Retour au blog

Comment documenter les simulations de phishing pour un audit NIS2

Une liste de vérification pratique des preuves pour les équipes de sécurité qui doivent démontrer une activité de sensibilisation récurrente sans exagérer ce que prouvent les simulations de phishing.

Par Équipe Autophish|Publié le 7/19/2026
Cover image for Comment documenter les simulations de phishing pour un audit NIS2

Si vous devez documenter des simulations de phishing pour un audit NIS2, l’objectif n’est pas de prouver qu’une seule campagne a rendu l’organisation conforme. L’objectif utile est plus restreint : montrer que l’activité de sensibilisation à la sécurité est planifiée, maîtrisée, répétée, revue et améliorée dans le temps.

Les simulations de phishing peuvent étayer cette démonstration, car elles laissent une trace visible du périmètre de formation, des retours des employés, des comportements de signalement, des actions de suivi et de la revue par la direction. Elles ne doivent pas être présentées, à elles seules, comme un contrôle NIS2 complet. La conformité NIS2 dépend du cadre plus large de gouvernance, de gestion des risques, de traitement des incidents, des politiques, des contrôles techniques, de la supervision des fournisseurs et du modèle de responsabilisation qui entoure le programme.

Ce guide est strictement défensif. Il n’inclut pas de modèles de phishing, de tactiques de diffusion, d’étapes de collecte d’identifiants, de conseils de contournement ni d’instructions pour de vraies attaques.

Commencez par la question d’audit

Avant d’exporter des rapports, définissez la question à laquelle vos preuves doivent répondre. Pour la plupart des équipes sécurité et conformité, la question n’est pas « ont-ils cliqué ? ». Elle ressemble plutôt à ceci :

  • L’organisation a-t-elle mené des activités de sensibilisation selon une cadence définie ?
  • L’activité a-t-elle été approuvée et alignée sur la politique ?
  • Les employés ont-ils été couverts à un niveau pertinent ?
  • Les comportements à risque ont-ils été suivis d’un retour ou d’une formation ?
  • Les rapports et les résultats ont-ils été examinés par les responsables concernés ?
  • Le programme a-t-il été amélioré ou modifié en fonction des résultats ?
  • Les données des employés ont-elles été traitées de manière proportionnée ?

Ce cadrage compte, car un graphique de taux de clics est, à lui seul, une preuve fragile. Un rapport de simulation de phishing devient bien plus utile lorsqu’il s’inscrit dans un programme documenté : périmètre, approbations, conception de scénarios sûrs, paramètres de confidentialité, suivi de formation, notes de revue et données de tendance.

Le guide existant d’AutoPhish sur la sensibilisation à la sécurité NIS2 et les simulations de phishing explique où les simulations s’insèrent dans la conversation NIS2 plus large. Cet article se concentre sur le dossier de preuves.

Ce que NIS2 change réellement pour les preuves de sensibilisation

La directive NIS2 renforce les attentes en matière de gestion des risques cyber, de gouvernance, de traitement des incidents et de responsabilisation des entités concernées. Elle ne prescrit pas un format universel de simulation de phishing.

Cela signifie que les équipes sécurité doivent éviter des affirmations du type « ce test de phishing nous rend conformes à NIS2 ». Une affirmation plus sûre serait :

« Notre programme de simulation de phishing soutient les preuves de sensibilisation à la sécurité et de gestion des risques en documentant des activités récurrentes, les retours des employés, les comportements de signalement et la revue par la direction. »

Cette formulation est plus facile à défendre. Elle relie les simulations à la gouvernance sans prétendre qu’une plateforme de formation remplace une analyse juridique, une évaluation des risques, la réponse aux incidents, les contrôles d’accès ou les mesures de sécurité techniques.

Pour préparer l’audit, votre documentation doit montrer la maturité du processus plutôt qu’un simple coup d’éclat. Une campagne spectaculaire peut flatter un tableau de bord. Un programme régulier avec approbations, données de couverture, suivi et notes de revue est bien plus utile pour les parties prenantes de la conformité.

Constituez un dossier de preuves avant que l’auditeur ne le demande

Créez un dossier de preuves réutilisable pour chaque période de reporting. Gardez-le sobre, cohérent et facile à mettre à jour.

