2LRN4 security awareness platform
Rapport de recherche · Étude bibliographique

Le Problème d'attention

Pourquoi les simulations de phishing seules ne rendent pas les employés meilleurs dans la reconnaissance du phishing, et quelle approche est réellement soutenue par la recherche.

Publié 6 juin 2026 Version 1.0 Temps de lecture 16 min Licence CC BY 4.0

En bref

  1. Une baisse du taux de clic ne signifie pas que les collaborateurs sont devenus meilleurs pour reconnaître le phishing. Le comportement de clic est davantage déterminé par la difficulté de l'e-mail de phishing que par la formation suivie, et l'envoi de simulations de plus en plus difficiles mesure surtout à quel point son propre e-mail de phishing était convaincant.
  2. La formation augmente avant tout les connaissances et l'attitude des collaborateurs. Que cela se traduise aussi en comportement dépend de sa conception : une sensibilisation passive change peu de choses, tandis qu'une formation active, répétée et adaptée à la personne influence bel et bien le comportement. Dans le cas du phishing, il s'agit en outre davantage d'un problème d'attention que d'un problème de connaissances.
  3. La science plaide pour une approche en couches : rendre l'attaque techniquement impossible grâce à une authentification résistante au phishing, utiliser les collaborateurs comme capteur de signalement collectif, concevoir l'éventuelle formation pour le comportement, et limiter les dégâts au cas où tout irait quand même de travers.

Le phishing est un problème tenace, et la réponse la plus courante est la simulation de phishing : un faux message qui teste si les collaborateurs se laissent piéger. Dans la pratique, un schéma émerge où les organisations qui se contentent de simuler veulent envoyer des messages de plus en plus difficiles. Le succès d'un tel programme se mesure alors surtout à la question de savoir à quel point son propre e-mail de phishing était convaincant.

La question de savoir si les collaborateurs apprennent ainsi réellement à mieux reconnaître le phishing reste sans réponse. Ce rapport recense ce que la recherche scientifique montre à ce sujet, et l'approche qui en découle.

Méthodologie

Type
Étude de la littérature fondée sur des recherches évaluées par les pairs et des normes faisant autorité.
Sources
Quatre études de terrain de grande envergure, une méta-analyse de 69 études, et des recommandations du NIST et de la CISA.
Date de référence
Juin 2026.

01 · ConstatLe taux de clic ne mesure pas ce qu'il semble mesurer

Une baisse du taux de clic est rapidement interprétée comme la preuve que les collaborateurs se sont améliorés. Une étude de reproduction de grande envergure montre toutefois que c'est surtout le degré de difficulté de l'e-mail de phishing qui détermine le comportement de clic (Rozema et Davis, 2025). Mesuré à l'aide de la Phish Scale du NIST, le taux de clic est passé d'environ 7 pour cent pour les messages faciles à environ 15 pour cent pour les difficiles. Une simulation plus difficile qui piège davantage de personnes montre donc avant tout que le message était plus difficile, et non que les collaborateurs se sont dégradés.

Il faut y ajouter que, dans la plus grande étude réalisée à ce jour, la proportion de collaborateurs qui se sont laissé piéger par les messages a au contraire augmenté au fil du temps au lieu de diminuer. Il s'agissait d'une recherche dans laquelle les participants étaient répartis de façon aléatoire, ce que l'on appelle une étude contrôlée randomisée, portant sur plus de 19 500 collaborateurs de UC San Diego Health (Ho et al., 2025). Des simulations répétées peuvent apprendre aux collaborateurs à reconnaître les e-mails de test, sans pour autant qu'ils reconnaissent mieux le véritable phishing, nouveau. C'est précisément là que se trouve le cœur du problème : reconnaître un e-mail de test est autre chose que reconnaître un véritable phishing.

La difficulté de l'e-mail de phishing détermine le comportement de clic

Taux de clic selon le degré de difficulté

Figure 1 Le taux de clic fait plus que doubler lorsque l'e-mail de phishing est plus difficile, indépendamment de la formation suivie. Source : Rozema et Davis (2025), mesuré à l'aide de la NIST Phish Scale.

