Il y a des moments décisifs dans l’évolution d’une entreprise qui changent tout. Aujourd’hui est l’un de ces jours pour nous, chez CYBERDISE. Nous sommes restés très proches du marché ces trois dernières années. Dès nos débuts, nous savions que le secteur de la sensibilisation à la sécurité prenait une direction que nous ne comprenions pas encore pleinement à l’époque.

Nous comprenons désormais clairement les besoins et les difficultés du marché, et savons exactement quelle voie emprunter. Après un développement intensif et une analyse approfondie du marché, nous franchissons une étape décisive : nous passons de la sensibilisation à la sécurité traditionnelle à l’ingénierie de la défense comportementale (BDE).

Microsoft Defender pour Office 365 intègre sa propre plateforme de simulation de phishing et de sensibilisation, baptisée « Attack Simulation Training ». Comme elle est étroitement intégrée à Microsoft 365, de nombreuses entreprises partent automatiquement du principe qu’il s’agit du choix logique pour les simulations de phishing et la sensibilisation des employés.
Et, honnêtement, dans certains domaines, le simulateur d’attaques de Microsoft Defender est très performant.
Mais il y a aussi un revers de la médaille que les entreprises doivent prendre en compte avant de remplacer complètement les plateformes de sensibilisation spécialisées.
Cet article se veut équilibré. Il présente des avantages évidents, mais aussi des limites structurelles qui apparaissent très rapidement dans les environnements de sécurité plus vastes ou plus matures.

La révolution de l’IA ne fait que commencer. Alors que les discussions tournent principalement autour des nouveaux modèles et des démonstrations impressionnantes, un changement bien plus profond se profile en arrière-plan : la puissance de calcul et l’électricité deviennent le goulot d’étranglement.
C’est pourquoi je pense que la prochaine étape de l’IA ne sera pas marquée par des modèles cloud toujours plus volumineux, mais par des systèmes d’IA locaux intégrés à nos propres appareils. Et avec eux, quelque chose d’entièrement nouveau voit le jour : notre jumeau numérique personnel.

Que se passe-t-il lorsque non seulement toutes les vulnérabilités ont été découvertes, mais que presque toutes ont ensuite disparu ?

Il y a deux semaines, Anthropic a fait la une avec « Mythos », un modèle capable d’identifier des vulnérabilités à un niveau jamais atteint par un humain. La semaine dernière, j’ai expliqué comment l’IA est en train de devenir un meilleur pentester (testeur d’intrusion).

Que se passe-t-il lorsque les logiciels ne sont plus attaqués uniquement par des humains, mais par des acteurs synthétiques qui pensent différemment de nous ?

Le développeur de Claude, Anthropic, a fait les gros titres la semaine dernière avec la publication interne d’un nouveau modèle appelé Mythos. Celui-ci serait particulièrement performant pour identifier des bugs et des vulnérabilités dans les logiciels. Compte tenu de ces capacités, Anthropic renonce pour l’instant à une mise à disposition publique et privilégie une collaboration avec de grandes entreprises technologiques et des gouvernements afin de prévenir tout usage abusif.

Il reste toutefois difficile de déterminer dans quelle mesure ces vulnérabilités sont réalistes et réellement exploitables… du moins pour des humains.

Quels modèles gratuits pour des simulations d’attaques puis-je utiliser ? Quels cours de cybersécurité gratuits peuvent m’aider à former mes employés ?

Avec CYBERSECURITY Freemium, nous proposons un outil gratuit de simulation de phishing. Grâce à celui-ci, vous pouvez non seulement réaliser des exercices de phishing, mais aussi former vos employés avec des cours de cybersécurité. Et le plus important : vous pouvez modifier tous les modèles et les adapter à vos besoins spécifiques — exactement ce qu’il faut pour une véritable sensibilisation efficace !

Une nouvelle étude menée par CIO / CSO / Computerwoche (basée sur 324 entretiens avec des décideurs IT seniors dans la région DACH, réalisés entre novembre et décembre 2025) dresse un constat clair : la directive NIS2 transforme la manière dont les organisations abordent la cybersécurité. Toutefois, un écart important subsiste entre la conformité réglementaire et la résilience opérationnelle réelle.

Voici les principaux enseignements que nous jugeons les plus pertinents — et ce qu’ils impliquent pour votre approche de la sensibilisation à la sécurité et du risque humain.

