- SUPPORT CLIENT
- CONTACT
- 01 82 52 20 62
- STATUT INFRASTRUCTURE

Le phishing est la porte d’entrée de la grande majorité des cyberattaques. Un clic sur un lien malveillant, un identifiant saisi sur une fausse page de connexion, une pièce jointe ouverte sans méfiance : en quelques secondes, la compromission du SI d’un établissement de santé peut commencer.
La meilleure façon de savoir si vos équipes sont prêtes à y faire face ? Les tester dans des conditions réelles, sans les risques d’un incident réel. Les campagnes de phishing simulé de gplexpert permettent de mesurer précisément la vulnérabilité de votre organisation, puis de sensibiliser vos collaborateurs de manière ciblée et progressive pour mieux les protéger face aux cyberattaques.
NOTRE EXPERTISE
VOS BÉNÉFICES
Une campagne de phishing simulé consiste à envoyer à vos utilisateurs de vrais emails imitant des attaques réelles, mais sans aucune conséquence malveillante. Les messages sont conçus par nos experts pour reproduire les techniques utilisées par les vrais attaquants ciblant les établissements de santé, avec le niveau de sophistication adapté à l’objectif de chaque campagne.
L’objectif n’est pas de piéger vos collaborateurs, mais de les aider à développer des réflexes de vigilance dans un cadre sécurisé et pédagogique. Comprendre comment fonctionne une attaque de phishing, c’est la première étape pour savoir l’identifier et l’éviter.
Au sein d’un établissement de santé, toutes les fonctions sont exposées — mais certains profils sont des cibles prioritaires pour les cyberattaquants. Identifier ces cibles avant de lancer une campagne est une étape essentielle pour adapter les scénarios, prioriser les formations et renforcer la protection là où le risque est le plus élevé.
Avant l’envoi de la première campagne, nos experts analysent votre organisation pour cartographier les profils les plus exposés : qui a accès à quoi, quels services traitent des données sensibles, quels utilisateurs ont des droits élevés sur le SI, quels sont les processus les plus susceptibles d’être exploités par une attaque de phishing.
Cette analyse nous permet d’adapter chaque campagne à la réalité de votre établissement, pas de lancer des tests génériques qui ne reflètent pas les menaces réelles auxquelles vos collaborateurs font face. Nous définissons avec vous les cibles à inclure dans chaque vague, le type de scénario le plus pertinent pour chaque profil, et le niveau de difficulté approprié pour évaluer sans décourager.
Grâce à cette approche sur mesure, vos campagnes de phishing simulé deviennent un véritable outil de pilotage de la sécurité humaine au sein de votre organisation, pas un simple exercice de style.
Étape 1 – Cadrage et identification des cibles
Nous définissons avec vous les objectifs de la campagne, le périmètre ciblé, les profils prioritaires à tester et le niveau de difficulté approprié. Cette première étape est essentielle : adapter les scénarios aux cibles réelles de votre organisation est la condition d’une campagne réaliste et utile. Nous analysons votre organisation, vos outils, vos processus et vos points de vulnérabilité humaine pour construire une campagne sur mesure.
Étape 2 – Exécution de la campagne
Les messages simulés sont envoyés selon un calendrier aléatoire pour éviter les effets d’alerte collective. Notre solution enregistre en temps réel les actions de chaque utilisateur : ouverture du message, clic sur les liens, saisie d’informations d’identité ou de mots de passe sur la fausse page, signalement à la DSI.
Étape 3 – Formation corrective immédiate
Tout collaborateur qui clique sur un lien frauduleux est redirigé immédiatement vers une page pédagogique expliquant les indices qui auraient dû l’alerter et les bonnes pratiques à adopter pour éviter de tomber dans le piège à l’avenir. Cette formation au moment du clic est la plus efficace qui soit pour ancrer durablement les bons réflexes.
Étape 4 – Analyse, rapport et plan de formation
gplexpert produit un rapport détaillé présentant les résultats par service, par profil et par type de scénario. Ces résultats permettent d’évaluer précisément la maturité de chaque groupe d’utilisateurs, d’identifier les points faibles persistants et d’adapter le plan de formations à venir. La restitution est organisée avec votre DSI et votre RSSI pour définir ensemble les actions prioritaires à engager.
Taux d’ouverture : proportion d’utilisateurs ayant ouvert le message simulé.
Taux de clic : proportion de collaborateurs ayant cliqué sur les liens malveillants simulés. C’est l’indicateur principal de vulnérabilité face aux attaques de phishing.
Taux de compromission : proportion d’employés ayant saisi des données sensibles (mots de passe, informations d’identité) sur la fausse page de connexion. C’est l’indicateur de risque le plus critique, car il mesure les conséquences réelles qu’une vraie attaque aurait pu avoir.
Taux de signalement : proportion d’utilisateurs ayant signalé le message suspect à la DSI ou à la sécurité. C’est l’indicateur de maturité le plus positif : il mesure la culture de vigilance réelle de vos équipes et leur capacité à prendre le bon réflexe face à une tentative d’attaque.

Une campagne de phishing simulé efficace ne se limite pas à mesurer : elle transmet les bonnes pratiques essentielles à retenir. Nos formations correctives apprennent à vos collaborateurs à :
Il est recommandé de communiquer sur l’existence du programme de sensibilisation en général, sans annoncer les dates précises des campagnes. L’objectif est de créer une vigilance permanente chez vos utilisateurs, pas de tester leur mémoire à court terme.
Oui. Il est souvent judicieux de démarrer par un périmètre restreint, par exemple les équipes administratives ou la DSI avant de passer à l’ensemble de l’organisation. Cette approche permet de roder la méthodologie, d’adapter les outils et d’obtenir des premiers résultats exploitables rapidement.
Oui. gplexpert respecte strictement le RGPD dans la conduite des campagnes : les données individuelles sont traitées de manière confidentielle et les résultats sont présentés de façon agrégée pour la direction. Il est essentiel de ne jamais utiliser ces informations à des fins autres que la sensibilisation et la formation.