Campagne de Phishing — Collectivité territoriale

Collectivité territoriale — 200+ agents

2 semaines

Microsoft 365

Campagne de Phishing

Contexte de la mission

Le défi

Contexte

Une collectivité territoriale des Antilles avec 200+ employés devait se préparer à la conformité NIS2.

La direction manquait de données objectives sur la vigilance du personnel face aux emails malveillants.

Objectifs

Mesurer objectivement la vigilance des agents face au phishing
Identifier les services les plus vulnérables
Préparer la collectivité à la conformité NIS2

Déroulement

Découvertes clés

Périmètre testé

Ensemble des agents avec une adresse Microsoft 365
3 scénarios personnalisés déployés sur 2 semaines
Mesure du taux d'ouverture, de clic, de saisie d'identifiants
Mesure du taux de signalement

Méthodologie

Trois scénarios imitant la charte graphique interne : (1) réinitialisation de mot de passe IT, (2) mise à jour politique de congés RH, (3) facture fournisseur à valider.

Critique

35% des agents ont cliqué sur le lien — le scénario IT le plus efficace à 42%

Critique

18% des agents ont saisi leurs identifiants (36 personnes sur 200)

Élevé

Seulement 5% des agents ont signalé les emails suspects

Élevé

Les filtres anti-phishing Microsoft 365 n'ont déclenché aucune alerte

Résultats

Livrables et recommandations

Livrables

4 constats majeurs sur 200 agents testés
Rapport technique avec preuves d'exploitation
Feuille de route de remédiation priorisée
Présentation et restitution orale

Recommandations

Activer la double authentification (MFA) pour tous les agents
Mettre en place une formation de sensibilisation trimestrielle
Ajouter un bouton de signalement d'email suspect dans Outlook
Renforcer les filtres anti-phishing Microsoft 365
Programmer une campagne de suivi à 6 mois pour mesurer les progrès

Enseignements

Leçons apprises

Le scénario le plus efficace était le plus simple (réinitialisation de mot de passe IT)
Les filtres anti-phishing Microsoft 365 par défaut sont insuffisants contre des scénarios ciblés
Le taux de signalement de 5% montre un manque critique de culture sécurité

Issue

Ce qui a changé

MFA activé immédiatement sur toute l'organisation. Formation de sensibilisation trimestrielle initiée. Campagne de suivi planifiée à 6 mois.

Prochaines étapes

Campagne de suivi à 6 mois pour mesurer la progression
Déploiement d'un outil de signalement d'emails suspects
Intégration de la sensibilisation dans l'onboarding des nouveaux agents

Autres études de cas

Découvrez nos autres interventions en cybersécurité.

Pentest Web

Pentest Web — PME e-commerce

Accès aux factures clients et modification de paniers entre utilisateurs. 12 vulnérabilités identifiées dont 3 critiques.

Mathieu Rutick 2026

Pentest Cloud

Pentest Cloud — PME IT (Azure)

Escalade de privilèges jusqu'à Global Admin via des mauvaises configurations Azure et Entra ID.

Mathieu Rutick 2026

Pentest AD

Pentest Active Directory — Groupe multi-agences

Compromission totale du domaine Active Directory d'un groupe multi-agences en partant d'un accès réseau standard.

Mathieu Rutick 2026

Un projet similaire ?

Contactez-nous pour un premier échange gratuit et un devis adapté à vos besoins.

Demander un devis Voir les services