Près de la moitié des cyberattaques réussies commencent par la négligence d’un employé. Pourquoi en est-il ainsi, et que peut-on faire pour y remédier ?

Si vous cherchez la réponse en ligne, vous verrez souvent qu’elle tient à « Falling for Phishing and Social Engineering Scams », à une « Poor Password Management and Credential Hygiene » ou encore à une « Negligent Data Handling and Unsecured Devices ». Bien entendu, ces facteurs sont importants. Toutefois, cette explication devient bien plus pertinente si l’on prend du recul : en réalité, presque toutes ces causes sont liées au facteur humain.

C’est la réalité actuelle : il est établi qu’au moins 47 % [1] des cyberattaques réussies trouvent leur origine dans une erreur humaine, le plus souvent via un email de phishing. Pourquoi cela se produit-il ? Pourquoi les employés tombent-ils dans le piège ? Notre expérience montre qu’il existe trois principales raisons pour lesquelles les collaborateurs se laissent piéger par des emails malveillants

Il est évident que Microsoft propose un outil de simulation de phishing. Malheureusement, les organisations qui souhaitent réellement disposer de collaborateurs vigilants et bien sensibilisés aux risques cyber n’en tirent pas pleinement bénéfice.

L’un des avantages de la saison des salons professionnels est de pouvoir échanger directement avec de nombreux experts en cybersécurité. J’ai ainsi récemment appris, au contact de plusieurs PME allemandes et suisses, qu’elles ont laissé expirer leurs contrats avec leurs fournisseurs de solutions de sensibilisation et s’appuient désormais sur Microsoft Defender Attack Simulator. Après tout, ce produit est inclus dans les licences E5 — alors pourquoi utiliser autre chose ?

Qu’est-ce que la sensibilisation à la cybersécurité axée sur le comportement ?

Une industrie entière propose souvent à ses clients des produits et des services dont l’utilité est limitée. Et pourtant, ils les achètent !

Aujourd’hui, en 2026, le marché de la sensibilisation à la cybersécurité représente environ 6,7 milliards de dollars USD [1]. Créé il y a un peu plus de 20 ans, il est dominé par des fournisseurs de sensibilisation ou de Security Awareness Training (SAT) que je considère comme appartenant à la deuxième génération. Des entreprises telles que Proofpoint, Terranova, KnowBe4, SANS, SoSafe, Hoxhunt, ou quel que soit leur nom, captent la part du lion de ce marché, qui devrait atteindre près de 15 milliards de dollars USD d’ici 2031. À cela s’ajoutent des centaines d’autres acteurs, comme CYBERDISE | Cybersecurity Awareness.

Qu’est-ce que l’édition CYBERDISE Freemium ?
Il s’agit d’un outil gratuit de simulation de phishing et d’un environnement d’apprentissage permettant aux utilisateurs de suivre des formations en cybersécurité. D’un point de vue technique, la solution combine un simulateur d’attaques et un LMS allégé, intégrant un éditeur de contenu ainsi qu’un module de gestion des utilisateurs.

Que comprend la solution ?
La solution inclut un simulateur de phishing, des fonctionnalités de gestion de la formation (LMS), une vingtaine de modèles d’attaques prêts à l’emploi, une douzaine de modules e-learning dédiés à la sécurité de l’information, un éditeur de contenu pour personnaliser les modèles, ainsi qu’un système de gestion des destinataires.

Certains se demandent peut-être pourquoi CYBERDISE Awareness propose une solution gratuite pour les simulations de phishing et les formations en cybersécurité au plus haut niveau. Ceux qui pensent qu’il s’agit uniquement d’une stratégie marketing se trompent complètement.

Je dois vous donner quelques informations supplémentaires pour que vous compreniez pourquoi nous proposons un outil de phishing gratuit. Il s’agit d’efficacité, du marché et de nos propres normes – et oui, aussi de marketing.

L’humain face à un paysage de menaces piloté par l’IA – En 2024, l’IA a dépassé l’humain dans la rédaction d’e-mails de phishing – il y a déjà deux ans [1]. Il n’est donc pas surprenant qu’aujourd’hui, la quasi-totalité des attaques de phishing soient générées par des agents d’IA. Ceux-ci produisent des messages de phishing plus convaincants, hautement personnalisés, et sont capables de traiter des volumes massifs de messages à un coût quasi nul. Il existera toujours des messages malveillants capables de contourner même les meilleurs filtres et d’atterrir dans votre boîte de réception. Et ce sont précisément ceux-là qui seront les plus dangereux.

