17 juin 2026Sécurité

Programme phishing-test mensuel : sensibiliser sans punir, conformément à la nLPD

80 % des incidents de sécurité en PME débutent par un clic sur un e-mail frauduleux. Mettre en place un programme de simulation de phishing structuré — et équitable — reste l'une des mesures préventives les plus rentables, à condition de respecter le droit suisse du travail et la nLPD.

Par ZRS-Holding Sàrl·11 min de lecture·443 lectures
Partager

Pourquoi le phishing reste la première porte d'entrée en PME romande

Un collaborateur sur cinq clique sur un lien malveillant lors d'un premier envoi de simulation, selon les données agrégées des programmes de sensibilisation menés en Suisse romande entre 2022 et 2024. Chez une fiduciaire de 40 personnes, cela représente potentiellement 8 accès compromis en quelques minutes — suffisant pour exfiltrer l'intégralité d'un dossier fiscal ou d'une comptabilité consolidée avant que le SOC ne détecte l'anomalie.

La menace n'est pas théorique. Le Centre national pour la cybersécurité (NCSC) enregistre chaque année plusieurs milliers de signalements de phishing en provenance de PME suisses, avec une nette augmentation des campagnes ciblées par secteur (comptabilité, RH, cabinets médicaux). La réponse technique — filtrage SMTP, DMARC/DKIM, sandboxing des pièces jointes — ne suffit pas : le vecteur humain reste systématiquement le maillon le plus exposé.

Cadre légal suisse : ce que la nLPD et le CO imposent

La nLPD et le traitement des données de simulation

Depuis le 01.09.2023, la nouvelle loi fédérale sur la protection des données (nLPD) s'applique pleinement. Un programme de phishing-test génère des données personnelles sensibles au sens de l'art. 5 nLPD : le log de qui a cliqué, qui a saisi ses identifiants, qui a signalé l'e-mail, est nominatif et potentiellement révélateur d'un comportement professionnel. Plusieurs obligations en découlent :

  • Base légale : le traitement repose sur l'intérêt légitime de l'employeur (art. 31 al. 1 nLPD) à protéger son système d'information, à condition que cet intérêt ne soit pas supplanté par les droits fondamentaux des employés.
  • Principe de proportionnalité : les logs individuels ne doivent pas être conservés plus longtemps que nécessaire — en pratique, 90 jours après clôture de la campagne sont suffisants pour un usage de formation, pas davantage.
  • Transparence : les collaborateurs doivent être informés qu'un programme de tests de phishing existe, sans pour autant connaître les dates précises (sinon le test perd toute valeur). Cette information figure dans le règlement d'utilisation des outils informatiques ou la politique de sécurité interne.
  • Registre des activités de traitement : l'activité « simulation de phishing – formation » doit figurer dans le registre des traitements exigé par l'art. 12 nLPD pour les entreprises dont le traitement présente un risque élevé.

Droit du travail et surveillance des employés

L'art. 26 de l'Ordonnance 3 relative au Code des obligations (OLT 3) interdit les systèmes de surveillance qui portent atteinte à la dignité des travailleurs. Un programme de phishing-test ne tombe pas dans cette catégorie s'il est conçu à des fins exclusivement formatives — c'est-à-dire si aucune sanction disciplinaire individuelle n'est prononcée sur la seule base d'un clic. Le résultat individuel peut alimenter un plan de formation personnalisé, jamais une mesure disciplinaire directe. Cette nuance est fondamentale : elle distingue un programme de sensibilisation d'un dispositif de surveillance.

En pratique, la politique doit être soumise à la commission du personnel ou, à défaut, communiquée formellement à tous les employés avant le démarrage du premier cycle. Le service juridique ou un avocat spécialisé en droit du travail suisse doit valider la formulation avant déploiement.

Architecture d'un programme mensuel efficace

Fréquence et variété des scénarios

Un envoi mensuel par collaborateur est le rythme optimal pour maintenir un niveau d'alerte sans créer de « fatigue de phishing ». Sur 12 mois, on couvre ainsi les principaux vecteurs :

  • Mois 1-2 : phishing générique (fausse notification Microsoft 365, alerte bancaire UBS/PostFinance)
  • Mois 3-4 : spear-phishing RH (fausse fiche de salaire, mise à jour AVS)
  • Mois 5-6 : phishing fournisseur (fausse facture PDF, lien OneDrive piégé)
  • Mois 7-8 : vishing/smishing simulé (SMS de livraison La Poste, QR code imprimé)
  • Mois 9-10 : ingénierie sociale interne (e-mail usurpant le CEO ou le DSI)
  • Mois 11-12 : scénarios saisonniers (e-cards de Noël, fausse déclaration d'impôts AFC)

La difficulté doit croître progressivement. Un collaborateur qui clique systématiquement sur les scénarios de niveau 1 mais non sur les niveaux 3-4 a besoin d'une formation différente de celui qui rate uniquement les spear-phishing ciblés.

