82 % des intrusions exploitent l'humain — phishing, mot de passe faible, partage de fichier. Le bon antidote n'est pas une vidéo e-learning de 20 minutes : c'est une simulation réelle, suivie d'une formation pratique, mesurée sur 12 mois.
En Suisse romande, ce ne sont pas des hypothèses : ce sont les scénarios que nous voyons revenir dans 80 % de nos missions. Et ils fonctionnent — parce que personne n'a appris à les reconnaître.
Email parfaitement imité, logo officiel, signature urgente d'un document. Lien qui mène vers une page Microsoft 365 frauduleuse. Identifiants volés en 4 secondes, MFA contourné par session-hijacking. 1 collaborateur sur 4 clique.
Coût type · CHF 30 – 120'000« Bonjour, suite à un changement bancaire, voici notre nouveau RIB pour la facture en cours. » Email envoyé à la comptabilité depuis une adresse quasi-identique. Le virement part. La facture du vrai fournisseur arrive deux semaines après.
Coût type · montant de la factureCible : le CEO. Message LinkedIn, ou email d'un faux investisseur, ou téléphone d'un faux notaire urgent. Demande d'un virement de confidence, ou de signature d'un document sensible. La pression psychologique fait sauter les contrôles.
Coût type · CHF 50 – 500'000Le « quishing » émergent. Un autocollant QR « payez votre place de parking » menant à un site frauduleux. Ou un QR collé sur une porte d'immeuble « accédez au Wi-Fi invité ». Identifiants ou paiement détournés.
Croissance · +800 % en 2024Notre programme s'aligne sur la pédagogie active (apprendre par l'expérience), pas sur le e-learning passif. La progression est mesurée, la frustration est évitée, la honte est bannie. Une culture, pas une corvée annuelle.
Première simulation de phishing sans annonce préalable, basée sur un scénario calibré pour votre secteur. Mesure du taux de clic, du taux de saisie d'identifiants, du taux de signalement, du temps moyen avant signalement. Aucune donnée individuelle communiquée à la direction.
Présentation des résultats agrégés, sans nommer personne. Décryptage en groupe des emails piégés. Démonstration en direct des techniques d'attaque modernes — pas de slides ennuyeux, mais des cas réels et des manipulations en live. Engagement de la direction visible.
Une simulation par trimestre (formule de base) ou par mois (formule renforcée), avec scénarios variés et progressifs. Trois niveaux de difficulté pour ne pas frustrer les débutants ni endormir les vigilants. Cas spéciaux pour la direction (whaling).
Quand un collaborateur tombe dans un piège, redirection immédiate vers une page pédagogique de 5 minutes — pourquoi cet email était suspect, quels indices manquer, comment réagir la prochaine fois. Bienveillant, jamais punitif. Aucune notification à la direction.
Installation d'un bouton dans Outlook ou Gmail qui permet à chaque collaborateur de signaler un email suspect en un clic. L'email est analysé automatiquement, l'expéditeur bloqué si nécessaire, et le collaborateur remercié — créant une boucle vertueuse.
Rapport trimestriel à votre direction avec les KPI clés : taux de clic, taux de signalement, temps moyen avant signalement, comparaison avec la moyenne sectorielle. Indicateurs anonymisés, jamais nominatifs. Présentable au conseil.
Photo de votre niveau de risque humain au lancement : taux de clic, de signalement, temps de réaction. Benchmark avec votre secteur. Anonymisé en interne.
Animation par votre expert dédié, sur site ou en visio. Démos en direct, manipulation visible des techniques d'attaque, échange ouvert avec les équipes. Engagement de la direction.
4 à 12 simulations selon la formule, avec scénarios adaptés à votre secteur — fiduciaire, médical, industrie, e-commerce. Progressives, jamais répétitives.
Add-in Outlook ou extension Gmail déployé sur tous les postes. Un clic pour signaler un email suspect, analyse automatique, blocage de l'expéditeur si nécessaire.
À chaque clic dans un piège, une page d'apprentissage de 5 minutes expliquant les indices manqués. Adaptée au scénario. Aucune notification à la hiérarchie.
Tableau de bord agrégé pour la direction : taux de clic, taux de signalement, évolution sur 12 mois, comparaison sectorielle. Présentable au conseil sans crainte de RH.
