Questions Fréquentes
Trouvez rapidement des réponses à vos questions techniques et administratives.
Pour une PME de 20 à 50 collaborateurs, le programme type se déroule sur 3 à 6 mois :
- Semaine 1 : mise en place de PhishTrainer, envoi de la première campagne de phishing de référence (baseline).
- Mois 1-2 : accès Bexxo Academy pour tous les collaborateurs, modules d'initiation (30 à 45 min par module).
- Mois 3-6 : campagnes de phishing mensuelles, rappels ciblés pour les collaborateurs à risque, rapport de progression.
La mise en place est assurée par Bexxo — aucune compétence technique interne requise. Le temps d'administration mensuel est inférieur à 2 heures pour le responsable RH ou IT.
Le simulateur de phishing est intégré à Bexxo Academy et fonctionne en synergie avec PhishTrainer, notre logiciel dédié. Des campagnes d'emails frauduleux simulées sont envoyées aux collaborateurs — sans danger réel. Les clics et actions sont enregistrés, et chaque collaborateur ayant cliqué reçoit immédiatement une formation corrective. Les managers accèdent à des rapports détaillés par service ou équipe pour cibler les actions de formation. Les emails de phishing générés par IA ont un taux de clic 4 fois supérieur aux emails manuels (APWG / Keepnet 2025).
En quelques clics, vous configurez une campagne : sélection des destinataires, choix d'un template d'email frauduleux (fausse connexion Microsoft, livraison de colis, demande RH…), définition du timing. Les emails sont envoyés aux collaborateurs. Chaque action est enregistrée : ouverture, clic sur un lien, saisie de données. Les collaborateurs ayant interagi reçoivent immédiatement un message éducatif. Un tableau de bord détaillé présente les résultats par équipe, service ou département.
La formation théorique seule ne suffit pas : les études montrent que les collaborateurs oublient 70 % du contenu d'une formation dans la semaine qui suit (Ebbinghaus, répété dans de nombreuses études e-learning). L'approche la plus efficace combine simulation et formation corrective : envoyer de vraies campagnes de phishing simulé (via PhishTrainer), identifier les collaborateurs qui cliquent, puis les rediriger automatiquement vers une formation ciblée (Bexxo Academy). Cette méthode réduit le taux de clic de 60 à 70 % en six mois (Proofpoint 2024). Les simulations régulières (4 à 6 par an) maintiennent le niveau de vigilance dans la durée.
L'IA générative a radicalement changé la menace phishing depuis 2023. Trois évolutions majeures :
- Emails parfaitement rédigés — fini les fautes d'orthographe qui permettaient de détecter un phishing. Les LLMs génèrent des emails en français impeccable, adaptés au ton de l'entreprise visée. Les emails générés par IA ont un taux de clic 4 fois supérieur aux emails manuels (APWG / Keepnet 2025).
- Personnalisation à grande échelle — l'IA peut analyser le profil LinkedIn, les posts publics et le site web d'une cible pour créer un spear phishing ultra-réaliste en quelques secondes. Ce qui prenait des heures à un attaquant humain prend maintenant quelques secondes.
- Deepfakes vocaux et vidéo — des appels vishing imitant la voix d'un dirigeant ou des vidéoconférences entières avec des avatars deepfake ont déjà été utilisés pour déclencher des virements frauduleux (cas documentés en 2024 à Hong Kong : 25 millions USD perdus).
PhishTrainer génère des rapports détaillés après chaque campagne : taux d'ouverture, taux de clic, taux de saisie de données — par équipe, service et collaborateur. En multipliant les campagnes sur 6 à 12 mois, vous observez la progression : les entreprises qui simulent régulièrement réduisent de 60 à 70 % leur taux de clic moyen (Proofpoint 2024). Ces rapports documentent l'évolution de la maturité cybersécurité de votre organisation et peuvent être présentés lors d'audits internes ou de contrôles PFPDT.
L'efficacité d'une formation cybersécurité se mesure concrètement avec des indicateurs comportementaux :
- Taux de clics sur phishing simulé — avant/après formation. Un bon programme réduit ce taux de plus de 70 % en 6 mois.
- Taux de signalement — nombre de collaborateurs qui signalent activement une tentative de phishing suspecte.
- Score de complétion Academy — pourcentage de modules terminés et résultats aux quiz.
- Évolution dans le temps — tableau de bord PhishTrainer avec historique sur 12 mois.
Ces métriques sont disponibles dans le tableau de bord Bexxo et exportables pour les rapports de conformité nLPD.
Deux options : accès direct à la plateforme en ligne (academy.bexxo.ch) avec création de comptes pour vos collaborateurs et tableau de bord de suivi ; ou formation sur mesure en présentiel dans nos locaux à Ins (BE) ou directement dans votre entreprise. Contactez-nous via le formulaire de cette page pour un entretien gratuit sans engagement — nous définissons ensemble le programme adapté à votre taille et vos objectifs.
