En bref : l'hameçonnage reste la porte d'entrée numéro un des incidents, et ça vise vos employés, pas vos serveurs. On a bâti dans Odoo un outil de sensibilisation complet : faux courriels d'entraînement, formation, profil de risque par personne, bouton pour signaler un courriel suspect, et même le retrait d'un vrai courriel malveillant de toutes les boîtes d'un seul coup. Libre, intégré à vos outils, hébergé chez vous. Dans cet article : pourquoi ça compte, comment ça marche, ce que ça vaut face à KnowBe4 ou GoPhish, et par où commencer.
Pour télécharger le module, c'est par ici!
Un mardi matin ordinaire.
Un courriel arrive : « Votre facture Microsoft 365 est en souffrance, cliquez ici pour régulariser. » Le logo est parfait, le ton pressant, le lien presque crédible. Sur vingt personnes, dix-neuf le suppriment. La vingtième clique, entre son mot de passe, et passe à autre chose.
La vraie question n'est pas de savoir si ça va arriver chez vous. C'est de savoir ce qui se passe dans les vingt minutes suivantes. Est-ce que quelqu'un va le signaler? Est-ce que vous pouvez retirer le courriel des autres boîtes avant qu'une deuxième personne morde? Est-ce que celle qui a cliqué saura quoi faire la prochaine fois?
L'hameçonnage, c'est encore par là que ça rentre
Les chiffres sont stables d'année en année. Selon le rapport Verizon 2025 sur les fuites de données, 16 % des brèches commencent par un hameçonnage, et près de 60 % impliquent un facteur humain : une erreur, une manipulation, un clic de trop.
On pense souvent que les PME et les OBNL sont trop petites pour intéresser qui que ce soit. C'est l'inverse. Les attaques sont automatisées, elles ratissent large, et une petite organisation a rarement une équipe de sécurité dédiée. La fraude au président (un faux courriel du « patron » qui demande un virement urgent) ou la fausse facture d'un fournisseur connu font des ravages précisément là où les processus sont informels.
Autrement dit : on peut empiler les pare-feux et les antivirus, la cible finale reste une personne devant son écran, un mardi matin, entre deux réunions. C'est cette personne qu'il faut outiller. Pas la blâmer : l'entraîner.
Sensibiliser, ça veut dire quoi au juste?
Trois choses, en pratique. D'abord, s'exercer : envoyer de temps en temps de faux courriels piégés, inoffensifs, pour voir qui mord et dans quel contexte.
Ensuite, apprendre : quand quelqu'un clique, il arrive sur une page qui lui explique calmement les signaux qu'il a manqués, et on lui assigne une courte formation.
Enfin, mesurer : suivre l'évolution dans le temps, repérer les personnes ou les équipes plus à risque, et constater les progrès.
Le but n'est jamais de piéger pour punir. C'est de transformer un réflexe risqué (« je clique pour voir ») en un autre, bien plus sain (« dans le doute, je signale »).
Pourquoi un cours une fois par an, ça ne suffit pas
La formation annuelle obligatoire, tout le monde connaît : une heure de vidéos en janvier, un questionnaire, et on n'en reparle plus jusqu'à l'année suivante. Le problème, c'est que l'attention, ça se démode vite. Trois mois plus tard, le réflexe est retombé.
Ce qui fonctionne, c'est la répétition espacée : de petits exercices réguliers, courts, dans le vrai contexte de travail. Une simulation qui arrive un mardi matin chargé apprend bien plus qu'un cours regardé en accéléré. Et comme on mesure à chaque fois, on voit la courbe descendre pour de vrai, au lieu de cocher une case de conformité.
Ce qu'on a bâti dans Odoo
Des plateformes comme KnowBe4 ou Terranova font ça très bien. Mais ce sont des services externes, facturés au siège, où vos données de sécurité vivent ailleurs. On a voulu la même chose, à l'intérieur d'Odoo, en logiciel libre, avec les données qui restent chez vous.