Dans ce contexte, les organisations doivent donner aux collaborateurs et aux ingénieurs IT les moyens d’agir, et répondre avec un niveau d’automatisation renforcé par l’IA équivalent. C’est pourquoi Cyberdise applique l’intelligence artificielle là où elle a le plus d’impact.

CYBERDISE 3.0 intègre d’importantes nouvelles fonctionnalités en matière de phishing basé sur l’IA, de LMS et de formation, de signalement des menaces, d’analyse des messages, ainsi que plusieurs améliorations architecturales. C’est précisément pour cela qu’il s’agit d’une version majeure.

La version 3.0 est disponible depuis début 2026.
Pour celles et ceux qui souhaitent connaître l’ensemble des nouveautés en détail, nous vous invitons à consulter les release notes. Ici, je voudrais toutefois me concentrer sur les trois ou quatre fonctionnalités que nous apprécions le plus.

L’Université d’Osnabrück reçoit le prix « Awareness Customer of the Year 2026 » pour la mise en œuvre exemplaire de CYBERDISE dans une configuration on-premise. Aucun autre client n’a déployé notre plateforme en production avec une rapidité comparable : seules quelques semaines se sont écoulées entre la commande et la première campagne opérationnelle.

Nous avons été particulièrement impressionnés par une implémentation allégée, efficace et largement autonome, ainsi que par une communication constamment professionnelle, proactive et réactive. Cette combinaison fait de l’Université d’Osnabrück un véritable client de référence. Nous sommes d’autant plus ravis que l’université ait accepté de devenir l’un de nos clients référents.

Dans CYBERDISE AWARENESS, deux notions sont souvent utilisées de manière interchangeable : l’attitude et le comportement. Elles sont liées, mais ne sont pas identiques. Les confondre est l’une des principales raisons pour lesquelles de nombreux programmes de sensibilisation n’aboutissent pas à une réduction durable des risques.

L’attitude se façonne principalement par l’information, la communication et la formation. Les programmes de sensibilisation traditionnels se concentrent fortement sur ce niveau : politiques, vidéos, e-learning et explications de « ce qui peut mal tourner ».

Les recherches confirment que la formation peut effectivement influencer l’attitude. Après des actions de formation, les employés déclarent souvent une sensibilisation accrue, un sens des responsabilités renforcé et une meilleure compréhension.

Dans la sensibilisation à la CYBERSÉCURITÉ, deux notions sont souvent utilisées de manière interchangeable : l’attitude et le comportement. Elles sont liées, mais elles ne sont pas identiques. Les confondre est l’une des principales raisons pour lesquelles de nombreux programmes de sensibilisation n’aboutissent pas à une réduction durable des risques.

L’attitude se construit principalement grâce à l’information, la communication et la formation. Les programmes de sensibilisation traditionnels se concentrent fortement sur ce niveau : politiques, vidéos, modules e-learning et explications de « ce qui pourrait mal tourner ».

Les études confirment que la formation peut effectivement influencer l’attitude. Les employés déclarent souvent une meilleure sensibilisation, un sens accru des responsabilités et une compréhension renforcée après des actions de formation.

Quelles fonctionnalités avons-nous pu déployer ? Un récapitulatif.

Les attaques modernes se déroulent en quelques secondes, tandis que les équipes en charge de la sensibilisation travaillent souvent sur des cycles de plusieurs jours, voire de plusieurs semaines. Nous avons voulu combler cet écart. CYBERDISE 2025 réunit la reconnaissance basée sur l’IA, des composants de campagne autonomes, une gestion multi-organisationnelle ainsi qu’un écosystème de contenus entièrement repensé.
Il s’agit d’une plateforme qui ne se limite pas à former, mais qui permet également de faire évoluer de manière systématique la culture de la sécurité — des entreprises de taille intermédiaire jusqu’aux MSSP. En fin d’année, nous présenterons les fonctionnalités développées cette année pour vous aider à atteindre cet objectif. Lesquelles ne connaissez-vous pas encore ? Découvrez-les par vous-même à la fin de cet article !

