Une campagne de phishing « générique » envoyée à toute l'entreprise forme rarement quelqu'un. À l'inverse, des scénarios ciblés métier révèlent les vrais réflexes — et entraînent ceux qui en ont vraiment besoin. Voici 12 scénarios prêts à l'emploi, organisés en 4 catégories de 3, avec leurs pretextes, leur canal et leur enseignement.
Méthode
Comment lire ces 12 scénarios
4
Métiers ciblés
RH, Finance, IT, Dirigeants
3
Scénarios par métier
Du plus classique au plus élaboré
20-40 %
Taux de clic typique
Sur un scénario ciblé bien conçu
Cible 1 — RH
Ressources humaines : 3 scénarios
Faux CV piégé
Prétexte
Un candidat fictif envoie sa candidature pour un poste réellement ouvert sur LinkedIn, avec un PDF intitulé « CV_Marie_Dupont.pdf » contenant une macro malveillante.
Action piégée
Ouvrir la pièce jointe pour évaluer le candidat avant le RDV proposé.
Pourquoi ça marche
Les RH ouvrent en moyenne 50+ CV par semaine. La répétition baisse la vigilance, et le contexte de recrutement légitime l'ouverture.
Demande de modification RIB salarié
Prétexte
Un email semblant venir d'un collaborateur (depuis une adresse externe quasi-identique) demande la mise à jour de son RIB pour la prochaine paie, en pièce jointe.
Action piégée
Mettre à jour les coordonnées bancaires dans l'outil paie.
Pourquoi ça marche
L'urgence avant la paie et l'apparente proximité avec un collègue contournent la procédure de double validation.
Fausse plateforme RH
Prétexte
Un SMS au nom de la mutuelle ou de l'organisme de formation annonce une mise à jour obligatoire du compte salarié avant une date butoir.
Action piégée
Cliquer sur un lien vers une fausse page de connexion qui collecte les identifiants.
Pourquoi ça marche
Le canal mobile sort du périmètre habituel des contrôles techniques (filtre anti-phishing email).
Cible 2 — Finance
Comptabilité & finance : 3 scénarios
Fausse facture fournisseur
Prétexte
Une facture arrive d'un fournisseur réel de l'entreprise (information glanée publiquement), avec un changement discret de coordonnées bancaires en bas de document.
Action piégée
Régler la facture via le nouveau RIB indiqué.
Pourquoi ça marche
La marque du fournisseur est connue, le document semble routinier. C'est l'arnaque au virement la plus courante en PME française.
Fraude au président
Prétexte
Un email du « PDG » demande au comptable de préparer un virement urgent et confidentiel pour finaliser une acquisition. Suivi d'un appel d'un faux avocat qui confirme.
Action piégée
Émettre un virement de 80 à 200 k€ sans validation hiérarchique habituelle.
Pourquoi ça marche
Combinaison d'autorité, de confidentialité, d'urgence et de double canal. Reste l'arnaque la plus coûteuse pour les PME (médiane : 165 k€).
Pièce jointe Excel « bilan provisoire »
Prétexte
Un email du « commissaire aux comptes » envoie un Excel à valider avant clôture trimestrielle. Le fichier contient une macro qui télécharge un infostealer.
Action piégée
Activer les macros à l'ouverture du document Excel.
Pourquoi ça marche
Période de clôture = stress et rythme soutenu. La pression temporelle pousse à activer les macros sans réflexion.
Cible 3 — IT / DSI
Équipes techniques : 3 scénarios
Faux ticket Microsoft 365
Prétexte
Un email aux couleurs de Microsoft 365 alerte d'un échec de synchronisation sur un compte admin, avec un lien vers une page de connexion contrefaite.
Action piégée
Se connecter sur la fausse page admin Microsoft 365.
Pourquoi ça marche
Les admins reçoivent quotidiennement des alertes techniques. Le visuel Microsoft est largement imité avec des certificats SSL valides.
Faux pull request GitHub / GitLab
Prétexte
Une notification de pull request mentionne le nom d'un développeur connu de l'équipe, avec un lien vers une fausse page de revue de code.
