La durée dépend du forfait et de la taille de l'infrastructure :

• Essentiel : 1 à 2 jours ouvrés pour un réseau de moins de 50 équipements.
• Avancé : 3 à 5 jours ouvrés selon la complexité de la topologie.
• Premium : 1 à 2 semaines pour une infrastructure multi-sites ou une architecture complexe (VPN, cloud hybride, OT/IT).

Le rapport est remis dans ce délai, avec une séance de présentation incluse pour le forfait Premium.

De 2 à 10 jours ouvrés selon le forfait et la taille de l'infrastructure. Le forfait Essentiel prend 2 à 3 jours, le Standard 3 à 7 jours, le Premium 5 à 10 jours. Vous recevez un rapport détaillé avec un plan d'action priorisé par criticité à la fin de l'audit.

De 2 à 10 jours ouvrés selon le forfait et la complexité du site. Le forfait Essentiel prend 2 à 3 jours, le Standard 3 à 7 jours, le Premium 5 à 10 jours. Vous recevez un rapport détaillé avec un plan d'action priorisé à la fin de l'audit.

L'intervention initiale commence dans les 2 heures suivant le contact. La durée totale de récupération varie de 24 heures (données accessibles via sauvegardes intactes) à 5 à 10 jours ouvrés pour des cas complexes nécessitant extraction forensique ou déchiffrement avancé. Un bilan précis est fourni après la phase d'analyse initiale, avant tout engagement.

Pour une PME de 20 à 50 collaborateurs, le programme type se déroule sur 3 à 6 mois :

• Semaine 1 : mise en place de PhishTrainer, envoi de la première campagne de phishing de référence (baseline).
• Mois 1-2 : accès Bexxo Academy pour tous les collaborateurs, modules d'initiation (30 à 45 min par module).
• Mois 3-6 : campagnes de phishing mensuelles, rappels ciblés pour les collaborateurs à risque, rapport de progression.

La mise en place est assurée par Bexxo — aucune compétence technique interne requise. Le temps d'administration mensuel est inférieur à 2 heures pour le responsable RH ou IT.

En moyenne 6 à 12 mois pour une PME suisse, selon la maturité existante. Le processus comprend l'analyse des écarts (1-2 mois), la mise en place du SGSI (3-6 mois), l'audit interne (1 mois) et l'audit de certification (1-2 mois). Bexxo accompagne ses clients sur l'ensemble de ce parcours.

Nous identifions les enjeux et la marge de manœuvre, évaluons les risques et privilégions le dialogue pour obtenir la meilleure issue possible, tout en limitant les coûts et les risques juridiques.

Nous procédons à une évaluation complète de votre situation, nous identifions les écarts et proposons un plan d’action concret pour aligner vos pratiques sur les standards requis.

La nLPD exige des mesures techniques appropriées pour protéger les données. La surveillance des vulnérabilités fait partie de ces mesures : identifier et corriger les failles de vos systèmes démontre une gestion proactive de la sécurité. CVE Find fournit la traçabilité nécessaire en cas de contrôle du PFPDT.

CVE Find est l'outil de surveillance des vulnérabilités de Bexxo. Il agrège trois sources de référence mondiale : (1) le programme CVE de MITRE, qui attribue un identifiant unique à chaque vulnérabilité connue (250 000+ CVE publiés) ; (2) la National Vulnerability Database (NVD) du NIST, qui enrichit chaque CVE avec un score CVSS de 0 à 10 et des données techniques détaillées ; (3) le KEV Catalog de la CISA, qui liste les vulnérabilités activement exploitées dans des attaques réelles. Cette combinaison permet à CVE Find d'alerter nos clients non seulement sur les nouvelles vulnérabilités, mais en priorité sur celles qui représentent un risque d'exploitation immédiat.

Le simulateur de phishing est intégré à Bexxo Academy et fonctionne en synergie avec PhishTrainer, notre logiciel dédié. Des campagnes d'emails frauduleux simulées sont envoyées aux collaborateurs — sans danger réel. Les clics et actions sont enregistrés, et chaque collaborateur ayant cliqué reçoit immédiatement une formation corrective. Les managers accèdent à des rapports détaillés par service ou équipe pour cibler les actions de formation. Les emails de phishing générés par IA ont un taux de clic 4 fois supérieur aux emails manuels (APWG / Keepnet 2025).

Vous configurez la liste des produits et technologies que vous utilisez (serveurs, CMS, librairies, équipements réseau). CVE Find surveille en continu la base MITRE et vous alerte par email ou SMS dès qu'une nouvelle vulnérabilité concerne l'un de vos produits, avec le score de gravité et les recommandations de correctif.

En quelques clics, vous configurez une campagne : sélection des destinataires, choix d'un template d'email frauduleux (fausse connexion Microsoft, livraison de colis, demande RH…), définition du timing. Les emails sont envoyés aux collaborateurs. Chaque action est enregistrée : ouverture, clic sur un lien, saisie de données. Les collaborateurs ayant interagi reçoivent immédiatement un message éducatif. Un tableau de bord détaillé présente les résultats par équipe, service ou département.

La formation théorique seule ne suffit pas : les études montrent que les collaborateurs oublient 70 % du contenu d'une formation dans la semaine qui suit (Ebbinghaus, répété dans de nombreuses études e-learning). L'approche la plus efficace combine simulation et formation corrective : envoyer de vraies campagnes de phishing simulé (via PhishTrainer), identifier les collaborateurs qui cliquent, puis les rediriger automatiquement vers une formation ciblée (Bexxo Academy). Cette méthode réduit le taux de clic de 60 à 70 % en six mois (Proofpoint 2024). Les simulations régulières (4 à 6 par an) maintiennent le niveau de vigilance dans la durée.

L'IA générative a radicalement changé la menace phishing depuis 2023. Trois évolutions majeures :

• Emails parfaitement rédigés — fini les fautes d'orthographe qui permettaient de détecter un phishing. Les LLMs génèrent des emails en français impeccable, adaptés au ton de l'entreprise visée. Les emails générés par IA ont un taux de clic 4 fois supérieur aux emails manuels (APWG / Keepnet 2025).
• Personnalisation à grande échelle — l'IA peut analyser le profil LinkedIn, les posts publics et le site web d'une cible pour créer un spear phishing ultra-réaliste en quelques secondes. Ce qui prenait des heures à un attaquant humain prend maintenant quelques secondes.
• Deepfakes vocaux et vidéo — des appels vishing imitant la voix d'un dirigeant ou des vidéoconférences entières avec des avatars deepfake ont déjà été utilisés pour déclencher des virements frauduleux (cas documentés en 2024 à Hong Kong : 25 millions USD perdus).

La conséquence directe : la vigilance humaine seule ne suffit plus. La simulation régulière (PhishTrainer) et la formation continue (Bexxo Academy) sont indispensables pour maintenir un niveau de défense adapté à la menace actuelle.