Les débats récents sur l’efficacité de la sensibilisation à la cybersécurité ont été relancés par une couverture médiatique de grande ampleur. En particulier, un article du Wall Street Journal, s’appuyant sur l’étude « Understanding the Efficacy of Phishing Training in Practice », remet en question la capacité des simulations de phishing et des actions de sensibilisation à produire une réduction du risque réellement significative.

Le débat en lui-même est sain. Les conclusions qui en sont tirées nécessitent toutefois une approche plus nuancée.

Un nombre croissant d’études empiriques montre que des programmes de sensibilisation à la cybersécurité bien conçus améliorent effectivement les comportements face au risque dans des contextes réels. Ce qui échoue le plus souvent, ce n’est pas la sensibilisation en tant que telle, mais une vision trop restrictive de ce qu’est l’awareness, de la manière dont elle doit être intégrée au sein de l’organisation et des critères utilisés pour en mesurer le succès.

Erreurs courantes commises par les clients lors de la mise en œuvre de projets de sensibilisation à la sécurité

Comme pour tout autre projet, vous pensez que c’est trop facile, vous n’écoutez pas ou vous écoutez les mauvais experts, vous pensez que vous allez tout maîtriser ou que vous pouvez y arriver seul, vous ne communiquez pas suffisamment entre vous et les objectifs et les exigences ne sont pas aussi clairs qu’ils devraient l’être. Si vous commencez alors avec un état d’esprit inapproprié et que la direction ne reconnaît pas l’objectif, la valeur et les avantages de la sensibilisation, le projet peut connaître des débuts très difficiles.

Les e-mails de phishing sont de plus en plus difficiles à détecter, même pour les humains. Une étude récente a testé divers modèles linguistiques à grande échelle (LLM) afin d’évaluer leur capacité à reconnaître les intentions malveillantes dans les e-mails, révélant des différences significatives en termes de performances.

Claude 3.5 Sonnet s’est particulièrement distingué, avec un score supérieur à 90 % et un faible taux de faux positifs, et a même signalé des e-mails suspects que les humains avaient négligés. Lorsqu’on lui a explicitement demandé d’évaluer les soupçons, il a correctement classé tous les e-mails de phishing tout en évitant les fausses alertes sur les messages légitimes. Cependant, il a eu du mal avec les e-mails de phishing conventionnels, n’atteignant qu’un taux de vrais positifs de 81 % dans cette catégorie…

Les fondateurs d’entreprises présentent leur projet aux investisseurs afin d’obtenir des financements et d’autres formes d’aide pour leur idée commerciale. Le reverse pitching renverse la situation : ce sont les investisseurs, les business angels et les sociétés de capital-risque qui sollicitent les entrepreneurs en démarrage afin d’être autorisés à investir dans leurs entreprises.

Est-ce une bonne idée ? Non et oui. ☺

Au cours des 15 dernières années, j’ai eu des centaines de conversations avec des investisseurs, mais je ne m’étais jamais vraiment demandé ce que cela ferait si c’était un investisseur qui devait me présenter son projet, et non l’inverse.

Que rechercherais-je ?

À l’inverse, cela signifie-t-il qu’une fois l’adéquation produit-marché atteinte, vous pouvez immédiatement commencer à vous développer et être sûr de réussir ? Je dirais : peut-être, mais probablement pas.

Oui, 9 start-ups sur 10 échouent. Et oui, la plupart d’entre elles ont probablement échoué parce qu’elles proposaient quelque chose que le marché ne voulait pas vraiment. Mais j’ai quelques réserves quant au fait que les autres réussissent parce que l’adéquation produit-marché a été atteinte.

Au début, la formation en cybersécurité n’était pas encore bien comprise. La plupart des entreprises tentaient de sensibiliser leur personnel par le biais de formations, et les premières campagnes de phishing à des fins éducatives ont été menées. La conformité n’était pas encore très importante.

Une entreprise existe parce que ses employés croient qu’il y a un moyen d’y arriver, que ses clients croient qu’elle résout un problème et que ses investisseurs croient qu’elle a de la valeur. 😉

Malgré une formation complète en matière de sensibilisation à la sécurité, de nombreuses organisations continuent de subir des violations de la cybersécurité résultant d’erreurs humaines. Nous pensons que cela s’explique par le fait que beaucoup de gens comprennent les menaces liées à la cybersécurité en théorie, mais ont du mal à appliquer ces connaissances de manière cohérente dans la pratique pour agir en toute sécurité.