Action piégée
Se connecter sur la fausse page GitHub avec les identifiants pro.
Pourquoi ça marche
Les notifications GitHub ressemblent toutes. L'attaquant exploite la culture du « je regarde rapidement entre deux tâches ».
Faux support Microsoft / Cisco
Prétexte
Un appel d'un faux ingénieur support annonce une intervention urgente pour un incident détecté sur un firewall. Demande l'accès à distance via AnyDesk.
Action piégée
Installer AnyDesk et donner le code d'accès à l'« ingénieur ».
Pourquoi ça marche
Les équipes IT junior n'ont pas toujours le réflexe de vérifier le rappel via les canaux officiels du fournisseur.
Cible 4 — Dirigeants
CODIR & dirigeants : 3 scénarios
Fausse demande d'investisseur
Prétexte
Un message LinkedIn d'un faux fonds d'investissement étranger propose un rendez-vous, avec un PDF de présentation contenant un payload.
Action piégée
Ouvrir le PDF de présentation envoyé en pièce jointe.
Pourquoi ça marche
L'ego et l'opportunité business contournent la prudence. LinkedIn est rarement filtré par les outils anti-phishing d'entreprise.
Faux message de l'expert-comptable
Prétexte
SMS depuis un numéro inconnu signé du nom de l'expert-comptable, demandant un virement urgent pour une régularisation fiscale, lien de paiement à l'appui.
Action piégée
Cliquer sur le lien de paiement et saisir ses coordonnées bancaires.
Pourquoi ça marche
Les dirigeants utilisent intensivement le mobile pour leurs échanges pros. Le numéro inconnu n'éveille pas la méfiance s'il signe correctement.
Convocation d'une instance officielle
Prétexte
Email se faisant passer pour la DGSI, l'URSSAF ou la CNIL, annonçant une convocation ou un contrôle, avec un lien vers un « espace sécurisé » pour télécharger le dossier.
Action piégée
Se connecter à l'« espace sécurisé » avec ses identifiants pro.
Pourquoi ça marche
L'autorité administrative provoque une réponse réflexe. La confidentialité empêche le dirigeant d'en parler immédiatement à son équipe.
Mise en œuvre
La méthodologie en 4 temps
Étape 1
Cadrage avec les RH
Validation du périmètre, communication interne préalable, accord du CSE, choix des scénarios par métier.
Étape 2
Lancement de la campagne
Envoi étalé sur 2 à 3 semaines pour éviter les effets d'alerte entre collègues. Tracking des clics, des saisies, des signalements.
Étape 3
Débrief immédiat des collaborateurs piégés
Page d'atterrissage pédagogique (jamais culpabilisante) + module de formation court de 5 minutes ciblé sur le scénario raté.
Étape 4
Restitution CODIR + cycle suivant
Indicateurs comparés à la campagne précédente, identification des métiers à risque, planification de la prochaine vague à 3-6 mois.
Mesurer
Les 4 indicateurs à suivre
- Taux de clic sur le lien piégé (objectif < 5 % à terme, indicateur principal)
- Taux de saisie d'identifiants ou d'ouverture de la pièce jointe (objectif < 1 %)
- Taux de signalement actif via le bouton « Signaler ce phishing » dans la messagerie (objectif > 30 %)
- Délai moyen entre réception et signalement (objectif < 15 minutes)
Erreurs fréquentes
Ce qui plombe une campagne
- Pretextes irréalistes ou trop génériques (« Nigerian prince ») qui ne forment personne et démotivent
- Aucun débrief pédagogique : la simulation devient une humiliation publique
- Sanctions individuelles publiques : tue toute culture de signalement
- Une seule campagne par an : effet zéro à 6 mois, l'apprentissage s'efface
- Aucune mesure du taux de signalement actif — le seul indicateur qui compte vraiment
Discutons-en 30 minutes, sans engagement
Un échange franc avec un consultant sénior pour cadrer vos priorités cybersécurité et clarifier vos obligations.
Prendre rendez-vous