Dans les offres cyber des Managed Services Providers (MSP), la stack technique s’est fortement structurée ces dernières années. Sauvegarde, EDR, filtrage email, protection Microsoft 365 font désormais partie des briques régulièrement proposées aux clients. Mais une zone reste plus difficile à piloter : le comportement des utilisateurs.
Un collaborateur qui clique sur un faux lien Microsoft 365, scanne un QR code piégé ou saisit ses identifiants sur une page frauduleuse peut exposer l’entreprise malgré les outils en place. Le sujet n’est donc pas seulement de former les équipes. Il faut savoir mesurer leur niveau de vigilance, suivre leur progression et documenter les actions menées dans le temps.
C’est précisément là que la sensibilisation à la cybersécurité devient un sujet de service managé. Pour un MSP, elle ne doit plus être une campagne ponctuelle ajoutée à une offre cyber. Elle peut devenir une brique récurrente, pilotable et valorisable auprès des clients.
Le Guide du MSP a interrogé Raphaël Barret, responsable technique, et Justine Michelon, responsable marketing et prospection chez Sencybeo, pour comprendre comment la plateforme aide les prestataires informatiques à structurer le pilotage du risque humain.
Les campagnes de phishing restent de loin la première menace
Des attaques qui ciblent les usages quotidiens des collaborateurs
Le phishing ne se limite plus aux messages approximatifs faciles à repérer. Les campagnes actuelles s’intègrent dans les usages numériques des entreprises, avec des emails qui imitent une notification Microsoft 365, une facture fournisseur, un partage de document, un message RH ou une alerte de sécurité.
Cette évolution oblige à dépasser une approche purement théorique de la sensibilisation. L’utilisateur ne doit pas seulement connaître les règles générales. Il doit aussi développer des réflexes face à des scénarios toujours plus proches de son environnement de travail.
L’IA renforce la crédibilité des campagnes
L’usage de l’intelligence artificielle accentue cette difficulté. Le problème ne tient donc pas seulement au volume des attaques. Il tient aussi à leur qualité. Les messages sont mieux rédigés, plus cohérents et plus adaptés au contexte professionnel de la cible.
Pour les petites et moyennes entreprises, cette évolution crée un écart entre la perception du risque et la réalité opérationnelle. Les collaborateurs peuvent penser qu’ils savent reconnaître un message suspect, alors que les signaux d’alerte deviennent moins visibles.
Bon à savoir : dans le Digital Defense Report 2025, Microsoft indique que les emails de phishing automatisés par IA ont atteint un taux de clic de 54 %, contre 12 % pour des tentatives standard dans les données citées par le rapport. L’entreprise souligne aussi que l’IA permet de produire des leurres plus ciblés et plus convaincants.
Le phishing devient multicanal
Le phishing dépasse aussi le cadre de la messagerie. Le quishing, ou phishing par QR code, déplace l’interaction vers le smartphone. L’utilisateur reçoit un message, scanne le code et arrive sur une page frauduleuse depuis un terminal parfois moins supervisé que son poste de travail.
« Le QR code est devenu un vecteur intéressant pour les attaquants, car il déplace l’interaction vers le smartphone. Or, dans beaucoup d’environnements professionnels, le téléphone reste moins protégé et moins supervisé que le poste de travail. » Raphaël Barret.
Le vishing, ou phishing vocal, ajoute une couche de manipulation. Un appel peut instaurer la confiance, créer un sentiment d’urgence ou préparer l’utilisateur à accepter une demande future, une situation très courante dans les cas de faux ordres de virement (FOVI).
La compromission de compte Microsoft 365 comme porte d’entrée du SI de l’entreprise
Dans beaucoup de PME, Microsoft 365 occupe une place centrale. Un compte donne accès à la messagerie, au calendrier, à Teams, SharePoint, OneDrive, aux documents partagés et parfois à d’autres applications SaaS (Software as a Service).
La compromission d’un compte ne se limite donc pas à la lecture d’une boîte mail. Elle peut permettre à un cybercriminel de consulter des échanges internes, d’accéder à des fichiers, d’usurper l’identité d’un collaborateur ou de préparer une fraude au virement.
Elle peut aussi servir de point d’entrée vers le SI (système d’information), selon les droits associés au compte compromis. C’est ce qui rend la protection des identités aussi structurante que la protection des postes ou des serveurs.