02 · ConstatDe la connaissance au comportement : la conception fait la différence

La formation augmente de manière démontrable les connaissances et l'attitude des collaborateurs. Cela ressort nettement de la méta-analyse de 69 études menée par l'Université de Leyde (Prümmer, van Steen et van den Berg, 2024) : l'effet sur les connaissances et l'attitude est important. Sur le comportement effectif, l'effet moyen est en revanche faible. Cette différence n'est pas un hasard, mais un fait bien connu des sciences du comportement : la connaissance est une condition d'un comportement sûr, mais elle ne suffit pas en soi. Le Behaviour Change Wheel montre qu'outre la connaissance, la motivation et l'opportunité de bien faire sont également nécessaires (Michie, van Stralen et West, 2011).

La moyenne masque en outre de grandes différences, qui tiennent surtout à la conception de la formation. Une sensibilisation qui se borne à diffuser de l'information change peu de choses (Bada, Sasse et Nurse, 2015). Une formation active, répétée et adaptée à la personne agit en revanche bel et bien sur le comportement. Dans une expérience contrôlée, une forme ludique a amélioré non seulement l'attitude et l'intention, mais aussi le comportement rapporté, par rapport à un jeu sans contenu de sécurité (van Steen et Deeleman, 2021). La conclusion n'est donc pas que la formation ne fonctionne pas, mais que sa forme détermine si la connaissance se traduit aussi en comportement.

La connaissance est une condition, non une garantie

Le modèle COM-B issu du Behaviour Change Wheel

Figure 2 Un comportement sûr ne naît que lorsque la connaissance et la compétence (la capacité), la motivation (vouloir) et l'opportunité de bien faire se rejoignent. La connaissance seule ne suffit pas. D'après Michie, van Stralen et West (2011).

Effet fort sur la connaissance, effet moyen faible sur le comportement

Taille d'effet (d de Cohen) avec intervalle de confiance

Connaissance et attitude Total et comportement

Figure 3 L'effet sur la connaissance et l'attitude est important (d = 1,02). Sur le comportement effectif, l'effet moyen est faible (d = 0,36), mais cette moyenne est fortement déterminée par la conception de la formation. Source : Prümmer, van Steen et van den Berg (2024).

03 · ExplicationLe phishing est un problème d'attention, non de connaissances

L'explication du fait que plus de connaissances n'aide pas toujours provient de deux études d'un groupe de recherche de l'ETH Zürich. Dans leur plus grande expérience, qui a duré quinze mois et a porté sur près de 15 000 collaborateurs, il s'est avéré que la formation intégrée ne rendait pas les collaborateurs plus résistants et avait, dans certains cas, même un effet contre-productif. Par cette formation intégrée, nous entendons la brève explication qu'une personne voit s'afficher après avoir cliqué sur un e-mail de test (Lain, Kostiainen et Čapkun, 2022). Dans la recherche de suivi, primée à la conférence ACM sur la sécurité informatique et des communications, les auteurs ont étudié d'où venait alors ce faible effet (Lain et al., 2024). La conclusion était dégrisante : l'effet provenait du rappel périodique de la menace, et non du contenu de cette brève explication, que la plupart des collaborateurs ne lisaient guère.

Le phishing est davantage un problème d'attention qu'un problème de connaissances, y compris chez les collaborateurs les plus avertis.

Constat de Lain et ses collègues (2024), ETH Zürich

Cette observation change toute l'approche. Si le problème n'est pas que les collaborateurs en savent trop peu, mais qu'ils relâchent leur attention au mauvais moment, alors il sert à peu de chose de leur apporter encore davantage de connaissances. Une personne distraite à un tel moment ne reconnaîtra pas non plus un bon e-mail de phishing, quel que soit le nombre de modules qu'elle a suivis. La solution réside donc moins dans la vigilance du collaborateur individuel, et davantage dans l'environnement technique et les méthodes de travail qui l'entourent. Nous entendons par là des systèmes qui interceptent une erreur avant qu'elle ne cause des dégâts, et des processus qui font signaler rapidement un message suspect et le rendent inoffensif.

