Oui. PhishTrainer est 100 % suisse : développé par Bexxo (Ins, canton de Berne) et hébergé sur des serveurs en Suisse. Aucun transfert de données à l'étranger. Les données de vos collaborateurs et les résultats de campagnes restent sur le territoire suisse, conformément aux exigences de la nLPD. PhishTrainer propose en option un chiffrement côté client (client-side encryption) : les données sont chiffrées dans le navigateur de l'utilisateur avant d'être transmises à nos serveurs. Concrètement, même notre infrastructure ne peut pas accéder aux données en clair — c'est une garantie de confidentialité maximale que peu d'outils de simulation peuvent offrir.

Former le personnel à la cybersécurité est crucial, car l’humain reste le maillon le plus vulnérable dans la majorité des incidents de sécurité. Qu’il s’agisse d’un clic sur un lien de phishing, d’un mot de passe trop faible ou du partage involontaire d’informations sensibles, les erreurs humaines sont à l’origine de nombreuses compromissions.

Une bonne formation permet aux collaborateurs de reconnaître les menaces, d’adopter des comportements sûrs au quotidien (gestion des mots de passe, vigilance face aux emails suspects, respect des procédures), et de réagir correctement en cas de doute. Cela renforce la posture de sécurité globale de l’entreprise et réduit significativement le risque d’attaque réussie.

Bexxo Academy (academy.bexxo.ch) est la plateforme de formation cybersécurité de Bexxo, dédiée aux PME suisses, à leurs employés et au grand public. Elle propose des modules interactifs, des simulateurs de phishing, des quiz, des vidéos et des jeux pédagogiques, accessibles 24h/24 depuis n'importe quel appareil. Elle se complète par des sessions en présentiel dans les locaux Bexxo à Ins (BE), jusqu'à 20 personnes.

PhishTrainer est un logiciel suisse de simulation de phishing développé par Bexxo. Il envoie de vraies campagnes d'emails frauduleux simulées aux collaborateurs d'une entreprise — sans risque réel — pour tester leur vigilance, identifier les profils vulnérables et mesurer l'efficacité des formations. Les données restent hébergées en Suisse, conformément à la nLPD. PhishTrainer fonctionne en synergie avec Bexxo Academy, la plateforme e-learning de Bexxo.

La formation cybersécurité en entreprise est un programme structuré qui apprend aux collaborateurs à reconnaître et à éviter les cybermenaces quotidiennes : phishing, ingénierie sociale, mots de passe faibles, comportements à risque. Contrairement aux solutions purement techniques, elle s'adresse à la principale vulnérabilité des organisations : l'humain. Chez Bexxo, la formation combine simulation réelle via PhishTrainer (campagnes de faux e-mails de phishing) et apprentissage interactif via Bexxo Academy (modules, quiz, vidéos). 68 % des violations de données impliquent l'erreur humaine (Verizon DBIR 2024).

Le phishing (ou hameçonnage) est une technique de fraude en ligne qui consiste à envoyer des emails, SMS ou messages qui imitent des communications légitimes (banque, administration, employeur) pour tromper la victime et lui soutirer des informations confidentielles — mots de passe, données bancaires, identifiants professionnels. Le phishing est le vecteur d'entrée le plus utilisé : 91 % des cyberattaques commencent par un email frauduleux (Proofpoint 2024).

Le spear phishing est une variante ciblée du phishing classique : au lieu d'envoyer des millions d'emails génériques, les attaquants personnalisent l'attaque en utilisant des informations réelles sur la victime (nom du responsable, projet en cours, nom d'un fournisseur). Ce ciblage rend l'email beaucoup plus crédible. Le spear phishing représente 66 % des violations de données confirmées (Verizon DBIR 2024). Avec l'IA, les attaquants peuvent désormais générer ces emails personnalisés à grande échelle — le coût d'une attaque ciblée a considérablement baissé.

Agissez immédiatement : (1) déconnectez-vous du réseau de l'entreprise (Wi-Fi, câble) ; (2) signalez l'incident à votre service informatique ou responsable sécurité sans attendre — par téléphone, pas par email ; (3) changez votre mot de passe depuis un autre appareil sécurisé ; (4) ne supprimez pas l'email suspect, il sert à l'analyse forensique ; (5) activez la MFA si ce n'est pas encore fait. Plus vous agissez vite, plus les dégâts peuvent être limités.

La formation en ligne (academy.bexxo.ch) est accessible 24h/24, individuelle et à progression libre — idéale pour la sensibilisation régulière, le suivi continu et les équipes géographiquement dispersées. Les sessions en présentiel à Ins (BE) sont recommandées lorsque vous souhaitez former un groupe de 5 à 20 personnes simultanément, réaliser des ateliers interactifs avec mises en situation réelles, ou ancrer une culture de sécurité lors d'un événement d'entreprise (séminaire, journée thématique). Pour les équipes de plus de 10 personnes, nous recommandons généralement une combinaison : sensibilisation initiale en ligne, puis session présentiel pour consolider les acquis et traiter les cas spécifiques à votre organisation.