Infrastructure technique minimale

La plateforme de simulation doit être hébergée en dehors du domaine de production et utiliser des domaines d'envoi enregistrés spécifiquement pour les tests (par exemple domaine-test-[random].ch). Les points de configuration critiques :

  • Whitelisting côté filtre anti-spam (IP source + domaine) pour que les e-mails de test arrivent en boîte de réception — sinon le taux de clics mesuré n'est pas représentatif.
  • Certificat TLS valide sur les pages de landing « piégées » : un utilisateur averti qui voit un avertissement SSL stoppera le test artificiellement.
  • Page de formation immédiate post-clic : l'utilisateur qui clique voit immédiatement une page pédagogique (2-3 minutes maximum) expliquant les indices qu'il aurait dû repérer. Ce micro-learning contextuel est documenté comme le mécanisme le plus efficace pour modifier le comportement à court terme.
  • Bouton de signalement intégré au client mail (add-in Outlook ou extension Thunderbird) permettant de reporter un e-mail suspect en un clic — les signalements positifs (vrais phishing signalés) doivent être valorisés autant que les clics évités.

Indicateurs à suivre (KPIs)

Quatre métriques suffisent pour piloter un programme en PME :

  1. Taux de clic : pourcentage de destinataires ayant cliqué sur le lien piégé. Cible : < 5 % au bout de 6 mois.
  2. Taux de saisie d'identifiants : parmi les cliqueurs, combien ont rempli le formulaire. Cible : 0 % idéalement, < 1 % acceptable.
  3. Taux de signalement : pourcentage d'employés ayant utilisé le bouton de report. Cible : > 30 % au bout de 12 mois.
  4. Délai moyen de signalement : temps entre réception et report. Indicateur de la réactivité de la « première ligne ».

Ces métriques sont agrégées par département, jamais publiées nominativement en interne — sauf dans le cadre d'un entretien individuel de formation, avec le consentement du collaborateur concerné.

La philosophie « sans rancune » : pourquoi c'est une condition de succès

Un programme punitif — où un clic entraîne une mention au dossier, un e-mail honteux du DSI ou une formation obligatoire affichée comme sanction — produit l'effet inverse. Les collaborateurs développent une culture du secret (ils cachent les incidents), hésitent à signaler de vrais phishing par peur d'être associés au problème, et perçoivent le service informatique comme un adversaire plutôt qu'un allié.

La posture correcte est celle du blame-free post-mortem, importée des pratiques DevOps et de la sécurité aéronautique : l'erreur humaine est systémique, pas individuelle. Si 15 % des collaborateurs cliquent sur le même e-mail, le problème est dans la formation ou le scénario, pas dans les individus.

Concrètement :

  • Aucune communication individuelle des résultats sans accord préalable.
  • Résultats agrégés partagés avec la direction et la commission du personnel trimestriellement.
  • Formation corrective proposée (jamais imposée unilatéralement pour cause d'un seul clic) : modules e-learning de 15 minutes, accessible à la demande.
  • Reconnaissance publique des améliorations collectives (« le taux de clic a baissé de 18 points en 6 mois »), pas du palmarès individuel.

Procédure de déploiement étape par étape

  1. Décision de gouvernance (DSI + direction + juriste, J-60) : validation du budget (CHF 15 à 40 par utilisateur et par an selon la plateforme), désignation du responsable de programme, rédaction ou mise à jour de la politique de sécurité.
  2. Consultation RH/commission du personnel (J-45) : présentation du programme, remise du document d'information, recueil des observations. En Suisse, aucune obligation légale de co-décision pour les outils de formation, mais la transparence préalable évite tout contentieux ultérieur.
  3. Communication aux employés (J-30) : note interne signée par la direction indiquant qu'un programme de simulation de phishing sera mis en place à des fins exclusivement formatives, sans date précise.
  4. Configuration technique (J-20 à J-7) : whitelisting, paramétrage de la plateforme, création des scénarios du trimestre 1, test d'envoi sur une boîte de test externe.
  5. Lancement campagne pilote (J0) : envoi sur 100 % du périmètre, suivi en temps réel des clics (dashboard agrégé uniquement).
  6. Micro-learning post-campagne (J+3) : envoi automatique d'un module de 10 minutes à tous les collaborateurs (pas seulement les cliqueurs), avec les indices visuels du scénario utilisé.
  7. Rapport trimestriel (J+90) : bilan agrégé par département, évolution des KPIs, ajustement des scénarios du prochain trimestre. Présenté en comité de direction.
  8. Mise à jour du registre des traitements (RSSI, dans les 30 jours du démarrage) : ajout de l'activité conformément à l'art. 12 nLPD.

