Pourquoi le taux de signalement compte plus que le taux de clic
Retour d'expérience : en cybersécurité, mesurer ce qui marche au lieu de ce qui échoue change tout.
Le piège du taux de clic
Quand on lance une campagne de sensibilisation au phishing, le réflexe est naturel : combien de personnes ont cliqué ? C’est le chiffre que tous les outils mettent en avant, que la direction demande, et qu’on imprime fièrement sur les slides.
Mais ce KPI a un problème : il mesure ce qui échoue, pas ce qui fonctionne.
Ce que j’ai observé en pilotage
Sur une population de 150 000 collaborateurs, avec une campagne par mois pendant 2 ans — soit plus de 24 campagnes au total — un constat s’est imposé : le taux de clic peut fluctuer fortement selon la qualité du leurre, la période (fin de mois chargée, veille de vacances), ou simplement le hasard. Ce n’est pas un signal fiable pour juger de la maturité cyber d’une organisation.
En revanche, un autre KPI s’est avéré beaucoup plus robuste : le taux de signalement.
Pourquoi c’est différent
Signaler un email de phishing demande un effort actif et conscient :
- Remarquer que quelque chose cloche.
- Savoir qu’il existe un canal de signalement.
- Prendre le temps d’envoyer l’email.
Quand ce taux monte, c’est qu’une vraie culture cyber s’installe. Les collaborateurs ne se contentent plus de “ne pas cliquer” — ils deviennent des capteurs pour le SOC.
Chiffres marquants
Sur la période, voici ce que j’ai observé :
| Période | Taux de clic | Taux de signalement |
|---|---|---|
| Début de programme | 12 % | 4 % |
| +12 mois | 7 % | 12 % |
| +18 mois | 4 % | 20 % |
Le taux de clic a été divisé par 3. Bien. Mais le taux de signalement a été multiplié par 5. C’est là que se joue la vraie transformation.
Ce qui marche pour faire monter le signalement
Trois leviers qui ont eu le plus d’impact :
- Un canal de signalement ultra-simple — un bouton dans Outlook, pas un formulaire web.
- Un feedback systématique — chaque signalement reçoit une réponse automatique, même si c’est un faux positif. Le collaborateur se sent écouté.
- Une communication positive — on célèbre les “héros” du mois (top signaleurs), on remercie publiquement. Pas de name & shame sur les cliqueurs.
Ce qu’il faut éviter
- Les campagnes trop piégeuses qui créent de la méfiance envers l’IT au lieu de la confiance.
- Le focus exclusif sur le clic qui transforme la sensibilisation en jeu de punition.
- L’absence de suivi individuel : si quelqu’un clique 5 fois, ce n’est pas un KPI, c’est un signal qu’il faut l’aider personnellement.
À retenir
En cybersécurité comme ailleurs, on a tendance à mesurer l’échec parce que c’est visible. Mais la vraie maturité, c’est quand les collaborateurs contribuent activement à la défense. Le taux de signalement, c’est ça qu’il mesure — et c’est pour ça qu’il devrait être en haut de tes dashboards.