Les principaux signaux d'alerte sont : une adresse d'expéditeur légèrement différente de l'original (ex. support@rnazonl.com au lieu de @amazon.com), un sentiment d'urgence ou de menace poussant à agir vite, une demande de mot de passe ou d'informations bancaires, une URL de lien qui ne correspond pas au site attendu (survolez avant de cliquer), des fautes d'orthographe ou de mise en page. Attention : les emails générés par IA sont désormais parfaitement rédigés — la grammaire seule ne suffit plus à les détecter.
Non. Les parcours de Bexxo Academy sont conçus pour être accessibles à tous les niveaux, du collaborateur sans formation informatique au responsable IT. Chaque parcours s'adapte au profil du participant. Les modules courts (10 à 20 minutes) s'intègrent facilement dans une journée de travail sans perturbation.
Oui, dans la très grande majorité des cas. Même si un attaquant obtient votre mot de passe via une page de phishing, il ne peut pas se connecter sans le deuxième facteur (code SMS, application d'authentification, clé physique). La MFA bloque 99,9 % des attaques automatisées sur les comptes (Microsoft 2024). La seule exception est le phishing en temps réel (attaque MITM / Adversary-in-the-Middle) qui intercepte le code MFA dans le même instant — ce vecteur reste marginal pour les PME. La recommandation : activer la MFA sur tous les comptes professionnels sans exception.
La nLPD (loi fédérale suisse sur la protection des données, en vigueur depuis septembre 2023) exige que les entreprises mettent en place des mesures organisationnelles pour protéger les données personnelles. La formation du personnel est explicitement recommandée par le Préposé fédéral à la protection des données (PFPDT) comme mesure organisationnelle essentielle. En cas de violation de données, l'absence de formation documentée peut aggraver la responsabilité de l'entreprise. Bexxo fournit un rapport de suivi qui sert de preuve de diligence lors d'un contrôle PFPDT. Amendes jusqu'à 250 000 CHF pour les responsables du traitement en cas de manquement.
La nLPD (nouvelle Loi sur la Protection des Données, en vigueur depuis septembre 2023) impose des mesures organisationnelles de protection des données, dont la sensibilisation des collaborateurs aux risques. Si une violation de données survient et que l'entreprise ne peut pas démontrer qu'elle a formé ses équipes, elle s'expose à des amendes jusqu'à 250 000 CHF. Les rapports de formation générés par Bexxo Academy servent de preuve de diligence en cas de contrôle du PFPDT.
Oui. La nLPD (nouvelle Loi sur la Protection des Données, en vigueur depuis septembre 2023) impose des mesures organisationnelles de sécurité, dont la sensibilisation des collaborateurs aux risques. En cas de violation de données, une entreprise qui ne peut pas démontrer qu'elle a formé ses équipes s'expose à des amendes pouvant atteindre 250 000 CHF. Les rapports de campagne PhishTrainer servent de preuve de diligence : ils documentent les simulations effectuées, les taux de clic par période, et les actions correctrices mises en place.
Oui, et ils peuvent être plus efficaces, précisément parce que les gens s'y attendent moins.
Smishing (SMS) : les SMS ont un taux d'ouverture supérieur à 90 %, contre 20 à 30 % pour les emails. Les messages imitent typiquement une alerte de livraison (La Poste, DHL), un avertissement bancaire ou un message de l'administration. Le lien redirige vers une fausse page de connexion. Sur mobile, l'URL est souvent tronquée et difficile à vérifier.
Vishing (vocal) : l'attaquant appelle directement sa victime en se faisant passer pour le support IT, une banque, ou Microsoft. La pression en temps réel et la voix humaine contournent les défenses habituelles. Les deepfakes vocaux générés par IA permettent désormais d'imiter la voix d'un collègue ou d'un dirigeant connu.
La règle d'or dans les deux cas : ne jamais fournir d'informations sensibles suite à un message ou appel non sollicité — rappeler directement l'organisme via un numéro officiel connu.
Smishing (SMS) : les SMS ont un taux d'ouverture supérieur à 90 %, contre 20 à 30 % pour les emails. Les messages imitent typiquement une alerte de livraison (La Poste, DHL), un avertissement bancaire ou un message de l'administration. Le lien redirige vers une fausse page de connexion. Sur mobile, l'URL est souvent tronquée et difficile à vérifier.
Vishing (vocal) : l'attaquant appelle directement sa victime en se faisant passer pour le support IT, une banque, ou Microsoft. La pression en temps réel et la voix humaine contournent les défenses habituelles. Les deepfakes vocaux générés par IA permettent désormais d'imiter la voix d'un collègue ou d'un dirigeant connu.
La règle d'or dans les deux cas : ne jamais fournir d'informations sensibles suite à un message ou appel non sollicité — rappeler directement l'organisme via un numéro officiel connu.