Quand le salaire d’un député,Mathieu Michel, se retrouve par erreur sur le compte d’un cybercriminel, on parle d’« incident ». Quand la même mécanique piège des milliers de travailleurs, on parle de tendance. Selon une analyse menée par l’entreprise belge de cybersécurité Phished, les faux e-mails se faisant passer pour les ressources humaines restent, en 2025, parmi les outils préférés des cybercriminels.
L’étude s’appuie sur plus de 7 millions de simulations de phishing envoyées cette année à environ 500.000 travailleurs belges. Le constat est sans appel : face à un e-mail RH frauduleux, près d’un employé sur trois finit par cliquer, répondre ou agir. Preuve que le mot « ressources humaines » déclenche parfois plus de sueurs froides qu’un pare-feu mal configuré.
Les scénarios utilisés sont aussi variés que redoutablement efficaces : congés mystérieusement modifiés, fiches de paie « corrigées », demandes urgentes concernant le salaire, ou encore lettres de licenciement surgissant sans prévenir. Dans ce contexte, beaucoup réagissent vite. Trop vite. La réflexion, elle, prend souvent un congé sans solde.
Si ces messages fonctionnent aussi bien, ce n’est pas par magie noire mais par psychologie basique. Le salaire, les congés, le télétravail ou le statut professionnel touchent directement à la stabilité quotidienne. Un mail ayant comme titre « Refus de votre note de frais : Carte bloquée » ou « Mise à jour urgente de votre contrat » suffit à faire monter le stress plus vite qu’un lundi matin sans café.
Et ce levier émotionnel ne se limite pas aux RH. Les e-mails parlant d’amendes, de taxes ou d’infractions routières utilisent exactement la même recette : urgence, inquiétude et une petite voix intérieure qui murmure « je vais regarder vite fait ».
Selon Manon Vandebergh, COO de Phished, cette efficacité s’explique aussi par l’évolution des moyens techniques. Grâce à l’intelligence artificielle, les cybercriminels peuvent désormais produire des e-mails crédibles, personnalisés, sans fautes et envoyés à grande échelle. Depuis la popularisation des outils génératifs, le phishing a gagné en qualité ce qu’il a perdu en subtilité.
Les simulations réalisées cette année* permettent d’identifier les thèmes qui déclenchent le plus souvent des clics malheureux** :
Congés et rémunération : 31,5 %
Changements de politiques internes : 24,7 %
Documents et communications RH : 18,1 %
Amendes, taxes et infractions : 16,7 %
Demandes de signature de documents : 9,2 %
Autrement dit, plus le message touche au portefeuille ou aux vacances, plus la prudence prend des RTT.
Pour limiter les dégâts, beaucoup d’entreprises organisent des campagnes de phishing simulées. Lorsqu’un employé se fait piéger, un message apparaît immédiatement pour signaler l’erreur. Cette méthode, souvent surnommée « click & blame », est devenue un grand classique.
Phished en pointe toutefois les limites. Des recherches académiques récentes*** montrent que cette approche ne forme réellement que ceux qui se trompent, tandis que la majorité des collaborateurs passe entre les mailles du filet. De plus, recevoir un avertissement en pleine gestion de mails urgents n’est pas exactement le moment idéal pour méditer sur la cybersécurité.
Pour l’entreprise, renforcer la cyberrésilience ne se fait pas à coups de rappels occasionnels. Une sensibilisation continue, intégrée dans le temps, reste indispensable. Les employés doivent apprendre à repérer les signaux suspects, à réagir correctement en cas de doute et surtout à garder leur calme quand un e-mail tente de jouer sur la peur ou l’urgence.
Dans un contexte où la cybercriminalité pèse de plus en plus lourd sur l’économie, Phished rappelle qu’espérer régler le problème avec quelques simulations isolées revient à installer une alarme… sans jamais apprendre aux occupants à s’en servir.
* Source : analyse des simulations Phished 2025
** Pourcentage de personnes qui, dans un message frauduleux, cliquent sur un lien, ouvrent une pièce jointe ou partagent des données professionnelles ou personnelles
*** Understanding the efficacy of phishing training in practice (8-month randomized controlled study, UC San Diego Health). University of California, San Diego & UC San Diego Health
https://www.youtube.com/watch?v=Sja3pxedlLs Voyager léger, c’est bien. Voyager connecté, c’est mieux. Voyager connecté sans transformer sa chambre d’hôtel en LAN party improvisée,…
À première vue, les écouteurs à conduction osseuse ressemblent à un accessoire sorti d’un film de science-fiction à petit budget.…
Voici une histoire qui commence comme un roman d’entreprise et finit comme une série télé absurde: la société qui a…
Soyons francs : à la première lecture, ces histoires de Squads, Tribes, Chapters et Guildes m’ont laissé aussi perplexe qu'un…
Apple a déployé aujourd’hui iOS 26.2, une mise à jour gratuite pour iPhone compatible avec les modèles récents (iPhone 11 et ultérieurs…
Brancher sa voiture chez soi, c’est séduisant. Brancher une borne 11 kW sans réfléchir, c’est parfois inviter un électricien, un…
