Phishing basé sur l’IA/OSINT et sensibilisation à la cybersécurité

Cette étude a examiné l’impact du phishing (spear) basé sur l’IA/OSINT sur la sensibilisation à la cybersécurité des organisations par rapport aux exercices de phishing conventionnels et à la formation normative.

La recherche a impliqué 539 participants en Suisse (2024-2025) et a mesuré deux dimensions de la sensibilisation :

• Attitudes face au risque (via des questionnaires standardisés)

• Comportements à risque (via des simulations de phishing contrôlées en trois phases)

Résultats clés :

• La formation normative a considérablement amélioré la perception et le sens des responsabilités des employés, renforçant ainsi leur attitude face aux cyberrisques.

• Le spear phishing basé sur l’IA/OSINT a produit les effets comportementaux les plus marqués, réduisant la vulnérabilité d’environ 60 % par rapport à la situation de référence.

• Le phishing conventionnel a permis d’obtenir des améliorations similaires, mais moins marquées, avec un coût relatif plus élevé.

• L’environnement OSINT européen a généré moins de données que le contexte américain, limitant ainsi le réalisme du phishing basé sur l’IA, mais son efficacité est restée substantielle.

• Les résultats confirment que la formation et l’exposition sont complémentaires : la formation modifie les mentalités, tandis que l’exposition modifie les actions.

Conclusion

Une approche intégrée, combinant une formation structurée et une exposition réaliste au phishing, apparaît comme la stratégie la plus efficace pour une gestion durable des cyber-risques et pour préparer les organisations dans le cadre de réglementations telles que la NIS2 et la loi européenne sur l’IA.

Téléchargez le rapport complet.