Cas pratique : Fiduciaire Valaisanne, 38 collaborateurs

Contexte : Cabinet fiduciaire basé à Sion, 38 collaborateurs (dont 6 associés), parc de 41 endpoints Windows 11 22H2 + 4 MacBook Pro macOS 14. Données traitées : comptabilité, fiscalité, salaires de PME clientes. Aucun programme de sensibilisation formalisé avant 2024. Incident déclencher : en février 2024, une assistante comptable clique sur un faux e-mail PostFinance, saisit ses identifiants Microsoft 365. L'attaquant accède à 4 boîtes mail pendant 72 heures avant détection. Coût de remédiation : CHF 8 400 (forensic externe, communication clients, heures internes).

Décision : La direction mandate le DSI externe (MSP local, 0,5 ETP dédié) pour mettre en place un programme mensuel. Budget validé : CHF 1 200/an pour la plateforme (CHF 31,6/utilisateur), + CHF 2 000 pour la configuration initiale et la formation du référent interne.

Déploiement — chronologie réelle :

  1. Mars 2024 : réunion de direction + communication écrite aux 38 collaborateurs. Mise à jour du règlement IT existant (ajout d'un paragraphe sur les simulations de phishing).
  2. Avril 2024 (campagne 1) : scénario niveau 1 — fausse notification de réinitialisation de mot de passe Microsoft 365. Résultat : 11 clics (28,9 %), 6 saisies d'identifiants (15,8 %). Aucune mention individuelle. Micro-learning envoyé à l'ensemble du cabinet.
  3. Mai 2024 (campagne 2) : scénario niveau 1-2 — fausse facture PDF d'un fournisseur connu. Résultat : 7 clics (18,4 %), 2 saisies (5,3 %). 3 signalements via le bouton de report.
  4. Août 2024 (campagne 5) : scénario niveau 3 — spear-phishing usurpant un associé du cabinet. Résultat : 4 clics (10,5 %), 0 saisie. 12 signalements.
  5. Octobre 2024 (campagne 7) : taux de clic : 5,3 %, taux de signalement : 42 %. L'objectif de < 5 % de clics est quasi atteint en 7 mois.

Bilan financier : coût total programme sur 12 mois : CHF 3 200 (plateforme + setup + temps DSI). Comparé au coût de l'incident de février 2024 (CHF 8 400), le ROI est positif dès le premier incident évité. La direction a également pu documenter le programme dans son évaluation des risques pour le renouvellement de l'assurance cyber (prime réduite de CHF 600/an après présentation des KPIs à l'assureur).

Point nLPD : le RSSI (rôle assumé par l'un des associés) a enregistré l'activité dans le registre des traitements en avril 2024, avec une durée de conservation des logs fixée à 90 jours. Aucune donnée individuelle n'a été transmise à la direction ; seuls les agrégats par équipe ont été communiqués trimestriellement. En cas de questionnement d'un collaborateur, le Préposé fédéral à la protection des données et à la transparence (PFPDT) est mentionné comme instance de recours dans le règlement IT.

Récapitulatif opérationnel

  • Informer avant de tester : communiquer l'existence du programme aux collaborateurs (sans date), mettre à jour le règlement IT. Obligatoire pour la conformité nLPD et le droit du travail suisse.
  • Enregistrer dans le registre des traitements : activité « simulation phishing – formation », durée de conservation 90 jours, base légale art. 31 nLPD (intérêt légitime).
  • Aucune sanction individuelle sur clic unique : la discipline sur la base des résultats de simulation est juridiquement risquée et contre-productive. Le clic déclenche de la formation, pas du disciplinaire.
  • Mesurer 4 KPIs seulement : taux de clic, taux de saisie, taux de signalement, délai de signalement. Suivre l'évolution mensuelle, pas le snapshot.
  • Varier les scénarios trimestriellement : couvrir phishing générique, spear-phishing, phishing fournisseur, ingénierie sociale interne sur 12 mois.
  • Micro-learning contextuel immédiat : la page post-clic et le module envoyé à J+3 sont les leviers pédagogiques les plus efficaces. Durée maximale : 15 minutes.
  • Valoriser le signalement : un collaborateur qui reporte un vrai phishing vaut plus qu'un collaborateur qui ne clique pas. Communiquer ce message explicitement.
  • Rapport trimestriel à la direction : données agrégées, évolution des KPIs, prochains scénarios. Documenter pour l'assurance cyber et les audits ISO 27001 / NCSC.
  • Budgeter CHF 30-40 par utilisateur et par an : pour une PME de 50 personnes, soit CHF 1 500 à 2 000/an pour la plateforme — inférieur au coût d'un seul incident de compromission de compte.
  • Réviser annuellement : les techniques de phishing évoluent (QR code phishing, deepfake vocal). Revoir la bibliothèque de scénarios en janvier de chaque année avec le prestataire ou le DSI.

Les outils MDM utilisés pour déployer les add-ins de signalement sur les endpoints (Outlook, client mail macOS) peuvent être gérés centralement via une plateforme comme SynGuard, ce qui évite une configuration manuelle poste par poste.

Sources

Noter cet article

Pas encore de note