Ce sont deux outils complémentaires :

• PhishTrainer agit par la pratique : il envoie de faux e-mails de phishing à vos collaborateurs et mesure qui clique, qui signale l'attaque. C'est l'approche comportementale — apprendre par l'expérience. Le tableau de bord donne le taux de clics, le taux de signalement et l'évolution dans le temps.
• Bexxo Academy agit par la connaissance : modules vidéo, quiz interactifs, jeux pédagogiques sur les cybermenaces. Accessible 24h/24 en ligne, complété par des sessions en présentiel à Ins (BE). Idéal pour l'intégration des nouveaux collaborateurs et la mise à jour des connaissances.

Les deux outils ensemble couvrent la boucle complète : sensibiliser → tester → mesurer → améliorer.

PhishTrainer et Bexxo Academy sont deux outils complémentaires : PhishTrainer teste (simulation d'attaques, identification des vulnérabilités, mesure du taux de clic), Bexxo Academy forme (modules e-learning, quiz, vidéos, sessions présentiel). Ils fonctionnent en synergie : les résultats de PhishTrainer identifient les équipes ou profils à risque, Bexxo Academy fournit les parcours de formation adaptés. Pour une protection efficace, Bexxo recommande d'utiliser les deux outils ensemble selon la méthode Simuler → Former → Mesurer.

La sensibilisation vise à diffuser une culture générale de la sécurité, accessible à tous les collaborateurs, quels que soient leur métier ou leur niveau technique. Elle couvre des sujets concrets : phishing, mots de passe, mobilité, réseaux sociaux, vigilance en télétravail, etc. L’objectif est de rendre chacun acteur de la sécurité dans ses usages quotidiens.

La formation technique, quant à elle, s’adresse à des profils plus spécialisés (équipes IT, devs, admins) et porte sur des compétences spécifiques comme le durcissement de systèmes, le développement sécurisé, ou la gestion des incidents. Elle demande souvent des prérequis et vise à renforcer la sécurité par la maîtrise technique.

Si un incident de sécurité survient à cause d’un comportement à risque d’un employé mal informé, l’entreprise reste en grande partie responsable. La loi, et notamment la nLPD en Suisse et le RGPD en Europe, impose aux organisations de prendre les mesures nécessaires pour protéger les données et réduire les risques. Cela inclut la formation et la sensibilisation du personnel.

En cas de litige ou d’enquête, une entreprise incapable de démontrer qu’elle a mis en place des actions de prévention (comme des formations régulières, des campagnes de sensibilisation ou des rappels de bonnes pratiques) pourrait être jugée négligente. Cela peut entraîner des amendes, une atteinte à la réputation, et une perte de confiance de la part des clients et partenaires.

Il existe 6 formes principales de phishing :

• Phishing classique — emails de masse imitant une banque, une livraison ou une administration. Plus de 3,4 milliards d'emails frauduleux envoyés chaque jour (Forbes 2024). Souvent reconnaissable aux fautes et à l'urgence artificielle.
• Spear phishing — attaque ciblée sur une personne précise, avec des informations réelles (nom du responsable, projet en cours). Représente 66 % des violations confirmées (Verizon DBIR 2024).
• Whaling — variante du spear phishing visant spécifiquement les dirigeants et cadres, pour accéder aux finances ou aux décisions stratégiques.
• Smishing — phishing par SMS. Imite généralement une alerte bancaire, une livraison de colis ou un service public. Le taux d'ouverture des SMS est supérieur à 90 % — ce vecteur est en forte croissance.
• Vishing — phishing vocal par téléphone. Le fraudeur se fait passer pour le support informatique, une banque ou une administration pour soutirer des informations ou déclencher une action immédiate.
• BEC (Business Email Compromise / Fraude au président) — usurpation d'identité d'un dirigeant ou partenaire pour ordonner un virement ou obtenir des données sensibles. Première source de pertes financières liées au cybercrime : 2,9 milliards USD en 2023 (FBI IC3 2024).

Le manque de sensibilisation expose l’entreprise à des risques très concrets : ouverture d’emails frauduleux, installation de logiciels malveillants, fuite de données, ou encore mauvaises pratiques comme l’utilisation de supports non chiffrés ou le partage de mots de passe. Ces erreurs peuvent conduire à des cyberattaques coûteuses, voire à des interruptions d’activité.

De plus, un personnel non sensibilisé peut devenir la porte d’entrée involontaire d’un ransomware, d’un vol de données ou d’un espionnage industriel. Dans un contexte de numérisation croissante, ignorer cet aspect revient à laisser une faille permanente dans la défense de l’entreprise.