Stratégie de sensibilisation phishing à grande échelle — SNCF
Pilotage d'un programme complet de sensibilisation cyber pour 150 000 collaborateurs : campagnes phishing mensuelles basées sur l'OSINT, vidéos terrain, quarts d'heure cyber et déplacements nationaux — avec le signalement comme KPI central.
Contexte
Dans le cadre d’une mission en entreprise, j’ai participé activement au pilotage d’un programme de sensibilisation cyber pour une population de 150 000 collaborateurs répartis sur toute la France. Ce programme s’inscrivait dans une stratégie de défense en profondeur : faire du collaborateur le premier capteur de détection, capable d’identifier et de signaler une tentative de phishing avant qu’elle ne devienne un incident.
Ce projet était porté par une équipe dédiée sensibilisation, en lien étroit avec les équipes communication interne, RH, et la direction de la sécurité. La transversalité de l’équipe était une condition indispensable au succès : sans la communication, pas de relais ; sans les RH, pas d’ancrage dans la culture d’entreprise.
Le KPI qui compte vraiment : le taux de signalement
Ce que j’ai observé en pilotage
Sur une population de 150 000 collaborateurs, avec une campagne par mois pendant plus de deux ans, un constat s’est imposé : le taux de clic est un indicateur trompeur.
Il fluctue fortement selon la qualité du leurre, la période (fin de mois chargée, veille de vacances), ou simplement le hasard. Un mois à 3 %, le suivant à 14 % — sans que la maturité réelle de l’organisation ait changé. C’est un reflet du scénario, pas du niveau des collaborateurs.
En revanche, un autre KPI s’est avéré beaucoup plus robuste : le taux de signalement.
Pourquoi le signalement surpasse le taux de clic
Le taux de clic mesure une erreur ponctuelle. Le taux de signalement mesure un réflexe ancré.
Mais surtout, la raison fondamentale est opérationnelle : en cas de vraie attaque, ce qui compte n’est pas que personne n’ait cliqué — c’est que quelqu’un ait signalé. Un collaborateur qui signale donne au SOC la capacité d’identifier immédiatement la porte d’entrée de l’attaque, de qualifier le périmètre exposé, et d’activer la réponse à incident avant que l’infection ne se propage à d’autres postes ou systèmes.
Un collaborateur qui ne clique pas mais ne signale pas non plus est invisible pour la défense. Un collaborateur qui clique et signale est un capteur actif.
C’est ce changement de paradigme — passer de “ne pas cliquer” à “savoir signaler” — qui a structuré toute la stratégie et justifié l’ensemble du dispositif de sensibilisation mis en place.
La stratégie : OSINT → Campagne → Analyse → Communication
1. Recherche OSINT sur les thématiques SNCF
Plutôt que d’utiliser des scénarios génériques, chaque campagne était construite sur des thématiques réelles et contextuelles, identifiées via de l’OSINT ciblé sur l’organisation :
- Sujets RH du moment (campagnes d’entretien, actualités sociales)
- Actualités internes (projets en cours, outils déployés, événements)
- Tendances de phishing observées dans le secteur transport/ferroviaire
- Calendrier : prime de fin d’année, retour de vacances, annonces direction
Ces thématiques étaient ensuite adaptées en scénarios de phishing crédibles, suffisamment réalistes pour tester le comportement réel des collaborateurs, sans jamais verser dans le piège gratuit.
2. Conception et lancement des campagnes
- Fréquence : une campagne par mois sur l’ensemble de la population de 150 000 collaborateurs, soit plus de 24 campagnes sur la durée du programme
- Chaque campagne ciblait des groupes différents selon les résultats précédents
- Les scénarios évoluaient en difficulté : du leurre générique au spear phishing contextualisé
- Chaque clic déclenchait une page pédagogique immédiate, non punitive, expliquant les signes qui auraient dû alerter
3. Analyse des résultats
Après chaque campagne, les résultats étaient analysés selon plusieurs dimensions :
| Indicateur | Rôle |
|---|---|
| Taux de clic | Indicateur de vigilance (à contextualiser) |
| Taux de signalement | KPI central de maturité |
| Taux de saisie credentials | Indicateur de risque réel |
| Délai de signalement | Rapidité de la chaîne de détection |
| Taux de signalement avant clic | Signe de proactivité |
Les résultats alimentaient des rapports mensuels partagés en COPIL avec la direction sécurité, et des reportings Power BI accessibles en auto-service aux managers.
