Chez Computis, nous accompagnons chaque semaine des PME, des institutions publiques, des communes et des administrations suisses confrontées à la même réalité : leurs outils de sécurité sont en place, leurs filtres sont actifs… et pourtant, un e-mail frauduleux passe quand même. Et quelqu’un clique.

Ce n’est pas une question de budget. Ce n’est pas non plus une question de taille ou de secteur. C’est une question de méthode.

Le filtre ne suffit plus : la preuve par les chiffres

Pendant des années, la réponse au phishing a été technologique : passerelles e-mail sécurisées (SEG), règles DMARC/SPF/DKIM, filtres anti-spam. Ces outils restent nécessaires. Mais ils sont désormais insuffisants face à une menace qui a fondamentalement changé de nature.

Le rapport KnowBe4 2025 Phishing By Industry Benchmarking est sans appel : 47 % des attaques par phishing parviennent désormais à contourner les défenses natives de Microsoft et les passerelles e-mail sécurisées.

Pourquoi ? Parce que ces attaques ne cherchent plus à tromper une machine. Elles cherchent à tromper un être humain. Et les êtres humains — même attentifs, même bien intentionnés — ont des biais cognitifs que les cybercriminels exploitent avec une précision chirurgicale.

Un seul clic. Un identifiant partagé trop vite. Une facture validée sous pression. Et c’est l’ensemble du système d’information qui peut basculer.

Les 4 P du phishing : comprendre la mécanique de la manipulation

Pour contrer une attaque, il faut d’abord en comprendre la structure. Les professionnels de la cybersécurité parlent des « 4 P » du phishing :

• Prétendre — L’attaquant se fait passer pour une source de confiance : votre banque, votre direction, un fournisseur connu, Microsoft.

• Problème — Il crée une situation fausse mais alarmante : facture impayée, compte bloqué, accès expiré, colis en attente.

• Pression — Il impose une urgence artificielle pour court-circuiter le raisonnement critique : « Agissez dans les 24 heures », « Votre compte sera suspendu ».

• Profit — Il obtient ce qu’il cherche : identifiants, virement, accès VPN, données RH.

Ce schéma, simple en apparence, est aujourd’hui amplifié par l’intelligence artificielle générative. Les e-mails de phishing sont rédigés sans faute d’orthographe, dans un français parfait, avec le bon logo, le bon ton, et parfois même le bon prénom. L’IA a supprimé les indices visuels qui permettaient autrefois de repérer les faux messages.

Chez Computis, nous observons cette évolution au quotidien : les attaques que nous simulons dans nos campagnes de test sont de plus en plus difficiles à distinguer de vrais e-mails internes. C’est délibéré. C’est le point.

L'erreur classique : traiter le phishing comme un problème IT

La plupart des organisations abordent encore le phishing comme un problème purement technique. On investit dans des outils, on configure des règles, on met à jour les signatures. Mais on néglige l’essentiel : le dernier filtre avant le clic, c’est un humain.

Et les humains ne fonctionnent pas comme des firewalls. Ils sont fatigués en fin de journée. Ils font confiance à leur hiérarchie. Ils sont conditionnés à répondre vite aux demandes urgentes. Les attaquants le savent, et ils exploitent exactement ces moments-là.

La conséquence est directe : selon le dernier rapport du FBI sur la cybercriminalité, les arnaques de type Business Email Compromise (BEC) — ces e-mails qui usurpent l’identité d’un dirigeant ou d’un fournisseur — ont généré 2,77 milliards de dollars de pertes déclarées en 2024.

Ce chiffre ne concerne pas uniquement les grandes entreprises. Les PME sont des cibles privilégiées précisément parce qu’elles disposent de moins de ressources dédiées à la cybersécurité et que leurs processus internes sont souvent moins formalisés.

Ce que vos collaborateurs doivent faire — et éviter

La réduction du risque humain commence par des comportements concrets, applicables dès aujourd’hui. Cinq habitudes font une différence réelle :

1. Vérifier l’expéditeur — Pas seulement le nom affiché, mais l’adresse e-mail complète. Un espace, une lettre transposée, un domaine proche suffisent à tromper.

2. Ne jamais cliquer sans réfléchir — Passer la souris sur un lien avant de cliquer révèle souvent l’URL réelle. En cas de doute, accéder directement au site concerné.

