Un programme complet de sensibilisation au phishing et à la cybersécurité

Un parcours déclenché par la simulation de phishing, complété par des modules e-learning ciblés par métier — le tout fondé sur les sciences cognitives

Pourquoi les formations classiques échouent

Et comment LePhish change la donne grâce aux sciences cognitives

Le constat
90% de l'information oubliée
en une semaine

En 1885, le psychologue Hermann Ebbinghaus a mesuré pour la première fois la vitesse à laquelle notre mémoire efface ce qu'elle vient d'apprendre. Résultat : sans aucun rappel, nous perdons environ 70 % de l'information en 24 heures et jusqu'à 90 % en une semaine.

C'est ce qu'on appelle la courbe de l'oubli — et c'est exactement la raison pour laquelle une formation ponctuelle de sensibilisation, aussi bonne soit-elle, n'a quasiment aucun effet durable sur les comportements de vos collaborateurs.

En savoir plus sur la courbe de l'oubli (Ebbinghaus, 1885)
Notre réponse

Pour contrer ce phénomène, LePhish s'appuie sur deux principes scientifiquement prouvés :

Répétition espacée à intervalles croissants

Les travaux de Landauer & Bjork (1978) ont démontré que la clé n'est pas de répéter souvent, mais de répéter au bon moment. Un premier rappel rapide (dans les 24h) empêche la chute initiale de la mémoire. Un deuxième rappel plus tardif (à une semaine) consolide durablement l'information. À chaque intervalle qui s'allonge, la rétention se renforce.

Landauer & Bjork, 1978 — Optimal rehearsal patterns and name learning
Apprentissage actif (testing effect)

Une étude de référence de Roediger & Karpicke (2006) a montré que les personnes qui se testent activement retiennent 50 % d'information de plus après une semaine que celles qui se contentent de relire le même contenu. Se mettre en situation, prendre une décision, faire une erreur et la comprendre — c'est ce qui ancre vraiment un réflexe.

Roediger & Karpicke, Psychological Science, 2006

C'est sur ces deux principes que repose tout notre programme, à travers deux dispositifs complémentaires : un parcours de sensibilisation au phishing déclenché automatiquement par chaque simulation de vos campagnes de phishing — trois points de contact à intervalles croissants — et des modules e-learning ciblés par métier, où chaque collaborateur est acteur de son apprentissage, pas spectateur.

J
Simulation de phishing
et sensibilisation sur l'instant
J+1
Email de sensibilisation
J+7
Mini-jeu interactif
Dispositif 1 — Sensibilisation réactive

Un parcours de sensibilisation au phishing déclenché par chaque simulation

Le moment le plus efficace pour apprendre, c'est juste après s'être fait piéger

Jour J

Sensibilisation sur l'instant

Le collaborateur piégé par une simulation est immédiatement redirigé vers une page qui décortique l'email reçu : domaine trompeur, expéditeur usurpé, lien suspect… chaque indice qui aurait dû l'alerter lui est montré, à chaud sur l'email qu'il vient de recevoir.

J+1

Rappel ciblé le lendemain

Un email pédagogique est envoyé uniquement aux collaborateurs piégés, avec un contenu adapté au niveau de difficulté du scénario — au moment précis où la mémoire commence à s'estomper.

J+7

Mini-jeu interactif

Une semaine plus tard, un serious game de 2 minutes place le collaborateur en situation : à lui de repérer les éléments suspects d'un email de phishing, avec un score sur 10 à la clé.

Voir le parcours de sensibilisation en détail
Dispositif 2 — Modules e-learning

Des modules de sensibilisation à la cybersécurité, ciblés par métier

Interactifs, contextualisés pour la France — aperçus réels ci-dessous

Vous avez probablement déjà déployé un e-learning de sensibilisation à la cybersécurité, et vous connaissez la suite : des contenus génériques et interchangeables, et des collaborateurs qui cliquent « Suivant » jusqu'au certificat. Le problème ne vient pas de vos équipes : il vient du format. Voici, sur cinq extraits réels — tels que vos collaborateurs les verront —, ce que nous faisons différemment.

Module · Mots de passe

On ne l'explique pas, on le montre.

Notre démarche part d'un constat validé par les sciences cognitives : on ne retient pas ce qu'on lit en diagonale, on retient ce qu'on fait. Plutôt que de lire qu'un mot de passe doit être long, votre collaborateur en tape un et voit, chiffre à l'appui, le temps qu'un attaquant mettrait à le casser. Le constat s'imprime — durablement. Et tout est calculé dans son navigateur : aucune donnée ne quitte son poste.

Démo interactive
Démo · Vis-le vous-même

Combien de temps pour casser votre mot de passe ?

Tapez un mot de passe (qui n'est pas le vôtre) et regarde combien de temps un attaquant mettrait à le casser avec du matériel moderne.