Le dispositif de sensibilisation terrain
Les campagnes de simulation seules ne suffisent pas. Pour ancrer les bons réflexes, le programme était complété par un dispositif terrain dense.
Vidéos de sensibilisation
Avant même d’apprendre à ne pas cliquer, l’enjeu était d’apprendre à signaler. Une série de vidéos pédagogiques a été produite et diffusée :
- Vidéos ludiques et courtes (format snack) pour expliquer ce qu’est le phishing
- Vidéos de mise en situation montrant comment reconnaître un email suspect
- Tutoriels sur l’utilisation du bouton de signalement intégré aux messageries
- Contenus ciblés pour des populations spécifiques (managers, agents de terrain, informaticiens)
L’objectif était simple : avant de tester les collaborateurs, s’assurer qu’ils avaient les clés pour réussir.
Déplacements terrain à travers toute la France
Une partie importante du programme reposait sur la présence physique. Des sessions de sensibilisation ont été organisées dans différentes régions, directement sur les sites opérationnels :
- Stands de sensibilisation dans les halls et espaces communs
- Ateliers pratiques : reconnaître un phishing, utiliser le bouton de signalement
- Échanges directs avec les collaborateurs, adaptation au contexte de chaque site
- Coordination avec les référents sécurité locaux
Ces déplacements ont été essentiels pour toucher les populations non-connectées ou peu exposées aux canaux digitaux internes.
Quarts d’heure cyber
Les quarts d’heure cyber sont des présentations thématiques animées directement auprès des équipes, sur le temps de travail. Le principe : choisir une thématique cyber d’actualité et l’illustrer avec des exemples réels d’attaques — de vrais emails de phishing observés en circulation, de vraies campagnes ayant ciblé des entreprises similaires, des captures d’écran authentiques.
Concrètement, une session pouvait ressembler à :
- Présentation d’un vrai email de phishing reçu récemment, analysé en direct : qu’est-ce qui devait alerter ? L’expéditeur, le lien, le ton d’urgence ?
- Décryptage d’une attaque réelle ayant visé le secteur (transport, industrie) avec les conséquences concrètes
- Mise en pratique immédiate : les participants regardent leur boîte mail et identifient les signaux suspects
- Rappel du geste clé : utiliser le bouton de signalement
Ce format ancre la menace dans le réel — ce n’est plus un exercice théorique, mais une attaque qu’un collègue aurait pu recevoir hier. L’impact pédagogique est sans commune mesure avec un simple e-learning.
Résultats observés
| KPI | Début de programme | Après 2 ans (24+ campagnes) | Évolution |
|---|---|---|---|
| Taux de signalement | ~4 % | ~20 % | ×5 |
| Taux de clic moyen | ~12 % | ~4 % | ÷3 |
| Taux de saisie credentials | ~3 % | < 1 % | ÷3 |
| Délai moyen de signalement | > 24h | < 2h | ÷12 |
La réduction du délai de signalement est particulièrement significative : en cas d’attaque réelle, chaque heure gagnée est déterminante pour le confinement.
Ce que ce projet m’a appris
Le collaborateur n’est pas le maillon faible — il est le premier maillon de la détection quand il est correctement accompagné. La sensibilisation ne fonctionne que si elle est :
- Bienveillante : l’objectif n’est pas de piéger, mais d’apprendre
- Contextualisée : les leurres doivent résonner avec le quotidien des collaborateurs
- Continue : un effort ponctuel ne crée pas de réflexe durable
- Mesurée sur le bon KPI : le signalement, pas le clic
Et surtout, elle ne fonctionne que si elle s’appuie sur une équipe complète : sensibilisation, communication, RH, management de proximité. La cybersécurité ne peut pas rester confinée à la DSI.
Projet réalisé en contexte professionnel dans un grand groupe de transport. Certaines données ont été anonymisées ou agrégées.