04 · ApprocheUne autre approche : en couches et fondée sur des preuves

Lorsque la vigilance et les connaissances du collaborateur ne sont pas les facteurs décisifs, la recherche plaide pour une approche en couches. L'idée sous-jacente est de faire échouer l'attaque avant qu'une erreur ne puisse causer des dégâts, et de considérer l'attention humaine comme la couche la plus mince et la dernière plutôt que comme la première ligne de défense.

Une approche en couches et étayée

Des mesures techniques à la vigilance individuelle

Figure 4 Une représentation conceptuelle. Les mesures ayant le plus grand effet sont de nature technique. La vigilance individuelle est la couche la plus mince, celle que l'on devrait solliciter en dernier et le moins possible.

  1. Rendre l'attaque techniquement impossible.Une authentification résistante au phishing, telle que FIDO2 ou WebAuthn et des clés fondées sur la PKI, lie la connexion au domaine réel. Un faux site n'obtient ainsi aucune réponse valide, peu importe qui clique dessus. Le NIST place cette forme au plus haut niveau de fiabilité et la CISA la qualifie de norme (NIST SP 800-63B ; CISA, 2022).
  2. Faire arriver moins d'e-mails de phishing et avertir pour le reste.Les mesures contre l'usurpation d'expéditeurs (DMARC, DKIM et SPF), le filtrage et les avertissements sur les e-mails suspects allègent l'attention du collaborateur. L'étude de l'ETH a montré que de tels avertissements fonctionnent bien (Lain et al., 2022).
  3. Utiliser les collaborateurs comme capteur collectif.Un bouton de signalement fait des collaborateurs, ensemble, une couche de détection qui rend rapidement visibles les nouvelles campagnes (Lain et al., 2022). Les simulations de phishing sont par excellence adaptées pour entraîner ce réflexe de signalement, à condition de piloter sur le taux de signalement et sur le temps entre la vue et le signalement, et non sur le taux de clic.
  4. Concevoir la formation pour le comportement plutôt que pour la connaissance.Des rappels courts, répétés et adaptés au contexte fonctionnent mieux que de longs cours, et les formes interactives et ludiques ont un plus grand effet sur le comportement (Prümmer, van Steen et van den Berg, 2024). Une formation efficace est en outre continue et adaptée au collaborateur, plutôt que ponctuelle et générale (Jampen et al., 2020).
  5. Limiter les dégâts si tout va quand même de travers.Partez du principe que certains clics aboutiront, et veillez, grâce au moindre privilège, à la segmentation, à la surveillance et à une réponse rapide, à ce qu'une seule erreur ne dégénère pas en intrusion complète.

Pour finir, un point sur la mesure. Les chercheurs à l'origine de la plus grande expérience plaident pour mesurer, comme dans la recherche médicale, par attribution aléatoire quelle mesure réduit le plus le risque, plutôt que de piloter sur les chiffres de clic ou sur la difficulté de son propre e-mail de phishing (Ho et al., 2025). La question n'est donc pas de savoir à quel point on peut rendre un faux message convaincant, mais combien de résistance réelle une mesure apporte par euro investi.

Et la simulation de phishing elle-même ?

Les simulations de phishing ne sont pas inutiles. La critique formulée dans ce rapport vaut pour une seule manière de les utiliser : le test récurrent dont le seul but est de prendre les collaborateurs en défaut, qui est jugé sur le taux de clic et que l'on rend toujours plus difficile. Employées autrement, elles sont bel et bien précieuses. Elles sont par excellence adaptées pour entraîner le réflexe de signalement, c'est-à-dire le comportement par lequel une personne signale aussitôt un message suspect et contribue ainsi au capteur collectif. Elles agissent par ailleurs comme un rappel périodique qui remet brièvement la menace au premier plan, et comme une mesure de référence sobre permettant de voir où en est l'organisation. Les conditions sont alors claires : piloter sur le taux de signalement et sur le temps entre la vue et le signalement plutôt que sur le taux de clic, ne sanctionner personne, ne pas augmenter le degré de difficulté comme dans une course aux armements, et garder les messages réalistes et honnêtes.