— Tapez quelque chose ci-dessus —
↳ Tout est calculé localement dans votre navigateur. Rien n'est envoyé nulle part.
Module · Mots de passe

La bonne méthode, entre leurs mains.

Chaque module place le collaborateur en situation, à partir de sa propre réalité. Ici, il génère lui-même sa phrase de passe — quatre mots tirés au sort par la machine, incassable et pourtant facile à retenir — et comprend d'un coup d'œil pourquoi « P@ssw0rd! » ne fait pas le poids. Sensibiliser sans donner la solution, ce serait culpabiliser pour rien : il repart avec une méthode applicable dès le lendemain. Et un court quiz, en fin de module, transforme la séance en mémoire durable.

Démo interactive
Méthode

Quatre mots aléatoires.
C'est tout.

Quatre mots français accolés au hasard = un mot de passe ultra-solide ET facile à retenir. Vous pouvez vous l'imaginer mentalement comme une scène absurde.

Important : les mots doivent être vraiment aléatoires — tirés au sort par une machine ou un dé, pas choisis par vous. Les humains qui choisissent leurs propres mots sont prévisibles : on prend ce qui nous est familier (chien, maison, prénoms), dans un ordre logique. Les attaquants connaissent ce biais.

Votre mot de passe au hasard :

cheval-batterie-jaune-trombone

↳ Ce générateur est pédagogique : il pioche dans environ 280 mots français.

Module · Reconnaître le phishing

Des chiffres réels, pas de la peur.

Premier de nos partis pris : des chiffres français et sourcés plutôt que des exemples hors-sol — parce qu'on ne se reconnaît pas dans une « First National Bank ». Free, SFR, France Travail, LinkedIn : des fuites que vos collaborateurs connaissent, parfois dans lesquelles ils figurent sans le savoir. Voir ces volumes réels désamorce le « ça n'arrive qu'aux autres » bien plus efficacement qu'un discours anxiogène, et installe la bonne idée : leurs données circulent déjà.

L'autre côté du miroir

Vos données circulent déjà.

Ces dernières années, des milliards d'identifiants, de numéros de téléphone, d'adresses postales et de coordonnées bancaires ont fui suite à des piratages de grandes organisations. Ces données sont aujourd'hui en circulation libre sur des forums spécialisés, souvent gratuites ou pour quelques euros.

Free · 2024
19 M
comptes, dont 5 M avec IBAN bancaire
SFR · 2024
3,6 M
clients : nom, adresse, téléphone, IBAN
France Travail · 2024
43 M
de personnes : NIR, état civil, contact
LinkedIn · 2021
700 M
profils : email, téléphone, employeur

Conséquence directe : un attaquant peut acheter votre fiche complète pour quelques euros. Il sait déjà votre nom, votre numéro, votre banque, parfois votre adresse et votre employeur. Le mail qu'il vous envoie n'est plus générique — il commence par "Bonjour {votre prénom}, votre prélèvement de {votre banque} du {date plausible}...".

Le contre-réflexe : ne vous fie plus à la familiarité du contenu. Ce n'est plus un signal fiable. Concentrez-vous sur les éléments qu'un attaquant ne peut pas falsifier : le domaine exact de l'expéditeur, l'URL réelle du lien (au survol), et la nature de la demande (mot de passe, virement, code).

Module · Reconnaître le phishing

Et là, ça devient personnel.

Le générique ne marque personne ; le personnel, si. Chacun saisit sa propre adresse et découvre dans quelles fuites elle apparaît — et surtout quelles données ont été exposées, parce que c'est ça qui dicte la conduite à tenir : un mot de passe à changer, un numéro à surveiller, un IBAN à protéger. On passe de la sensibilisation abstraite à un réflexe ancré dans sa propre situation. (Sur cette démonstration, un exemple est pré-affiché ; dans le module, chacun teste sa vraie adresse.)

Auto-diagnostic

Vérifiez si vos données ont fuité.

Saisissez votre adresse email pour voir si elle apparaît dans les fuites publiques connues, et surtout quel type de données vous a été dérobé à chaque fois. Mot de passe ? Numéro de téléphone ? Adresse ? Carte bancaire ? Cette information change ce que vous devez faire ensuite.

Aperçu de démonstration : un exemple est pré-affiché ci-dessous. Dans le module, chaque collaborateur saisit sa propre adresse et la vérification interroge en direct un service public et open source de recensement des fuites — sans stocker ni transmettre l'adresse.

Votre adresse demo@lephish.com apparaît dans 4 fuites publiques connues.

Survolez un nom de fuite ou un type de donnée pour comprendre ce qui a été exposé.