Vos dossiers d'employés vivent déjà dans Odoo (possiblement), alors pourquoi ne pas centraliser cette information?
Des faux courriels qui apprennent
On compose un faux courriel piégé à partir d'un modèle, on choisit qui le reçoit, et le module suit qui l'ouvre, qui clique, qui irait jusqu'à entrer ses identifiants sur une fausse page de connexion. On peut même y glisser un faux code QR ou une pièce jointe, parce que c'est exactement ce que font les vraies attaques. Un détail qui compte : cette fausse page ne stocke jamais le mot de passe tapé. Jamais. Elle note seulement qu'il y a eu une tentative.
Un réflexe à entraîner : signaler
Chaque employé a un bouton « Rapporter un courriel suspect », et peut aussi simplement transférer le courriel douteux à une adresse dédiée. S'il signale un de nos faux courriels d'entraînement, on le félicite : bon réflexe, aucun incident créé. Si c'est un vrai courriel suspect, ça part automatiquement vers la personne responsable de la sécurité, avec une alerte, prêt à être trié.
La formation se déclenche toute seule
Quand quelqu'un échoue à une simulation, le module peut l'inscrire automatiquement à une courte formation sur le sujet exact où il a glissé. Pas besoin de courir après les gens : le suivi se fait, les rappels partent, et la complétion fait remonter son profil.
Mesurer sans faire de palmarès de la honte
Chaque personne a un profil de risque qui évolue dans le temps, et qui redescend quand elle complète ses formations. Le score tient compte de la difficulté du leurre et s'estompe avec le temps, pour refléter l'état réel, pas une vieille erreur. Vous voyez d'un coup d'œil où ça coince, sans transformer la sécurité en concours de la pire note.
Le bout qui change tout : retirer le courriel de toutes les boîtes
Voici le scénario qui fait vraiment la différence. Un vrai courriel malveillant passe les filtres et atterrit dans vingt boîtes. Une personne le signale. Que faites-vous des dix-neuf autres copies, dont certaines ne sont pas encore ouvertes?
Notre module fait ce que KnowBe4 a popularisé sous le nom de PhishRIP : une fois la menace confirmée, on cherche ce courriel précis dans toutes les boîtes de l'organisation et on le déplace en quarantaine, d'un seul geste. C'est réversible : si on s'est trompé, on le restaure intact. On retire le danger avant qu'une deuxième personne ne morde.
Et parce qu'un tel pouvoir ne se donne pas à la légère, il est encadré : seule une personne explicitement habilitée peut exécuter le retrait, un aperçu montre d'abord ce qui sera touché, un plafond évite les mauvaises surprises, et chaque geste est journalisé. La quarantaine est le mode par défaut, jamais la suppression brutale.
Les quatre réflexes quand un employé signale un courriel suspect :
- Confirmer : est-ce une vraie menace, ou une de vos propres simulations?
- Contenir : retirer le courriel des autres boîtes, en quarantaine réversible.
- Prévenir : avertir la personne qui a cliqué, calmement, sans la pointer du doigt.
- Apprendre : assigner une courte formation et garder une trace de l'incident.
Les forces en présence
On n'a rien inventé par contre: la sensibilisation à l'hameçonnage est un marché mûr (et lucratif!). Voici, sans détour, où se situe notre module par rapport aux références commerciales et à l'outil libre le plus connu.