3. Repérer les messages qui créent de l’urgence — L’urgence artificielle est le signe le plus fiable d’une tentative de manipulation. Plus un e-mail presse, plus il faut ralentir.

4. Signaler sans attendre — Un collaborateur qui signale un e-mail suspect protège potentiellement toute l’organisation. Un seul signalement peut permettre de neutraliser une campagne en cours.

5. Se former régulièrement — Non pas une fois par an lors d’un module obligatoire, mais de façon continue, à travers des simulations réalistes et un micro-learning adapté.

À l’inverse, certains réflexes aggravent la situation : répondre à un e-mail suspect pour « en savoir plus », transférer un message douteux à un collègue, ou simplement le déplacer dans le dossier spam sans le signaler. Ces comportements, bien intentionnés, retardent la réponse de l’équipe sécurité et propagent la menace.

La réponse stratégique : la Human Risk Management (HRM)

Les organisations les plus matures en cybersécurité ne cherchent plus seulement à bloquer les menaces. Elles cherchent à mesurer et réduire le risque humain de manière systématique.

C’est ce qu’on appelle la Human Risk Management (HRM) — une approche structurée qui va bien au-delà de la sensibilisation traditionnelle. Là où une formation annuelle mesure la présence, la HRM mesure le comportement.

Concrètement, cela repose sur trois piliers que nous déployons chez Computis :

1. Des simulations de phishing régulières et réalistes Envoyer de faux e-mails malveillants en interne pour mesurer la réactivité des équipes, identifier les profils à risque, et adapter les formations en conséquence. Les résultats sont souvent surprenants — et toujours utiles.

2. Une formation continue et personnalisée Plus question de cocher une case une fois par an. Les programmes efficaces utilisent du micro-learning ciblé, déclenché par les comportements observés. Un collaborateur qui a cliqué sur un lien suspect reçoit immédiatement une formation courte et contextualisée — pas six mois plus tard.

3. Un mécanisme de signalement intégré Permettre aux collaborateurs de signaler facilement les messages suspects depuis leur boîte mail — en un clic — transforme chaque employé en capteur actif de la menace. Les équipes sécurité peuvent ainsi détecter des campagnes en temps réel et réagir avant que d’autres victimes ne cliquent.

Chez Computis, nous aidons les PME, les institutions publiques et les communes suisses à mettre en place cette approche de A à Z, en veillant à ce qu’elle soit conforme aux exigences de la nLPD (Loi fédérale sur la protection des données) et adaptée aux réalités opérationnelles de chaque structure — qu’il s’agisse d’une équipe de 10 personnes ou d’une administration de plusieurs centaines d’agents.

L'analyse Computis : ce que cela change selon votre contexte

En Suisse, la question n’est pas seulement sécuritaire — elle est aussi réglementaire. La nLPD impose une responsabilité accrue à toute organisation qui traite des données personnelles. Une violation causée par un clic sur un e-mail de phishing peut rapidement devenir une obligation de notification aux autorités, avec les conséquences réputationnelles et financières qui s’ensuivent.

Cette réalité concerne des profils très différents, et c’est précisément ce que nous observons sur le terrain :

Les PME — souvent bien équipées en outils, mais avec des équipes IT limitées et des processus de validation moins formalisés. Elles sont des cibles privilégiées car elles traitent des données sensibles (clients, fournisseurs, finances) sans toujours disposer d’une expertise dédiée à la cybersécurité.

Les institutions publiques et administrations — collectivités, offices cantonaux, services fédéraux — gèrent des données citoyennes hautement sensibles et sont soumises à des obligations de continuité de service strictes. Une attaque réussie n’t’impacte pas seulement l’organisation : elle affecte directement les citoyens. Et les acteurs malveillants le savent.

Les communes — souvent sous-dimensionnées en ressources IT, elles représentent pourtant des cibles de choix. Un seul employé communal trompé par un faux e-mail de l’AFC ou du SECO peut ouvrir une brèche dans des systèmes qui gèrent l’état civil, les finances publiques ou les données sociales.

Ce que nous constatons dans tous ces contextes : les attaquants n’adaptent pas leur sophistication à la taille de la cible. Ils adaptent leur prétexte. L’e-mail qui usurpe la direction d’une PME deviendra un faux message de la Chancellerie d’État ou d’un syndicat intercommunal. La mécanique, elle, reste identique.