LinkedIn2021
Adresses emailNuméros de téléphoneEmployeurLocalisation géographiqueIntitulé de posteNoms
Adobe2013
Adresses emailIndices de mot de passeMots de passeNoms d'utilisateur
Dropbox2012
Adresses emailMots de passe
Canva2019
Adresses emailLocalisation géographiqueNomsMots de passeNoms d'utilisateur

Lisez la liste, mais ne vous arrêtez pas là. Si une fuite contient votre mot de passe, changez-le immédiatement sur le service concerné et partout où vous l'avez réutilisé. Si elle contient votre numéro de téléphone, attendez-vous à recevoir des SMS de phishing ciblés. Si elle contient votre IBAN, surveillez votre relevé bancaire les semaines suivantes.

Module · Développeurs

Vos développeurs, enfin pris au sérieux.

Deuxième parti pris : des parcours adaptés au métier, parce qu'envoyer le même contenu à un développeur et à un comptable, c'est la garantie de perdre les deux. Aux profils techniques, on parle d'égal à égal — secrets, supply chain, authentification — avec des chiffres sourcés (23 millions de secrets exposés sur GitHub en 2024, une clé compromise en une minute après publication). La population la plus exposée est trop souvent la moins bien formée. Et comme tous les autres, ce module tient en 7 à 15 minutes, avec un suivi des résultats dans votre tableau de bord.

Module sensibilisation dev · ~ 12 minutes
Vous êtes une cible.
Et vos secrets, c'est là où ça se paie cash.

Vous recevez ce module dans le cadre d'une démarche de sensibilisation cyber organisée par votre organisation. En tant que dev, vous n'êtes pas une cible parmi d'autres — vous êtes une cible différente des autres. L'attaquant ne cherche pas vos données. Il cherche vos accès : git, CI/CD, registry, vault, prod.

Au cœur de ces accès, il y a les secrets — clés API, tokens, mots de passe DB, certificats — que vous manipulez toute la journée. Une fuite et c'est immédiat : un attaquant lit vos bases, mine de la crypto sur votre compte AWS, ou poste sur tous vos channels Slack en votre nom.

~ 23 M
de nouveaux secrets exposés sur GitHub public en 2024 (rapport GitGuardian State of Secrets Sprawl 2025).
~ 60 s
entre l'exposition d'une clé sur un repo public et sa détection par les premiers crawlers automatisés.
$k à $10k+
factures classiques d'une clé AWS leakée puis utilisée pour du minage de crypto sur quelques heures.

Ce module couvre pourquoi les devs sont des cibles privilégiées, où mettre vos secrets, où ne jamais les mettre, et comment réagir quand l'inévitable arrive.

Parcours « Tous les collaborateurs »

10 modules — le socle de sensibilisation cyber pour toute l'organisation, RGPD inclus

Introduction à la cybersécurité

Pourquoi chacun est concerné, et ce qu'une seule erreur peut déclencher dans toute l'organisation.

L'ingénierie sociale

Quand l'humain devient la faille : manipulation, prétextes, fausse urgence.

Mots de passe et authentification

Comment les attaquants récupèrent les mots de passe, et les réflexes qui les en empêchent.

Le phishing

Reconnaître un email frauduleux à travers des exemples concrets, décortiqués.

Données sensibles

Identifier les données qu'on manipule au quotidien — même sans s'en rendre compte — et les protéger.

La sécurité du poste de travail

Les bons gestes sur son ordinateur et son smartphone, au bureau comme en mobilité.

Travail à distance

Travailler hors du bureau sans exposer l'organisation : réseaux, écrans, environnement.

Anatomie d'une attaque

Le déroulé complet d'une cyberattaque, étape par étape, pour savoir où la stopper.

RGPD : les fondamentaux

Les principes du règlement et la part de responsabilité de chacun.

RGPD : droits & incidents

Droits des personnes, devoirs au quotidien et réflexes en cas d'incident.

Parcours « Développeurs »

5 modules — pour les équipes qui écrivent et déploient votre code

Introduction dev & gestion des secrets

Pourquoi les développeurs sont visés en priorité, et comment ne jamais laisser fuiter un secret — un commit, c'est pour toujours.

Les 5 vulnérabilités à connaître

Les failles qu'on rencontre vraiment en production, et comment les éviter dès l'écriture du code.

Gestion des dépendances

Vos dépendances sont une porte d'entrée que vous n'avez pas écrite : packages, lockfiles, intégrité.

Authentification et sessions

Les mille façons de se tromper sur l'authentification — et les patterns qui tiennent la route.

Crypto pour les devs

Utiliser correctement la cryptographie sans devenir cryptographe, et sans la réinventer.

Inclus dans votre abonnement LePhish

Tous les modules sont accessibles à vos collaborateurs depuis la plateforme, dès l'inscription.
L'essai gratuit de 30 jours y donne accès, sans engagement et sans surcoût.

Prêt à sensibiliser vos équipes ?

Simulations de phishing, parcours post-clic et modules e-learning : testez LePhish gratuitement pendant 30 jours, sans engagement.

Créer mon compte Nous contacter