Les simulations de phishing testent un vecteur d’attaque, à un instant donné. Le vrai risque se trouve dans les comportements quotidiens que personne ne surveille — partage public de fichiers, shadow IT, calendriers exposés et paramètres par défaut mal configurés qui persistent parce que personne ne regarde.
Les simulations de phishing sont devenues la mesure par défaut du risque humain. On envoie de faux e-mails, on trace qui clique, on remonte le chiffre.
Propre. Simple. Dangereusement incomplet.
Elles testent un seul vecteur, un seul scénario, à un instant donné. Pendant ce temps, les employés prennent chaque jour des dizaines de décisions à risque qu’aucune simulation de phishing ne détectera jamais.
L’angle mort
Les simulations mesurent : cette personne sait-elle repérer un faux e-mail ?
Elles ne mesurent pas :
- Le partage public de fichiers (« Toute personne disposant du lien »)
- Les applications OAuth non approuvées connectées aux données de l’entreprise
- Les calendriers exposant les titres de réunions, les participants, la stratégie
- Les identifiants stockés dans des documents partagés
- L’e-mail personnel utilisé pour des fichiers professionnels
Cela arrive tous les jours. Dans toutes les organisations. Et cela cause plus de compromissions que les liens de phishing — un schéma que nous détaillons dans pourquoi la réponse à incident doit commencer par le comportement.
Quatre comportements que personne ne teste
1. Le partage public de fichiers
Un employé crée un Google Doc. Clique sur « Toute personne disposant du lien ». L’option la plus rapide. Terminé.
Ce document est désormais indexé par les moteurs de recherche. Aucune simulation ne le détecte.
2. Le shadow IT
L’organisation moyenne possède des centaines d’applications SaaS, beaucoup connectées par les employés sans approbation de la DSI. Chacune est une vulnérabilité de chaîne d’approvisionnement — et le type d’exposition que la surveillance SaaS d’Engarde est spécifiquement conçue pour révéler.
3. L’exposition des calendriers
Un calendrier public révèle la réunion « Présentation au Conseil – Résultats T2 » de votre directeur financier. C’est une mine d’or pour l’ingénierie sociale.
4. Les paramètres par défaut mal configurés
Un nouvel employé arrive. Le Drive est configuré par défaut sur « Toute personne dans l’organisation ». Chaque document qu’il crée est sur-partagé. Personne ne le remarque.
Ce ne sont pas des erreurs de connaissances. Ce sont des erreurs de configuration qui persistent parce que personne ne regarde.
Simulations contre surveillance continue
| Simulations de phishing | Surveillance continue |
|---|---|
| Un seul vecteur (l’e-mail) | Tous les comportements SaaS |
| Trimestrielle | 24/7 |
| Taux de clics | Schémas comportementaux réels |
| Manipulable | Observe les actions réelles |
| Instantané | Tendances |
| Réactive | Proactive |
Les employés apprennent à repérer le test, pas la menace. Les taux de clics s’améliorent parce qu’ils reconnaissent les simulations, pas parce qu’ils sont plus vigilants.
Loi de Goodhart : quand une mesure devient un objectif, elle cesse d’être une bonne mesure.
Comment fonctionne la surveillance continue
1. Observer — Connecter Google Workspace, Microsoft 365, Slack. Surveiller le partage de fichiers, les applications OAuth, l’exposition des calendriers, la posture d’authentification.
2. Corriger — Lorsqu’un comportement à risque est détecté, le guidage en temps réel délivre un nudge instantané via Slack :
« Vous avez partagé “Prévisions de chiffre d’affaires T2” publiquement. Votre politique exige des destinataires spécifiques uniquement. Corrigez-le ici — 10 secondes. »
3. Renforcer — Des quiz de suivi à intervalles espacés, adaptés au comportement spécifique. Au fil des semaines, la voie sûre devient la voie par défaut. Cette approche est ancrée dans l’écart entre la connaissance et le comportement — la distance entre ce que les employés savent et ce qu’ils font réellement.
De meilleures métriques
Arrêtez de rapporter les taux de clics. Commencez à mesurer :
- % de fichiers avec des contrôles d’accès appropriés
- Adoption du MFA sur l’ensemble des plateformes
- Applications OAuth non approuvées ayant accès aux données de l’entreprise
- Délai de remédiation d’un comportement signalé
- Tendances montrant une amélioration sur plusieurs mois
Ce sont les signaux qui intéressent réellement les attaquants — et ceux que le livre blanc d’Engarde « Hacking the Habit » propose de substituer entièrement aux KPI traditionnels de la formation.
En résumé
Les simulations de phishing demandent : « cette personne cliquerait-elle sur un lien ? »
La vraie question : « que fait cette personne en ce moment qui pourrait causer une compromission ? »
La réponse se trouve dans ses paramètres de partage, ses autorisations OAuth, son calendrier. Pas dans un faux e-mail.
Les simulations sont un point de départ. La surveillance continue complète le tableau. Engarde (engarde.cc) — la plateforme de cybersécurité centrée sur le comportement — combine les deux : audits comportementaux SaaS, nudges en temps réel dans Slack et Teams, et quiz à répétition espacée qui s’attaquent aux comportements que la formation seule ne peut pas corriger.
Sources : Verizon DBIR 2024 · Gartner Human Risk Management · UChicago – Lacunes de la formation
