Cybersecurity

Du lancement à la mise en œuvre : ancrage comportemental (Sumeria)

Quentin Malraison Quentin Malraison · 8 juillet 2026 · 5 min read

Quentin Malraison, RSSI et DSI chez Lydia Solution / Sumeria

L’écart entre sensibilisation et comportement

Pendant des années, la stratégie de sensibilisation au phishing de nombreuses organisations reposait sur un même scénario : envoyer une simulation à l’ensemble des collaboratrices et collaborateurs une à deux fois par an, mesurer le taux de clic, et recommencer. Les résultats, eux, restaient décevants. Quentin Malraison, RSSI et DSI chez Lydia Solution et Sumeria, en a fait l’expérience directe : malgré plusieurs années d’exercices, le taux de clic stagnait, année après année, sans amélioration mesurable.

Le problème n’est pas la volonté des équipes. C’est la mécanique elle-même qui est défaillante. Lorsqu’un template de phishing est identique pour toute l’organisation, les collaboratrices et collaborateurs les plus au fait du sujet le repèrent immédiatement et le signalent à leurs collègues. En moins de 48 heures, l’information circule via la « conversation à café » : l’exercice perd toute valeur métrique et ne mesure plus le comportement réel face au risque.

Il y a un autre paradoxe que Malraison a identifié : les profils qui cliquent le plus ne sont pas forcément les moins sensibilisés. Ce sont souvent les collaboratrices et collaborateurs en front office ou en point de vente, celles et ceux qui traitent plusieurs centaines d’e-mails par jour. Comme il l’explique lui-même : « Ils ne cliquent pas par manque de connaissance ; ils cliquent parce qu’ils sont dans l’urgence. »

Vous souhaitez approfondir ces éléments de réflexion ? Visionnez l’enregistrement de la session Signal Paris pour découvrir l’intégralité des échanges. 

Video thumbnail

Construire un engagement continu grâce au micro-learning

C’est un proof of concept (POC) mené sur l’ensemble de l’organisation qui a changé l’approche de Malraison. La découverte est venue d’une fonctionnalité qu’il n’avait pas identifiée lors de la démo. 

« Quand on se fait avoir sur une situation de phishing avec SoSafe, plutôt que d’afficher un simple message d’erreur, il y a un parcours qui dit “ne vous inquiétez pas, c’était un test” ; et qui vous montre, en semi-interactif, tous les éléments d’indices que vous auriez pu repérer dans le mail »

D’abord, les collaboratrices et collaborateurs ont perçu l’exercice comme un outil d’apprentissage, pas comme une sanction. Les retours spontanés via le champ commentaire intégré à la plateforme l’ont confirmé : le ton bienveillant et la pédagogie immédiate ont été très bien accueillis.

Mais déployer ce type d’outil implique aussi de repenser certaines pratiques internes. Lorsque Malraison a voulu faire passer le message « ne cliquez pas sur les liens », l’équipe de communication interne s’est immédiatement inquiétée : l’entreprise utilisait elle-même des liens dans ses communications promotionnelles internes et ne souhaitait pas réduire le taux d’adhésion des offres destinées aux collaboratrices et collaborateurs. Cette tension a conduit à une refonte plus profonde, non seulement du message de sensibilisation, mais aussi des pratiques de communication interne. L’objectif : que cliquer devienne un acte rare, délibéré, quasi-exceptionnel.

Malraison a également veillé à donner aux collaboratrices et collaborateurs les plus exposés des outils concrets d’auto-évaluation : copier une URL dans un service comme VirusTotal avant de cliquer, par exemple. Ces réflexes ont rapidement dépassé le cadre professionnel : plusieurs collaboratrices et collaborateurs ont indiqué utiliser ces mêmes gestes dans leur vie personnelle.

Transformer la connaissance en réflexe sur tous les canaux

L’une des actions les plus marquantes du programme a été la mise en place d’un test de quishing – phishing par QR code – dans les locaux mêmes de l’organisation. Des affiches promotionnelles internes invitaient les collaboratrices et collaborateurs à scanner un QR code pour remporter un produit de l’entreprise. En arrière-plan, le formulaire les redirigeait vers une page de collecte d’identifiants. Résultat : la quasi-totalité du siège avait répondu.

Ce test était directement inspiré d’une attaque réelle vécue par Malraison dans une expérience antérieure : un acteur malveillant s’était introduit dans le lobby d’un siège social et avait collé un sticker de faux QR code par-dessus celui de la cantine, utilisé pour afficher le menu de la semaine. Des dizaines de collaboratrices et collaborateurs avaient ainsi transmis leurs identifiants sans le savoir. « On n’a découvert l’attaque que parce qu’un collaborateur s’est plaint de ne pas pouvoir voir le menu », raconte Malraison.

Malraison pointe un autre angle mort : l’après-compromission. Lorsqu’une collaboratrice ou un collaborateur clique sur un vrai lien malveillant, la réaction naturelle est souvent la honte : peur d’être sanctionné, réflexe de dissimulation, attente avant de signaler. Ainsi, Malraison préconise des simulations dites « surprise post-compromission » : informer les collaboratrices et collaborateurs qu’ils ont été compromis, et observer comment ils réagissent. Qui contacte l’équipe informatique ? Qui transfère le message ? Qui ne fait rien ? Ces mesures comportementales, souvent surprenants, ne peuvent être anticipés qu’en les ayant observés une fois.

Malgré des années d’exercices, Malraison n’a jamais réussi à descendre durablement en dessous de 3,2 % de taux de clic. Pour tenter d’y parvenir, il a expérimenté l’outil IA de SoSafe : un système qui analyse les e-mails reçus et affiche un bandeau d’alerte ciblé quand un message ressemble à une tentative de phishing. Contrairement aux bandeaux permanents qui finissent par devenir invisibles, ce signal arrive rarement, ce qui fait toute son efficacité. C’est pourquoi il a progressivement ouvert les outils de simulation à d’autres directions, notamment l’équipe risque. 

« Moi je considère que la cyber, c’est l’affaire de tous. Certes, c’est la spécialité d’un département, mais c’est l’affaire de tous »

La sécurité n’est plus l’affaire d’un seul département : elle se construit, campagne après campagne, dans toute l’organisation. 

About the author

Quentin Malraison
CISO / CIO Lydia

En savoir plus

Vous voulez avoir toujours une longueur d’avance en matière de cybersécurité ?

Inscrivez-vous à notre newsletter pour tout savoir sur les actualités, les événements et les ressources disponibles en matière de cybersécurité. Zéro spam, du contenu 100 % utile.

Newsletter visual Hero Background

Découvrez nos produits de première main

Utilisez notre environnement de test en ligne pour voir comment notre plateforme peut vous aider à donner à votre équipe les moyens d’éviter en permanence les cybermenaces et de préserver la sécurité de votre organisation.

This page is not available in English yet.

Diese Seite ist noch nicht in Ihrer Sprache verfügbar. Sie können auf Englisch fortfahren oder zur deutschen Startseite zurückkehren.

Cette page n’est pas encore disponible dans votre langue. Vous pouvez continuer en anglais ou revenir à la page d’accueil en français.

Deze pagina is nog niet beschikbaar in uw taal. U kunt doorgaan in het Engels of terugkeren naar de Nederlandse startpagina.

Esta página aún no está disponible en español. Puedes continuar en inglés o volver a la página de inicio en español.

Questa pagina non è ancora disponibile nella tua lingua. Puoi continuare in inglese oppure tornare alla home page in italiano.