05 · ConclusionNon pas davantage et plus difficile, mais autrement

Les simulations de phishing ne rendent pas, en soi, les collaborateurs démontrablement meilleurs pour reconnaître le phishing, et augmenter le degré de difficulté déplace l'attention vers la mauvaise mesure. La recherche scientifique ne plaide pas pour des simulations plus nombreuses ou plus difficiles, mais pour une approche en couches. Cette approche fait échouer techniquement l'attaque, la détecte rapidement par le signalement, et soutient le comportement par une formation bien conçue, répétée et active plutôt que par une transmission passive de connaissances. La formation et les simulations y conservent un rôle clair, pour autant qu'elles soient orientées vers le comportement et ne dégénèrent pas en une course aux armements avec ses propres collaborateurs.

Limites

  • Ce rapport est une étude de la littérature qui résume des recherches scientifiques existantes, et ne contient aucune recherche originale propre.
  • Les études citées ont été menées dans des organisations et des contextes spécifiques, de sorte que les effets peuvent varier d'un environnement à l'autre.
  • Le comportement est difficile à mesurer, et toutes les études n'emploient pas la même mesure de résultat, ce qui complique une comparaison directe.

Sources

  1. Bada, M., Sasse, A. M., et Nurse, J. R. C. (2015). Cyber Security Awareness Campaigns: Why do they fail to change behaviour? International Conference on Cyber Security for Sustainable Society. arxiv.org/abs/1901.02672
  2. Cybersecurity and Infrastructure Security Agency (CISA) (2022, révisé 2024). Implementing Phishing-Resistant MFA. cisa.gov/MFA
  3. Ho, G., Mirian, A., Dameff, C., et al. (2025). Understanding the Efficacy of Phishing Training in Practice. IEEE Symposium on Security and Privacy 2025. people.cs.uchicago.edu
  4. Jampen, D., Gür, G., Sutter, T., et Tellenbach, B. (2020). Don't click: towards an effective anti-phishing training. A comparative literature review. Human-centric Computing and Information Sciences, 10:33. doi.org/10.1186/s13673-020-00237-7
  5. Lain, D., Kostiainen, K., et Čapkun, S. (2022). Phishing in Organizations: Findings from a Large-Scale and Long-Term Study. IEEE Symposium on Security and Privacy, 842 à 859. arxiv.org/abs/2112.07498
  6. Lain, D., Jost, T., Matetic, S., Kostiainen, K., et Čapkun, S. (2024). Content, Nudges, and Incentives: A Study on the Effectiveness and Perception of Embedded Phishing Training. ACM CCS 2024. doi.org/10.1145/3658644.3690348
  7. Michie, S., van Stralen, M. M., et West, R. (2011). The behaviour change wheel: a new method for characterising and designing behaviour change interventions. Implementation Science, 6:42. doi.org/10.1186/1748-5908-6-42
  8. National Institute of Standards and Technology (NIST). Digital Identity Guidelines, SP 800-63B et SP 800-63-4. csrc.nist.gov/projects/digital-identity-guidelines
  9. Prümmer, J., van Steen, T., et van den Berg, B. (2024). Assessing the effect of cybersecurity training on end-users: A meta-analysis. Computers & Security, 150, 104206. doi.org/10.1016/j.cose.2024.104206
  10. Prümmer, J., van Steen, T., et van den Berg, B. (2024). A systematic review of current cybersecurity training methods. Computers & Security, 136, 103585. doi.org/10.1016/j.cose.2023.103585
  11. Rozema, A. T., et Davis, J. C. (2025). Anti-Phishing Training (Still) Does Not Work: A Large-Scale Reproduction of Phishing Training Inefficacy Grounded in the NIST Phish Scale. arxiv.org/abs/2506.19899
  12. van Steen, T., et Deeleman, J. R. A. (2021). Successful gamification of cybersecurity training. Cyberpsychology, Behavior, and Social Networking, 24(9). doi.org/10.1089/cyber.2020.0526

Citation

2LRN4 (2026). Le Problème d'attention. Série de recherche 2LRN4. Disponible sous CC BY 4.0.
CC BY 4.0 Libre de partager et adapter, avec attribution