 — Jour J

Simulation de phishing réaliste

Des scénarios crédibles pour évaluer les réflexes réels de vos collaborateurs

Vos collaborateurs reçoivent un email de simulation de phishing directement dans leur boîte de réception professionnelle. Ces emails reproduisent fidèlement les techniques utilisées par les cybercriminels : usurpation de marques connues, création d'urgence, liens trompeurs et pièces jointes piégées.

Domaines proches des domaines légitimes
Pages d'authentification factices
Quishing (QR codes malveillants)
Pièces jointes piégées (Excel avec macros, PDF…)
Bibliothèque de scénarios régulièrement enrichie
Interface de simulation de phishing LePhish
Étape 2 — J+1

Sensibilisation ciblée le lendemain

Un contenu pédagogique personnalisé, envoyé uniquement aux collaborateurs qui ont cliqué

Le lendemain de la simulation, un email de sensibilisation est automatiquement envoyé — mais uniquement aux collaborateurs qui ont été piégés (clic sur le lien, ouverture de la pièce jointe ou saisie d'identifiants). Cette approche ciblée évite la lassitude liée aux formations génériques imposées à tous, et concentre l'effort pédagogique là où il est réellement nécessaire.

Le contenu de cet email de sensibilisation varie en fonction du niveau de difficulté du scénario sur lequel le collaborateur a cliqué. Un collaborateur piégé par un scénario de niveau débutant recevra des explications sur les indices de base du phishing, tandis qu'un collaborateur piégé par un scénario avancé recevra un contenu adapté aux techniques sophistiquées utilisées dans cette simulation.

Ce timing à J+1 n'est pas anodin : il correspond précisément à la fenêtre optimale identifiée par la recherche pour une première révision, au moment où le souvenir de l'expérience est encore vif mais commence à s'estomper.

Exemple d'email de sensibilisation LePhish
Étape 3 — J+7

Mini-jeu interactif à une semaine

Un serious game de 2 minutes pour ancrer le changement de comportement

Une semaine après que le collaborateur ait cliqué sur un email de simulation de phishing, il reçoit un lien vers un mini-jeu interactif (serious game) d'une durée de 2 minutes environ.

Le principe est simple mais puissant : on présente au collaborateur un email de phishing, et il doit identifier lui-même les éléments suspects — expéditeur douteux, URL trompeuse, etc. À la fin de l'exercice, un score sur 10 lui est attribué en fonction de sa capacité à détecter les indices.

Ce mini-jeu applique directement le principe du testing effect démontré par Roediger et Karpicke : en forçant le collaborateur à être acteur de son apprentissage plutôt que simple lecteur, on renforce considérablement la rétention à long terme. Le collaborateur ne reçoit plus une information : il la pratique.

Mini-jeu de sensibilisation LePhish

Une plateforme complète pour piloter vos campagnes

Campagnes automatiques ou manuelles, gestion multi-entités, reporting avancé

Gestion des collaborateurs

Importez vos collaborateurs par CSV ou via une synchronisation automatique avec Azure AD / Google Workspace. Organisez-les en organisations (filiales, clients, entités) et en groupes (IT, RH, direction…) si vous le souhaitez, pour cibler vos campagnes par client ou par métier.

Campagnes automatiques

Activez le mode automatique pour que LePhish envoie une simulation par mois à l'ensemble de vos collaborateurs. À chaque campagne, le scénario et l'heure d'envoi sont automatiquement randomisés pour chaque destinataire : aucun collaborateur ne reçoit le même scénario au même moment. Cette variation permanente empêche les employés de se prévenir mutuellement et garantit des résultats représentatifs du niveau de vigilance réel de votre organisation.

Campagnes manuelles

En complément ou à la place des campagnes automatiques, lancez des campagnes manuelles sur-mesure. Sélectionnez précisément vos cibles — tous les utilisateurs, des groupes spécifiques ou des organisations entières —, choisissez le ou les scénarios souhaités, et définissez la durée de la campagne (une semaine, un mois, ou un nombre de jours qui vous convient) ou optez pour un envoi immédiat.

Exports de données

Exportez vos résultats de campagne et vos statistiques aux formats PDF, Excel ou CSV pour vos rapports internes, vos audits de conformité (ISO 27001, NIS2…) ou vos comités de direction.

Tableau de bord et reporting

Suivez en temps réel l'évolution de la maturité cyber de votre organisation

Le tableau de bord LePhish vous offre une vision claire et synthétique de la performance de vos campagnes et du niveau de sensibilisation de vos collaborateurs.

Statistiques en temps réel

Taux d'ouverture d'email, de clic, de saisie d'identifiants, par campagne, par organisation, par service, ou au global.

Évolution dans le temps

Visualisez l'évolution des taux de clic et de saisie d'identifiants mois après mois et mesurez l'impact de notre programme de sensibilisation.

Profils à risque

Identifiez les collaborateurs les plus vulnérables et les services nécessitant une attention particulière.

Résultats par groupe et organisation

Filtrez par service ou entité pour des analyses granulaires.

Tableau de bord LePhish

Prêt à sensibiliser vos équipes ?

Testez LePhish gratuitement pendant 30 jours, sans engagement.

Créer mon compte Nous contacter