| Capacité | KnowBe4 / Terranova | GoPhish (libre) | Notre module (Odoo) |
|---|---|---|---|
| Simulations d'hameçonnage | Oui ✅ | Oui ✅ | Oui ✅ |
| Formation intégrée | Oui ✅ (grande bibliothèque) | Non | Oui ✅ (via Odoo eLearning) |
| Profil de risque par personne | Oui ✅ | Non | Oui ✅ |
| Bouton « signaler » et triage | Oui ✅ | Partiel (suivi du clic « signaler ») | Oui ✅ |
| Retrait du courriel de toutes les boîtes | Oui ✅ | Non | Oui ✅ |
| Intégré à vos outils de gestion | Non (plateforme externe) | Non (outil isolé) | Oui ✅ (dans Odoo) |
| Logiciel libre | Non | Oui ✅ | Oui ✅ |
| Hébergé chez vous, données chez vous | Non (service infonuagique) | Oui ✅ | Oui ✅ |
Soyons justes : KnowBe4 et Terranova offrent une bibliothèque de contenu de formation bien plus vaste et prête à l'emploi que la nôtre, et c'est un vrai avantage si vous voulez des centaines de modules sur étagère. GoPhish, de son côté, reste excellent pour de la simulation pure. Notre pari à nous, c'est l'intégration et la souveraineté : tout au même endroit, dans Odoo, en libre, avec le retrait de courriel en prime.
Et la Loi 25 dans tout ça?
On l'oublie souvent : les données de sensibilisation (qui a cliqué, qui est plus à risque) sont des renseignements personnels sensibles sur vos employés. Les confier à une plateforme étrangère, c'est un transfert de données de plus à justifier. Les garder dans votre Odoo, hébergé au Québec, ça simplifie la conversation.
Dans l'autre sens, une formation suivie et documentée, c'est une trace concrète des « mesures de sécurité raisonnables » que la Loi 25 attend de vous. Sensibiliser ses employés, ce n'est pas juste prudent : ça fait partie de vos obligations.
Les limites à connaître
Aucun outil ne fait de miracle, et celui-là non plus. Quelques points honnêtes.
Ce n'est ni un antivirus ni un filtre courriel. La sensibilisation est une couche par-dessus vos défenses techniques, pas à leur place. Vous avez toujours besoin d'un bon antimalware (on en a comparé quelques-uns dans notre analyse des solutions antimalware) et d'un filtrage correct à l'entrée.
Le retrait dans toutes les boîtes demande un accès administrateur à votre messagerie. Avec Microsoft 365, c'est direct. Avec d'autres fournisseurs, ça demande une petite configuration, une boîte à la fois.
La bibliothèque de formation est plus modeste que celle des géants : on s'appuie sur le module de formation d'Odoo et on bâtit le contenu utile, pas un catalogue de mille cours. Et surtout : aucune formation ne remplace une bonne vieille règle de double-validation pour les virements et les changements de coordonnées bancaires. La techno aide, le processus protège. Le signalement par simple transfert, lui, suppose que votre domaine est bien protégé contre l'usurpation d'identité.
Par où commencer?
Pas besoin d'un grand projet. La recette qui marche tient en quatre temps. D'abord, une simulation de référence, sans prévenir, pour avoir un point de départ honnête. Ensuite, on l'annonce : on explique à l'équipe que des exercices vont arriver, que le but est de s'améliorer ensemble, pas de piéger qui que ce soit. Puis on installe le rythme : une petite simulation aux quelques semaines, avec la formation qui suit en cas de clic. Enfin, on regarde la courbe et on ajuste la difficulté.
Le ton fait tout. Une équipe qui a peur de se faire prendre cache ses erreurs. Une équipe qui se sent appuyée signale, et c'est exactement le réflexe qu'on cherche.
Pour télécharger le module, c'est par ici!
Chez Blue Fox
On a construit cet outil pour nos propres besoins d'abord : on l'utilise sur nos boîtes avant de le proposer à qui que ce soit. Il est libre (licence LGPL-3), il vit dans votre Odoo, et vos données de sécurité restent chez vous, pas sur une plateforme étrangère facturée au siège. On le déploie, on le configure à votre contexte, et on vous laisse les commandes.
Un incident d'hameçonnage coûte cher, et votre assurance ne couvre pas tout. On a détaillé ce qu'une cyberassurance pour PME couvre vraiment. La meilleure réclamation, c'est celle que vous n'avez jamais à faire.
Envie de voir où en est le réflexe de votre équipe? On jase de la cybersécurité de votre monde quand vous voulez.