Les éléments utiles comprennent :

  • le nom du responsable du programme de sensibilisation et du réviseur
  • le calendrier ou la cadence approuvés des campagnes
  • la référence de la politique ou de la procédure relative aux simulations de phishing
  • le périmètre de la campagne, les dates et les groupes ciblés
  • la catégorie de scénario et la revue de sécurité
  • la communication ou l’avis aux employés, le cas échéant
  • les paramètres de confidentialité et de conservation
  • le résumé de diffusion et les éventuelles limites de diffusion connues
  • le taux de signalement, le délai de signalement et le taux de clôture du suivi
  • le contenu de formation affiché après les interactions à risque
  • les données de tendance agrégées sur plusieurs campagnes
  • les exceptions, exclusions et notes de remédiation
  • les notes et décisions de revue par la direction

Le dossier de preuves doit être compréhensible sans donner à un auditeur accès aux journaux d’événements bruts au niveau des employés. Des rapports agrégés suffisent souvent pour l’examen par la direction et la conformité. Les détails individuels devraient être limités aux personnes ayant un besoin opérationnel clairement défini.

Gardez la documentation des scénarios sûre et de haut niveau

Les preuves d’audit doivent décrire le thème du risque et l’objectif du contrôle, sans fournir de mode d’emploi réutilisable pour un attaquant.

Une bonne documentation de scénario pourrait dire :

  • « Scénario de sensibilisation au compromission de la messagerie d’entreprise à thème facture pour les utilisateurs finance »
  • « Scénario de sensibilisation aux QR codes pour les workflows centrés sur le mobile »
  • « Scénario de sensibilisation au partage de documents pour le risque lié aux outils de collaboration »
  • « Scénario de sensibilisation à la réinitialisation de mot de passe sans collecte réelle d’identifiants »

Évitez de stocker, dans les dossiers de conformité généraux, des détails inutiles pas à pas. Ne documentez pas de manière plus large que nécessaire les leurres exacts, les domaines, les mécanismes de page d’atterrissage ou le texte des messages, au-delà de ce que votre processus de sécurité interne exige. L’essentiel est de prouver que le scénario a été approuvé, sûr, pertinent et revu.

Si une simulation inclut des pages d’atterrissage, documentez clairement les garde-fous. Un programme plus sûr enregistre des événements de formation contrôlés et l’achèvement du retour d’information plutôt que de collecter de vrais mots de passe, codes MFA, jetons, données de paiement ou informations personnelles sensibles. Pour plus de détails, consultez le guide d’AutoPhish sur les pages d’atterrissage sûres pour les simulations de phishing.

Utilisez des indicateurs que les auditeurs et les dirigeants comprennent

Le taux de clics est familier, mais il peut être trompeur. Il ne doit pas être le seul indicateur dans un dossier de preuves NIS2.

Des indicateurs plus utiles incluent :

  • la couverture des utilisateurs sur la période de reporting
  • le taux de signalement des messages de simulation
  • le délai de signalement
  • le comportement de signalement avant clic
  • l’achèvement de la formation de suivi
  • les tendances de répétition des comportements à risque dans le temps
  • la qualité de la diffusion et les faux positifs
  • les actions d’amélioration créées après la revue

Les meilleurs indicateurs montrent une boucle d’apprentissage. Une campagne a eu lieu. Les employés ont reçu un retour. Les signalements ont été examinés. L’équipe a changé quelque chose. Les résultats suivants ont montré si le comportement s’est amélioré.

Le guide d’AutoPhish sur les fonctionnalités de reporting des simulations de phishing constitue un bon point de référence pour distinguer les indicateurs opérationnels des graphiques flatteurs.

Documentez la gouvernance, pas seulement les résultats

Pour les discussions liées à NIS2, les preuves de gouvernance comptent souvent autant que le résultat de la campagne.

Consignez :

  • qui peut approuver les simulations
  • qui peut lancer les campagnes
  • qui peut consulter les résultats au niveau individuel
  • comment les données des employés sont conservées ou supprimées
  • quels thèmes de scénario sont interdits
  • comment les représentants du personnel, les RH ou les parties prenantes de la confidentialité sont impliqués, le cas échéant
  • comment les résultats remontent à la direction
  • comment la formation de suivi est attribuée

Cela protège le programme contre deux problèmes fréquents. D’abord, les simulations peuvent devenir des exercices improvisés qui dépendent d’un seul administrateur enthousiaste. Ensuite, la sensibilisation peut se transformer en surveillance sensible au respect de la vie privée si les contrôles d’accès et les règles de conservation restent flous.

Si votre organisation est soumise à des exigences de revue par les représentants du personnel ou de protection de la vie privée, documentez-les tôt. Le guide d’AutoPhish sur la formation au phishing respectueuse de la confidentialité couvre le volet confiance des employés dans cette conversation.

