Tinynews

Le blog belge connecté

Humeurs 

Congés annulés, salaires envolés : quand les faux e-mails RH font encore la loi en 2025

Bertrand

Des millions de tests confirment une vérité gênante : un message RH bien formulé fait toujours cliquer

Quand le salaire d’un député,Mathieu Michel, se retrouve par erreur sur le compte d’un cybercriminel, on parle d’« incident ». Quand la même mécanique piège des milliers de travailleurs, on parle de tendance. Selon une analyse menée par l’entreprise belge de cybersécurité Phished, les faux e-mails se faisant passer pour les ressources humaines restent, en 2025, parmi les outils préférés des cybercriminels.

L’étude s’appuie sur plus de 7 millions de simulations de phishing envoyées cette année à environ 500.000 travailleurs belges. Le constat est sans appel : face à un e-mail RH frauduleux, près d’un employé sur trois finit par cliquer, répondre ou agir. Preuve que le mot « ressources humaines » déclenche parfois plus de sueurs froides qu’un pare-feu mal configuré.

Les scénarios utilisés sont aussi variés que redoutablement efficaces : congés mystérieusement modifiés, fiches de paie « corrigées », demandes urgentes concernant le salaire, ou encore lettres de licenciement surgissant sans prévenir. Dans ce contexte, beaucoup réagissent vite. Trop vite. La réflexion, elle, prend souvent un congé sans solde.

Quand le cerveau panique avant l’antivirus

Si ces messages fonctionnent aussi bien, ce n’est pas par magie noire mais par psychologie basique. Le salaire, les congés, le télétravail ou le statut professionnel touchent directement à la stabilité quotidienne. Un mail ayant comme titre « Refus de votre note de frais : Carte bloquée » ou « Mise à jour urgente de votre contrat » suffit à faire monter le stress plus vite qu’un lundi matin sans café.

Et ce levier émotionnel ne se limite pas aux RH. Les e-mails parlant d’amendes, de taxes ou d’infractions routières utilisent exactement la même recette : urgence, inquiétude et une petite voix intérieure qui murmure « je vais regarder vite fait ».

Selon Manon Vandebergh, COO de Phished, cette efficacité s’explique aussi par l’évolution des moyens techniques. Grâce à l’intelligence artificielle, les cybercriminels peuvent désormais produire des e-mails crédibles, personnalisés, sans fautes et envoyés à grande échelle. Depuis la popularisation des outils génératifs, le phishing a gagné en qualité ce qu’il a perdu en subtilité.

Les sujets qui font le plus déraper en 2025

Les simulations réalisées cette année* permettent d’identifier les thèmes qui déclenchent le plus souvent des clics malheureux** :

  • Congés et rémunération : 31,5 %

  • Changements de politiques internes : 24,7 %

  • Documents et communications RH : 18,1 %

  • Amendes, taxes et infractions : 16,7 %

  • Demandes de signature de documents : 9,2 %

Autrement dit, plus le message touche au portefeuille ou aux vacances, plus la prudence prend des RTT.

Cliquer, blâmer, recommencer

Pour limiter les dégâts, beaucoup d’entreprises organisent des campagnes de phishing simulées. Lorsqu’un employé se fait piéger, un message apparaît immédiatement pour signaler l’erreur. Cette méthode, souvent surnommée « click & blame », est devenue un grand classique.

Phished en pointe toutefois les limites. Des recherches académiques récentes*** montrent que cette approche ne forme réellement que ceux qui se trompent, tandis que la majorité des collaborateurs passe entre les mailles du filet. De plus, recevoir un avertissement en pleine gestion de mails urgents n’est pas exactement le moment idéal pour méditer sur la cybersécurité.

La vigilance, un sport d’endurance

Pour l’entreprise, renforcer la cyberrésilience ne se fait pas à coups de rappels occasionnels. Une sensibilisation continue, intégrée dans le temps, reste indispensable. Les employés doivent apprendre à repérer les signaux suspects, à réagir correctement en cas de doute et surtout à garder leur calme quand un e-mail tente de jouer sur la peur ou l’urgence.

Dans un contexte où la cybercriminalité pèse de plus en plus lourd sur l’économie, Phished rappelle qu’espérer régler le problème avec quelques simulations isolées revient à installer une alarme… sans jamais apprendre aux occupants à s’en servir.

 

 

* Source : analyse des simulations Phished 2025
** Pourcentage de personnes qui, dans un message frauduleux, cliquent sur un lien, ouvrent une pièce jointe ou partagent des données professionnelles ou personnelles
*** Understanding the efficacy of phishing training in practice (8-month randomized controlled study, UC San Diego Health). University of California, San Diego & UC San Diego Health

Bertrand

Bertrand

Explorateur d'Internet depuis 1995 et toujours à la recherche de la prochaine terre promise connectée. Mangeur de chocolat, fan de cuisine, de rando et de Kindle.