Le dernier rapport de KnowBe4 alerte sur l’efficacité redoutable des e-mails qui usurpent les services RH ou IT. Une faille humaine préoccupante persiste.
Les résultats du rapport KnowBe4 pour le 1er trimestre 2025 révèlent une vulnérabilité persistante : les e-mails qui usurpent les services RH ou IT restent les plus efficaces pour piéger les salariés. Une faille humaine préoccupante qui souligne l’urgence de renforcer la culture de vigilance en entreprise face au phishing.
Les faux messages RH, talon d’Achille des entreprises
KnowBe4, spécialiste mondial de la cybersécurité comportementale, vient de publier son rapport trimestriel sur les attaques par phishing. Et les résultats sont sans appel : les employés restent massivement vulnérables aux messages prétendument envoyés par leur entreprise. Près des deux tiers des clics recensés lors de simulations proviennent de mails qui se font passer pour des communications internes — dont 49,7 % au nom des ressources humaines.
La plateforme HRM+ de KnowBe4, qui centralise les résultats des tests de phishing effectués entre janvier et mars 2025, montre à quel point les cybercriminels savent jouer sur les automatismes des salariés. Rappels de formations, alertes informatiques, liens Zoom envoyés par un manager : des objets d’apparence banale mais redoutablement efficaces. Ce point soulève une vraie question : les entreprises forment-elles suffisamment leurs collaborateurs à reconnaître les signaux faibles de l’usurpation numérique ?
Un camouflage de plus en plus sophistiqué
Ce rapport met aussi en lumière les techniques les plus employées par les attaquants. Les liens intégrés aux mails restent le moyen d’attaque privilégié, avec 61,6 % des utilisateurs piégés par des URL évoquant des services internes ou des marques familières. L’usurpation de domaine — ou “spoofing” — est, quant à elle, utilisée dans près de 69 % des campagnes de phishing.
À cela s’ajoute une tendance montante : les QR codes malveillants. Ces visuels, désormais banalisés dans les usages professionnels, servent aujourd’hui de vecteur d’infection discret. Parmi les campagnes les plus performantes détectées au 1er trimestre figurent des messages qui annoncent une nouvelle politique RH (14,7 % de clics), une signature électronique DocuSign (13,7 %), ou encore une carte d’anniversaire d’entreprise (12,7 %). Autant de scénarios simples, mais percutants. Du côté des pièces jointes, les PDF restent les plus ouverts (53 %), devant les fichiers HTML et Word. Cela confirme que les cybercriminels privilégient les formats les plus familiers.
Une urgence culturelle plus que technologique
Pour Stu Sjouwerman, PDG de KnowBe4, cette situation souligne avant tout la nécessité d’un changement profond dans la posture des entreprises : « Les cybercriminels savent que les employés réagissent instinctivement aux messages émanant des RH ou du service IT, et qu’ils font confiance aux marques qu’ils utilisent quotidiennement. »
Ce constat pousse à repenser la sécurité au-delà des seuls outils techniques. La culture de vigilance doit devenir un réflexe collectif. Cela passe par des formations continues, mais aussi par la légitimation du doute : autoriser et encourager les salariés à remettre en question l’authenticité d’un message, même émis par un supérieur ou un département clé. En réalité, les attaques les plus efficaces ne sont plus celles qui exploitent les failles techniques, mais celles qui manipulent les mécanismes psychologiques. Un terrain sur lequel les entreprises doivent, désormais, se montrer aussi stratèges que leurs adversaires.
Article basé sur un communiqué de presse reçu par la rédaction.