« Le vol d’identifiants Microsoft 365 reste l’un des scénarios les plus fréquents. Un compte compromis ne donne pas seulement accès à une boîte mail. Il peut ouvrir l’accès aux fichiers, aux échanges internes et à d’autres services de l’entreprise. » Raphaël Barret.
Bon à savoir : dans son rapport d’activité 2025, Cybermalveillance.gouv.fr indique que la compromission de compte en ligne est devenue la menace numéro un pour les publics professionnels. Elle représente 20,9 % des demandes d’assistance des professionnels.
Les PME pensent être protégées, mais les fondamentaux restent incomplets
Une stack technique ne compense pas des bases absentes
Dans beaucoup de PME, la cybersécurité est encore perçue à travers les outils déployés : antivirus, antispam, sauvegarde, EDR, filtrage email. Ces briques sont nécessaires, mais elles ne disent pas à elles seules si l’entreprise est réellement mature. Avoir une solution en place ne signifie pas que les accès sont maîtrisés, que les utilisateurs savent réagir, ou que les procédures fonctionnent en cas d’attaque.
Le vrai sujet est souvent ailleurs : les fondamentaux restent partiellement déployés. Authentification multifacteur, hygiène des mots de passe, gestion des droits, sauvegardes testées, protection des comptes Microsoft 365, procédure de signalement, sensibilisation régulière : ce sont ces mesures qui structurent la résilience quotidienne.
Bon à savoir : selon le Digital Defense Report 2024, Microsoft rappelle que les attaques basées sur les mots de passe représentaient plus de 99 % des attaques d’identité, alors que l’adoption du MFA atteignait 41 % chez ses clients entreprise.
Les PME sous-estiment leur exposition réelle
Cette maturité incomplète crée un faux sentiment de sécurité. Beaucoup de PME pensent ne pas être des cibles prioritaires, parce qu’elles ne sont ni de grands groupes, ni des administrations, ni des acteurs critiques. En pratique, c’est souvent l’inverse : leur exposition intéresse les attaquants parce que leurs environnements sont plus simples à compromettre, moins surveillés et moins gouvernés.
Le risque n’est donc pas seulement technique. Il est aussi organisationnel.
- Qui décide des règles d’accès ?
- Qui vérifie que les comptes sensibles sont protégés ?
- Qui suit les utilisateurs exposés ?
- Qui sait combien de collaborateurs cliquent, signalent ou récidivent ?
Sans pilotage, l’entreprise pense être protégée, mais elle ne sait pas mesurer son niveau réel d’exposition.
La pression assurantielle pousse à documenter la prévention
Cette exigence de maturité devient aussi un sujet pour les cyberassureurs. Les assureurs ne regardent plus seulement si l’entreprise possède un antivirus ou une sauvegarde. Ils cherchent à comprendre si les mesures de prévention sont réellement appliquées : MFA, sauvegardes, procédures, sensibilisation, capacité à réduire le risque humain.
« La partie sensibilisation, c’est quelque chose qu’on voit de plus en plus, parce que les assureurs se rendent compte que les éléments techniques ne permettent pas forcément de protéger. » Raphaël Barret.
Pour les PME comme pour leurs MSP, l’enjeu est donc de sortir du déclaratif. Il ne suffit plus de dire que les utilisateurs sont sensibilisés ou que les outils sont installés. Il faut pouvoir démontrer les actions menées, suivre les progrès et documenter la réduction du risque humain dans le temps.
Sencybeo : une plateforme pour structurer le pilotage du risque humain
Sencybeo répond à ce besoin de continuité. La plateforme propose un cycle de sensibilisation qui permet de tester, d’évaluer, de former et de piloter la maturité cyber des collaborateurs.
« Sencybeo est d’abord né d’un besoin interne. Nous avions besoin d’un outil pour sensibiliser nos propres utilisateurs de manière régulière, avec des contenus concrets et un suivi dans le temps. En échangeant avec nos clients, on s’est rendu compte qu’ils rencontraient exactement les mêmes problématiques : ils avaient besoin de former leurs équipes, mais aussi de mesurer l’impact des actions menées. », Justine Michelon.
Des modules courts, concrets et pensés pour l’engagement
Sencybeo repose sur plusieurs formats complémentaires. La plateforme propose des contenus pédagogiques courts, adaptés au quotidien des collaborateurs : vidéos, lectures, cas pratiques et quiz.