Notre conviction chez Computis : la sécurité e-mail efficace n’est pas un projet IT. C’est un projet organisationnel. Elle implique la direction, les RH, les managers, et chaque collaborateur — que vous soyez une entreprise de 15 personnes, une commune de 3 000 habitants ou une institution publique cantonale.

Ce qu'il faut retenir

Le phishing ne disparaîtra pas. Les filtres continueront de s’améliorer, et les attaquants continueront de les contourner. Dans cette course en avant, l’unique variable sur laquelle vous avez un contrôle durable, c’est le comportement de vos équipes.

Former, simuler, mesurer, corriger. En continu. Avec des données réelles. C’est la seule stratégie qui transforme votre maillon le plus vulnérable en première ligne de défense.

Prêt à mesurer la vulnérabilité réelle de votre équipe ?

Lancez votre test phishing gratuit — les résultats en 24 heures.

Avant que les cybercriminels ne testent vos collaborateurs pour de vrai, découvrez votre Phish-prone Percentage™ grâce à notre test de phishing gratuit et sans engagement, propulsé par KnowBe4.

Voici comment cela fonctionne :

• Démarrez immédiatement jusqu’à 100 utilisateurs — aucun contact préalable, aucune installation requise.

• Choisissez parmi plus de 20 langues (français inclus) et personnalisez le template selon votre environnement : faux e-mail urgent de votre direction, reset de mot de passe, facture impayée.

• Sélectionnez la page de destination après clic : une page pédagogique expliquant les signaux d’alerte manqués, ou une page neutre discrète.

• En 24 heures, recevez un rapport PDF détaillé : votre Phish-prone % global, des graphiques clairs, et une comparaison avec les benchmarks de votre secteur et de la Suisse romande.

Ces chiffres concrets — souvent plus élevés que prévu — constituent un levier puissant pour obtenir un budget formation ou outils auprès de votre direction.

Pourquoi choisir Computis pour ce test ?

En tant que partenaire certifié KnowBe4 en Suisse romande, nous allons plus loin qu’un simple rapport :

• Interprétation personnalisée des résultats et plan d’action adapté à votre taille, votre secteur et votre contexte — PME, institution publique ou commune.

• Transition fluide vers des campagnes récurrentes, des formations sur mesure et des protections renforcées.

• Conformité nLPD et RGPD garantie — test anonyme au niveau individuel dans la version gratuite.

Cliquez ici pour démarrer votre test phishing gratuit

Test Phishing Security Gratuit

Ou préférez-vous une prise en main guidée ?

Contactez-nous directement :

📞 +41 21 804 69 00
ou via
💻 notre formulaire de contact

Ne laissez pas les cybercriminels tester vos collaborateurs en premier. Obtenez vos résultats concrets et bâtissez une stratégie gagnante – commencez maintenant.

FAQ — Questions fréquentes

Q1 : Simplement ouvrir un e-mail de phishing est-il dangereux ? Non, dans la grande majorité des cas. Le risque réel commence lorsque vous cliquez sur un lien, ouvrez une pièce jointe, ou saisissez des identifiants. Si cela arrive, signalez immédiatement l’incident à votre équipe IT ou à votre responsable sécurité.

Q2 : Nos filtres anti-spam ne suffisent-ils pas à nous protéger ? Ils restent utiles, mais insuffisants. En 2025, près d’une attaque sur deux contourne les filtres natifs des grandes plateformes e-mail. La protection technique doit être complétée par une approche centrée sur le comportement humain.

Q3 : Les formations annuelles obligatoires ont-elles encore une valeur ? Elles sensibilisent, mais elles ne changent pas durablement les comportements. Les approches modernes — simulations régulières, micro-learning contextualisé, signalement facilité — sont significativement plus efficaces pour réduire le risque réel.

Q4 : Combien de temps faut-il pour mettre en place une stratégie HRM chez Computis ? Pour une PME, notre méthodologie permet une mise en place opérationnelle en 4 à 6 semaines, avec un retour sur investissement mesurable dès le premier trimestre.

Q5 : Le test phishing gratuit est-il conforme à la protection des données suisse ? Oui. Dans sa version gratuite, le test est anonyme au niveau individuel. Aucune donnée personnelle n’est transmise, et le processus est conforme aux exigences de la nLPD.