Liste de contrôle des preuves pour chaque campagne

Utilisez cette liste pour garder une documentation cohérente d’une campagne à l’autre :

  1. Nom de la campagne et identifiant interne
  2. Motif métier ou thème de risque
  3. Groupe cible approuvé
  4. Période et fuseau horaire
  5. Catégorie de scénario, sans instructions de type attaquant
  6. Confirmation de la revue de sécurité
  7. Paramètres de confidentialité et de conservation
  8. Référence à l’avis ou à la communication aux employés, si utilisés
  9. Résumé de diffusion
  10. Indicateurs de signalement et d’interaction
  11. Résumé de la formation de suivi ou des retours
  12. Exclusions et exceptions
  13. Responsable de la revue
  14. Actions d’amélioration
  15. Date d’export et emplacement de stockage

La liste n’a pas besoin de devenir un workflow lourd. Elle doit simplement être suffisamment reproductible pour que la prochaine période d’audit n’exige pas une archéologie forensique dans d’anciens tableurs, fils de discussion et captures d’écran.

Ce qu’il faut éviter dans les preuves d’audit

Évitez les preuves qui créent plus de risques qu’elles n’en retirent.

Les erreurs fréquentes incluent :

  • s’appuyer uniquement sur des captures d’écran sans notes de revue
  • stocker trop largement des données brutes au niveau des employés
  • conserver indéfiniment les données de simulation sans raison
  • présenter une campagne comme preuve de conformité
  • utiliser des classements punitifs comme « preuve de sensibilisation »
  • documenter les mécanismes exacts du leurre dans des dossiers de conformité partagés
  • collecter de vrais identifiants pour donner des résultats plus réalistes
  • ignorer les problèmes de diffusion qui faussent les indicateurs

Les auditeurs et les dirigeants n’ont pas besoin d’un récit spectaculaire. Ils ont besoin d’un récit défendable. Si les preuves montrent le périmètre, les garde-fous, la revue et l’amélioration, le programme est plus facile à croire.

Comment AutoPhish aide

AutoPhish est conçu pour les équipes sécurité qui ont besoin de simulations de phishing répétables, respectueuses de la confidentialité et faciles à expliquer. C’est essentiel lorsque les simulations font partie d’un récit de preuve de conformité.

Avec la bonne conception de programme, AutoPhish peut aider les équipes à documenter :

  • l’activité récurrente de simulation de phishing
  • une gestion plus sûre des scénarios
  • le comportement de signalement des employés
  • l’achèvement de la formation de suivi
  • des rapports prêts pour la direction
  • une gestion des résultats soucieuse de la confidentialité
  • des exports de preuves pour revue

La plateforme ne remplace pas un avis juridique ni un programme complet de préparation à NIS2. Elle aide les équipes sécurité à exécuter et documenter plus régulièrement la partie sensibilisation de ce programme.

FAQ

Les simulations de phishing prouvent-elles la conformité NIS2 ?

Non. Les simulations de phishing peuvent soutenir les preuves de sensibilisation à la sécurité, de comportement de signalement et d’amélioration continue. Elles ne prouvent pas, à elles seules, la conformité NIS2.

Que doit contenir un dossier de preuves de simulation de phishing NIS2 ?

Incluez le périmètre de la campagne, l’approbation, la période, la couverture du public, la catégorie de scénario, la revue de sécurité, les paramètres de confidentialité, les indicateurs de signalement, la formation de suivi, les notes de revue et les actions d’amélioration.

Les auditeurs doivent-ils voir les résultats individuels des simulations de phishing ?

En général, non par défaut. Des rapports agrégés répondent souvent à la question de conformité. Les données individuelles doivent être limitées aux personnes ayant un besoin opérationnel clairement défini et gérées selon des règles de conservation et d’accès précises.

Le taux de clics suffit-il comme preuve d’audit ?

Non. Le taux de clics n’est qu’un signal parmi d’autres. Le taux de signalement, le délai de signalement, l’achèvement du suivi, la couverture, les tendances de répétition des comportements à risque et les actions de revue documentées sont généralement plus utiles.

À quelle fréquence faut-il actualiser les preuves de simulation de phishing ?

Actualisez le dossier de preuves après chaque campagne ou selon une cadence de reporting fixe. L’essentiel est la constance : l’organisation doit pouvoir montrer que l’activité de sensibilisation se répète et qu’elle est revue.

Conclusion

La meilleure façon de documenter des simulations de phishing pour un audit NIS2 est de montrer un programme de sensibilisation maîtrisé, et non un test ponctuel. Gardez des preuves concrètes : périmètre, approbations, conception de scénarios sûrs, contrôles de confidentialité, indicateurs, suivi et revue par la direction.

Si vous voulez des simulations de phishing plus faciles à lancer, à examiner et à documenter, Inscrivez-vous.


Lancez votre premier test de phishing en 10 minutes.

Inscrivez-vous gratuitement — sans carte bancaire. Essayez l'offre Pro gratuitement pendant 7 jours quand vous serez prêt.