Une simulation de phishing montre que 30 % du personnel a cliqué sur le lien. Quelle est la réponse constructive ?
Réponse courte
Un taux de clic de 30 % est un point de référence à améliorer, pas une liste de personnes à punir : associer une formation ciblée par rôle et un bouton de signalement sans friction à des défenses techniques (MFA, filtrage de courrier, moindre privilège) pour qu'un seul clic ne mène pas à une compromission, et suivre la tendance dans le temps. Humilier publiquement les employés étouffe le signalement dont vous dépendez. Déclarer le personnel irrécupérable supprime un contrôle à renforcer. Un nouveau courriel anxiogène à tous n'est pas une intervention mesurable et ne change pas le comportement.
Une simulation de phishing est un outil de mesure, pas un piège. Un taux de clic de 30 % indique que la couche humaine doit progresser et que votre filet de sécurité technique doit supposer que des clics auront lieu. Le scénario teste si un RSSI réagit en gestionnaire de programme qui améliore un système ou en censeur qui blâme des individus.
Pourquoi y voir un signal de programme est correct
La bonne réponse agit sur deux couches à la fois. Sur la couche humaine : dispenser une formation ciblée par rôle (surtout aux cliqueurs et aux rôles à risque) et déployer un bouton de signalement facile afin que signaler un courriel suspect tienne en un clic — le taux de signalement devient un indicateur avancé d'une culture saine. Sur la couche technique : supposer que quelqu'un cliquera toujours et rendre ce clic non catastrophique grâce au MFA, à un solide filtrage de courrier, au moindre privilège et à l'isolation. Ensuite, on mesure la tendance sur les simulations suivantes. Cette combinaison réduit le risque réel ; un chiffre isolé, non.
Pourquoi les autres options échouent
- Nommer et punir publiquement. La honte est contre-productive. Elle apprend aux gens à cacher leurs erreurs et à ne pas signaler quand ils tombent dans une vraie attaque — détruisant votre signal de détection le plus précoce.
- Déclarer le personnel irrécupérable et arrêter la formation. Cela abandonne un contrôle qu'il faudrait améliorer. Les gens sont formables, et renoncer garantit que le chiffre ne bougera jamais.
- Envoyer un courriel anxiogène de plus. La peur n'est pas une intervention mesurable. Les courriels de masse ne changent rien durablement et accroissent souvent l'anxiété sans améliorer le comportement ni vos indicateurs.
Ce que l'examinateur cherche
Il veut un état d'esprit systémique : le risque humain se gère par la formation, plus les contrôles techniques, plus la mesure, et une culture sans blâme qui maximise le signalement. Le candidat faible se rabat sur la punition ou le fatalisme — deux postures qui semblent décisives mais rendent activement l'organisation moins sûre en étouffant le signalement et l'engagement dont le RSSI a besoin.
Questions de suivi probables
- Pourquoi un taux de signalement élevé peut-il compter plus qu'un faible taux de clic comme indicateur de programme ?
- Comment garantir que les simulations de phishing renforcent la confiance plutôt que de punir, tout en restant réalistes ?
- Quels contrôles techniques réduisent l'impact d'un clic même lorsque la formation échoue ?