Blog – FR

Microsoft Defender pour Office 365 intègre sa propre plateforme de simulation de phishing et de sensibilisation, baptisée « Attack Simulation Training ». Comme elle est étroitement intégrée à Microsoft 365, de nombreuses entreprises partent automatiquement du principe qu’il s’agit du choix logique pour les simulations de phishing et la sensibilisation des employés.
Et, honnêtement, dans certains domaines, le simulateur d’attaques de Microsoft Defender est très performant.
Mais il y a aussi un revers de la médaille que les entreprises doivent prendre en compte avant de remplacer complètement les plateformes de sensibilisation spécialisées.
Cet article se veut équilibré. Il présente des avantages évidents, mais aussi des limites structurelles qui apparaissent très rapidement dans les environnements de sécurité plus vastes ou plus matures.

La révolution de l’IA ne fait que commencer. Alors que les discussions tournent principalement autour des nouveaux modèles et des démonstrations impressionnantes, un changement bien plus profond se profile en arrière-plan : la puissance de calcul et l’électricité deviennent le goulot d’étranglement.
C’est pourquoi je pense que la prochaine étape de l’IA ne sera pas marquée par des modèles cloud toujours plus volumineux, mais par des systèmes d’IA locaux intégrés à nos propres appareils. Et avec eux, quelque chose d’entièrement nouveau voit le jour : notre jumeau numérique personnel.

Que se passe-t-il lorsque non seulement toutes les vulnérabilités ont été découvertes, mais que presque toutes ont ensuite disparu ?

Il y a deux semaines, Anthropic a fait la une avec « Mythos », un modèle capable d’identifier des vulnérabilités à un niveau jamais atteint par un humain. La semaine dernière, j’ai expliqué comment l’IA est en train de devenir un meilleur pentester (testeur d’intrusion).

Que se passe-t-il lorsque les logiciels ne sont plus attaqués uniquement par des humains, mais par des acteurs synthétiques qui pensent différemment de nous ?

Le développeur de Claude, Anthropic, a fait les gros titres la semaine dernière avec la publication interne d’un nouveau modèle appelé Mythos. Celui-ci serait particulièrement performant pour identifier des bugs et des vulnérabilités dans les logiciels. Compte tenu de ces capacités, Anthropic renonce pour l’instant à une mise à disposition publique et privilégie une collaboration avec de grandes entreprises technologiques et des gouvernements afin de prévenir tout usage abusif.

Il reste toutefois difficile de déterminer dans quelle mesure ces vulnérabilités sont réalistes et réellement exploitables… du moins pour des humains.

Quels modèles gratuits pour des simulations d’attaques puis-je utiliser ? Quels cours de cybersécurité gratuits peuvent m’aider à former mes employés ?

Avec CYBERSECURITY Freemium, nous proposons un outil gratuit de simulation de phishing. Grâce à celui-ci, vous pouvez non seulement réaliser des exercices de phishing, mais aussi former vos employés avec des cours de cybersécurité. Et le plus important : vous pouvez modifier tous les modèles et les adapter à vos besoins spécifiques — exactement ce qu’il faut pour une véritable sensibilisation efficace !

Une nouvelle étude menée par CIO / CSO / Computerwoche (basée sur 324 entretiens avec des décideurs IT seniors dans la région DACH, réalisés entre novembre et décembre 2025) dresse un constat clair : la directive NIS2 transforme la manière dont les organisations abordent la cybersécurité. Toutefois, un écart important subsiste entre la conformité réglementaire et la résilience opérationnelle réelle.

Voici les principaux enseignements que nous jugeons les plus pertinents — et ce qu’ils impliquent pour votre approche de la sensibilisation à la sécurité et du risque humain.

Près de la moitié des cyberattaques réussies commencent par la négligence d’un employé. Pourquoi en est-il ainsi, et que peut-on faire pour y remédier ?

Si vous cherchez la réponse en ligne, vous verrez souvent qu’elle tient à « Falling for Phishing and Social Engineering Scams », à une « Poor Password Management and Credential Hygiene » ou encore à une « Negligent Data Handling and Unsecured Devices ». Bien entendu, ces facteurs sont importants. Toutefois, cette explication devient bien plus pertinente si l’on prend du recul : en réalité, presque toutes ces causes sont liées au facteur humain.

C’est la réalité actuelle : il est établi qu’au moins 47 % [1] des cyberattaques réussies trouvent leur origine dans une erreur humaine, le plus souvent via un email de phishing. Pourquoi cela se produit-il ? Pourquoi les employés tombent-ils dans le piège ? Notre expérience montre qu’il existe trois principales raisons pour lesquelles les collaborateurs se laissent piéger par des emails malveillants

Il est évident que Microsoft propose un outil de simulation de phishing. Malheureusement, les organisations qui souhaitent réellement disposer de collaborateurs vigilants et bien sensibilisés aux risques cyber n’en tirent pas pleinement bénéfice.

L’un des avantages de la saison des salons professionnels est de pouvoir échanger directement avec de nombreux experts en cybersécurité. J’ai ainsi récemment appris, au contact de plusieurs PME allemandes et suisses, qu’elles ont laissé expirer leurs contrats avec leurs fournisseurs de solutions de sensibilisation et s’appuient désormais sur Microsoft Defender Attack Simulator. Après tout, ce produit est inclus dans les licences E5 — alors pourquoi utiliser autre chose ?

Qu’est-ce que la sensibilisation à la cybersécurité axée sur le comportement ?

Une industrie entière propose souvent à ses clients des produits et des services dont l’utilité est limitée. Et pourtant, ils les achètent !

Aujourd’hui, en 2026, le marché de la sensibilisation à la cybersécurité représente environ 6,7 milliards de dollars USD [1]. Créé il y a un peu plus de 20 ans, il est dominé par des fournisseurs de sensibilisation ou de Security Awareness Training (SAT) que je considère comme appartenant à la deuxième génération. Des entreprises telles que Proofpoint, Terranova, KnowBe4, SANS, SoSafe, Hoxhunt, ou quel que soit leur nom, captent la part du lion de ce marché, qui devrait atteindre près de 15 milliards de dollars USD d’ici 2031. À cela s’ajoutent des centaines d’autres acteurs, comme CYBERDISE | Cybersecurity Awareness.