Le e-learning passif ne fonctionne pas — c'est mesuré. La sensibilisation efficace combine simulation, pédagogie contextuelle, et durée. Voici ce qu'on couvre, et ce qu'on ne couvre pas.
Après leur formation anti-phishing, nos collaborateurs ont signalé trois tentatives d'attaque réelles en un mois. Pour un cabinet médical, c'est un investissement vital.Responsable RH Cabinet médical · Vaud · 30 employés
Les programmes sont annuels (12 mois) et renouvelables sans hausse de tarif. La tarification se fait au nombre de collaborateurs actifs.
L'objectif n'est jamais de piéger ni de stigmatiser. Les résultats individuels ne sont pas communiqués à la direction — seuls les indicateurs agrégés le sont. Les collaborateurs piégés sont accompagnés vers une micro-formation immédiate de 5 minutes, jamais sanctionnés. La pédagogie remplace la honte. Nous avons même un protocole spécifique pour les collaborateurs qui répètent les erreurs : un coaching individuel bienveillant, jamais une mention RH.
Entre 18 et 32 % au premier test, selon le secteur. La santé et la finance sont autour de 28 %. L'industrie et l'artisanat plutôt vers 25 %. Les services à forte composante numérique (SaaS, agences digitales) descendent à 18 % en moyenne. Le bon objectif après 12 mois de programme : moins de 6 %. Le ratio le plus important n'est cependant pas le taux de clic, mais le taux de signalement — c'est lui qui mesure une vraie culture de sécurité active.
Très peu. L'atelier initial dure 45 minutes (ou une demi-journée en version longue). Les simulations sont passives : un email reçu, 30 secondes pour décider de cliquer ou non. Si un collaborateur tombe dans le piège, 5 minutes de micro-formation. Sur 12 mois, le temps total par collaborateur tourne autour de 2 à 3 heures — investissement minimal pour neutraliser 82 % du risque cyber réel.
Oui, et c'est précisément ce qui rend l'exercice utile. Nous adaptons les scénarios à votre contexte : DocuSign de votre fiduciaire, facture de votre fournisseur habituel, demande urgente de votre directeur, livraison Poste suisse ou Doodle. Trois niveaux de difficulté permettent de progresser sans frustration. Au niveau 3, même les experts en sécurité ont du mal à reconnaître les pièges — c'est volontaire, c'est ce qui crée l'humilité collective nécessaire.
Absolument — et c'est même la priorité n°1. Le whaling (phishing ciblant les dirigeants) est le scénario le plus coûteux : faux ordre de virement, faux changement de RIB d'un fournisseur, faux email du CEO à la comptabilité. La direction est plus exposée que ses équipes, et statistiquement aussi plus susceptible de cliquer en situation de stress. Une direction qui se forme avec ses équipes envoie un signal fort — et inversement, une direction qui s'exempte envoie un signal toxique.
Une vidéo e-learning passive a un impact mesurable très faible — environ 4 à 8 % de réduction du taux de clic à 6 mois. Une simulation réelle combinée à des micro-formations contextuelles atteint 60 à 75 % de réduction sur la même période. La différence : le cerveau humain apprend par l'expérience (et un peu par l'émotion d'avoir failli faire une erreur), pas par le visionnage. Tomber dans un piège sans conséquence ancre la leçon mieux que toute formation théorique.
L'article 8 nLPD exige des « mesures techniques et organisationnelles appropriées ». La sensibilisation des collaborateurs en fait partie explicitement, et le Préposé fédéral en tient compte en cas de contrôle ou d'enquête après incident. Un programme de sensibilisation documenté est une preuve de diligence opposable. Nous fournissons en fin d'année une attestation que vous pouvez classer dans votre dossier de conformité.
Oui — c'est même fortement recommandé. Nous fournissons un kit d'onboarding (vidéo de 8 minutes + quiz court) à intégrer à votre processus RH. Chaque nouvel arrivant reçoit la formation dans sa première semaine, puis entre automatiquement dans le programme annuel de simulations. Aucune action manuelle de votre part — la liste des collaborateurs est synchronisée mensuellement.
Un appel direct avec l'expert qui mènerait votre programme — pas un commercial. Nous évaluons votre exposition humaine en 30 minutes et vous repartez avec trois actions concrètes, que vous décidiez ou non de poursuivre.
« Après leur formation anti-phishing, nos collaborateurs ont signalé trois tentatives d’attaque réelles en un mois. »