L’objectif n’est pas d’imposer de longs modules difficiles à terminer, mais de créer des séquences simples à consommer, régulières et directement liées aux menaces rencontrées par les entreprises.
Les quiz permettent de valider la compréhension, mais aussi d’introduire une logique d’engagement. Sencybeo intègre également une dimension de gamification avec des points, des médailles ou des scores, afin de rendre la sensibilisation moins descendante et plus motivante pour les utilisateurs.
Cette logique est importante pour les PME. Dans beaucoup d’organisations, la sensibilisation cyber est perçue comme une contrainte. En proposant des formats courts, mesurables et plus interactifs, Sencybeo cherche à rendre l’exercice plus acceptable, sans mobiliser les équipes pendant des heures.
Des simulations de phishing et des scénarios personnalisables
La deuxième brique de Sencybeo concerne les tests de phishing. Ils permettent de tester les réflexes des utilisateurs en conditions réalistes : email frauduleux, faux lien, fausse notification, demande de connexion ou scénario inspiré de menaces réellement reçues.
L’intérêt est de sortir d’une sensibilisation théorique. Un utilisateur peut comprendre ce qu’est le phishing en formation, mais réagir différemment lorsqu’il reçoit un message crédible dans sa boîte mail. Les simulations permettent donc de mesurer les comportements réels : qui clique, qui renseigne ses identifiants, qui signale, qui récidive.
Les scénarios sont personnalisables, ce qui donne une vraie valeur aux MSP. Un prestataire peut adapter les campagnes au contexte d’un client : secteur d’activité, outils utilisés, habitudes internes, faux messages RH, factures fournisseurs ou communications métier. De plus les contenus sont régulièrement mis à jour par les équipes de Sencybeo pour faire face aux évolutions constantes des modes opératoires des cybercriminels.
Un pilotage par les données : scoring, reporting et suivi utilisateur
La valeur de Sencybeo ne se limite pas à l’exécution des campagnes. La plateforme apporte surtout une capacité de pilotage. Les tableaux de bord permettent de suivre les taux de participation, les taux de clic, les résultats aux quiz, les récidives et l’évolution du niveau de vigilance dans le temps.
Pour un MSP, ce reporting change la nature du service. Le prestataire peut présenter les campagnes réalisées, les résultats obtenus, les groupes les plus exposés et les actions menées après chaque test.
Ces données deviennent un support de pilotage. Elles permettent d’animer un comité client, de justifier une action corrective ou de proposer un accompagnement ciblé.
Une brique récurrente pour les offres MSP et infogérants
Pour les MSP, Sencybeo peut s’intégrer comme une brique récurrente d’offre cyber.
L’intérêt est double. Renforcer la protection des clients sur le risque humain, tout en créant une ligne de service régulière et pilotable.
« Pour les MSP, l’intérêt est de pouvoir intégrer la sensibilisation dans une offre cyber récurrente, au même titre que la sauvegarde, l’EDR ou le filtrage email. Ils peuvent suivre les résultats, montrer l’évolution du risque à leurs clients et créer un rendez-vous régulier autour de la posture cyber. Ce n’est pas une action isolée, c’est une brique de service managé. », Justine Michelon.
Un MSP peut par exemple construire plusieurs niveaux d’offre :
- un pack de sensibilisation de base avec contenus et quiz,
- une offre intermédiaire avec campagnes de phishing trimestrielles, puis
- une offre managée plus complète avec campagnes régulières, reporting, analyse des récidives et accompagnement des utilisateurs à risque.
La console partenaire permet aussi d’industrialiser le service. L’objectif pour l’infogérant n’est pas de gérer chaque client manuellement, mais de disposer d’une vision consolidée : clients actifs, participation, licences utilisées, alertes, évolution des scores. Cette approche facilite le suivi multi-clients et permet au MSP de rester proactif.
Faire de la sensibilisation cyber un service récurrent
Avec Sencybeo, les MSP peuvent intégrer la sensibilisation à la cybersécurité dans un suivi régulier, fondé sur des campagnes, des indicateurs et des actions documentées. L’objectif n’est plus seulement de former les utilisateurs, mais de donner aux prestataires une visibilité exploitable sur le risque humain chez leurs clients.
Pour suivre les tendances cyber, les outils MSP et les retours d’expérience du marché, retrouvez les prochains articles sur le Guide du MSP.