Cet écart entre l’attitude face au risque (savoir ce qui est risqué) et le comportement face au risque (agir de manière sécurisée) est le sujet de l’article d’aujourd’hui. 😉

Le « IBM Cost of a Data Breach Report » (rapport IBM sur le coût des violations de données) est publié chaque année depuis deux décennies.

Il est souvent consulté pour ses chiffres : le coût moyen mondial des violations (actuellement 4,4 millions de dollars), les secteurs les plus touchés ou les amendes (qui, aux États-Unis, font grimper le coût moyen à 10 millions de dollars).

Mais en y regardant de plus près et en y apportant votre propre expertise, le rapport de cette année révèle quelque chose de plus fondamental sur la sensibilisation à la cybersécurité.

Les similitudes et différences sont impressionnantes. Dans notre série irrégulière Les plus grands cybercasses, nous analysons les attaques informatiques les plus marquantes de l’histoire. L’article du jour se penche sur les piratages de Bybit, MGM et Sony. Nous résumons les événements : ce qui s’est passé, comment cela s’est produit, qui l’a découvert, quels dommages ont été causés et quelles en ont été les conséquences. Nous examinons ensuite quelles mesures auraient pu être mises en place pour contrer ces attaques et si une vigilance accrue aurait pu changer la donne.

L’élection présidentielle américaine a été frappée par des milliards de cyberattaques. 6 milliards, pour être précis. Fake news, escroqueries par hameçonnage, deepfakes – tout y est passé. Pourtant, le système a tenu bon.
Désormais, l’élection anticipée en Allemagne n’est plus qu’à quelques semaines, et les experts tirent déjà la sonnette d’alarme. Les attaques de phishing se multiplient. La désinformation se propage. Les « fake news » ne sont plus un simple bruit de fond – elles sont utilisées pour manipuler l’opinion publique et fragiliser la démocratie.

GDPR vs NIS2 vs ISO 27001 : Explication des principales différences. La mise en conformité n’est pas seulement un mot à la mode – c’est la pierre angulaire de la confiance, de la sécurité et de la résilience. Mais parcourir les différences entre GDPR, NIS2 et ISO 27001 peut s’apparenter à la résolution d’un puzzle. Que devez-vous savoir et pourquoi est-ce important ? Voyons ce qu’il en est.

Avez-vous regardé le film « The Great Hack » ? Un film à regarder absolument pour comprendre la psychologie qui se cache derrière les attaques de hameçonnage !
Psychologie et attaques de hameçonnage
Les attaques par hameçonnage reposent en grande partie sur des astuces psychologiques, c’est la raison pour laquelle il est si important de comprendre ces tactiques pour être sensibilisé à la cybersécurité. Il est surprenant de constater que près de la moitié (47 %) des attaques réussies sont encore le fait d’employés négligents [1].

Saviez-vous que le salon it-sa Expo & Congress in Nuremberg est l’un des principaux salons européens consacrés à la cybersécurité ? Cette année, il a atteint de nouveaux records avec 25 830 visiteurs professionnels venus de 65 pays et 897 exposants.

Une escroquerie Deepfake de 25 millions de dollars : La montée en puissance de l’IA dans la cybercriminalité Quishing : la montée en puissance des escroqueries par code QR Une entreprise allemande, Diehl Defense, ciblée par des pirates nord-coréens

La sensibilisation à la cybersécurité revêt un caractère presque ironique : d’une part, la cybersécurité est la bouée de sauvetage qui peut permettre à une entreprise de réussir ou d’échouer en cas de violation, avec des millions de dollars et des réputations en jeu ; d’autre part, elle est si impopulaire parmi les employés que la plupart des programmes de formation finissent par être inefficaces.

Simulation d’hameçonnage et sensibilisation gratuites avec l’édition Freemium de Cyberdise …

Méfiez-vous du Quishing : la montée en puissance des escroqueries …

LA Solution Universelle de Simulation et de Sensibilisation : Cyberdise …

Quelle formation à la cybersécurité a le plus grand effet …