Cyber TeachersCyber Teachers
Retour aux articles
Florian Amette

Florian Amette

April 16, 2026

TP phishing : scénario pas a pas

phishingTPsensibilisationcybersécuritépédagogie
TP phishing : scénario pas a pas

TP phishing : scénario pas a pas

Pourquoi enseigner le phishing par la pratique

Le phishing reste le vecteur d'attaque le plus répandu. Pourtant, dans beaucoup de formations, il est traité de manière purement théorique : un slide avec un exemple de mail frauduleux, quelques conseils génériques, et on passe au sujet suivant.

Le problème, c'est que cette approche ne fonctionne pas. Les étudiants retiennent bien mieux lorsqu'ils vivent l'expérience. Un TP de phishing bien conçu crée un moment marquant qui ancre durablement les réflexes de vigilance.

Ce guide détaille comment organiser un atelier de sensibilisation au phishing en 90 minutes, dans un cadre éthique rigoureux, avec un objectif pédagogique clair.

Prérequis et préparation

Cadre éthique : la règle non négociable

Avant toute chose, il faut poser un cadre éthique strict. Un TP de phishing mal encadré peut créer un climat de méfiance, voire des situations humiliantes pour certains étudiants.

Les règles fondamentales :

  • Aucune donnée personnelle réelle n'est collectée. Les formulaires de phishing simulé ne doivent stocker que le fait qu'un clic a eu lieu, jamais de vrais identifiants.
  • Aucune stigmatisation. Les résultats sont anonymisés. On ne désigne jamais publiquement qui a "cliqué".
  • Transparence sur l'objectif. Les étudiants sont prévenus qu'un exercice de sensibilisation aura lieu pendant le semestre, sans connaître la date exacte.
  • Debrief systématique. L'exercice n'a de valeur que si le debrief est mené correctement.

Préparation technique

Le formateur doit préparer en amont :

  • Un serveur de simulation de phishing (GoPhish est un outil open source adapté a ce type d'exercice)
  • Un ou deux templates de mails réalistes adaptés au contexte des étudiants (exemple : fausse notification de la scolarité, faux mail de réinitialisation de mot de passe)
  • Une page d'atterrissage qui affiche un message de sensibilisation après le clic
  • Un tableau de bord pour suivre les résultats en temps réel (sans données nominatives visibles par les étudiants)

Déroulé du TP en 90 minutes

Phase 1 : Lancement de la campagne (avant le TP)

Idéalement, les mails de phishing sont envoyés 24 a 48 heures avant la séance de TP. Cela simule des conditions réalistes : les étudiants recoivent le mail dans leur boîte habituelle, sans contexte d'exercice.

Si l'envoi préalable n'est pas possible (contraintes techniques ou administratives), les mails peuvent être envoyés en début de séance. L'effet de surprise est moindre, mais l'exercice reste pertinent.

Phase 2 : Introduction (15 minutes)

Le formateur ouvre la séance sans révéler immédiatement que la campagne a déja eu lieu. Il commence par un cours interactif :

  • Qu'est-ce que le phishing ? Quels sont les différents types (spear phishing, smishing, vishing) ?
  • Pourquoi est-ce si efficace ? Les leviers psychologiques exploités : urgence, autorité, curiosité, peur.
  • Quels sont les réflexes de défense ?

Un échange avec les étudiants permet de jauger leur niveau de conscience sur le sujet.

Phase 3 : Révélation et analyse (20 minutes)

Le formateur révèle que les étudiants ont reçu un mail de phishing simulé. Il affiche le mail sur l'écran et demande au groupe :

  • Quels indices permettaient d'identifier le mail comme frauduleux ?
  • Qu'est-ce qui rendait le mail convaincant ?
  • Qui a eu un doute ? Qu'est-ce qui a déclenché ce doute ?

Les résultats anonymisés sont partagés : taux de clic, taux d'ouverture. On ne cherche pas a culpabiliser, mais a comprendre collectivement ce qui a fonctionné dans l'attaque.

Phase 4 : Atelier pratique de détection (25 minutes)

Les étudiants travaillent en petits groupes sur un ensemble de mails (mix de vrais mails légitimes et de tentatives de phishing). Pour chaque mail, ils doivent :

  • Identifier s'il s'agit d'un phishing ou d'un mail légitime
  • Lister les indices qui justifient leur choix (en-têtes, URL, ton, expéditeur, fautes)
  • Proposer la réaction appropriée (signalement, suppression, vérification)

Cet exercice développe un regard analytique que les étudiants pourront appliquer au quotidien.

Phase 5 : Construction d'un phishing (20 minutes)

Pour comprendre l'attaquant, rien de mieux que de penser comme lui. Les étudiants doivent concevoir (sur papier uniquement) un scénario de phishing ciblant une organisation fictive :

  • Choix de la cible et du prétexte
  • Rédaction du mail
  • Conception de la page d'atterrissage (maquette)
  • Identification des leviers psychologiques utilisés

Ce travail inverse renforce considérablement la capacité de détection. Les étudiants qui ont conçu un phishing repèrent ensuite bien plus facilement les tentatives réelles.

Phase 6 : Debrief et synthèse (10 minutes)

Le formateur conclut en synthétisant les apprentissages clés :

  • Les signaux d'alerte a retenir
  • Les réflexes a adopter (vérifier l'URL, ne jamais cliquer dans l'urgence, contacter l'expéditeur par un autre canal)
  • Les ressources internes de signalement
  • Le lien avec les métiers de la cybersécurité : qui traite les incidents de phishing dans une organisation ?

Variantes et adaptations

Pour un public débutant

Simplifiez les exemples et passez plus de temps sur la phase de détection. Remplacez la phase de construction par une démonstration commentée du formateur.

Pour un public avancé

Ajoutez une dimension technique : analyse des en-têtes SMTP, vérification SPF/DKIM/DMARC, utilisation d'outils d'analyse d'URL. Les étudiants en cours de sécurité réseau apprécieront cette profondeur.

En format plus long (demi-journée)

Si vous disposez de trois heures, ajoutez un lab technique ou les étudiants déploient eux-mêmes une campagne de phishing simulée sur un environnement fermé. Cela nécessite GoPhish ou un outil similaire installé sur des machines dédiées.

Les erreurs a éviter

Envoyer le phishing sans cadre. Sans transparence préalable sur l'existence d'exercices de sensibilisation, vous risquez de perdre la confiance de vos étudiants.

Ridiculiser les "victimes". Le phishing fonctionne sur tout le monde, y compris les experts. L'objectif est collectif, jamais individuel.

Négliger le debrief. Sans retour structuré, l'exercice perd toute sa valeur pédagogique. Le debrief est la partie la plus importante du TP.

Utiliser de vraies données. Même dans un cadre pédagogique, les formulaires de simulation ne doivent jamais collecter de vrais mots de passe ou données sensibles.

Intégrez ce TP dans vos formations

Un TP de phishing bien mené est un moment fort du semestre. Il marque les étudiants et leur donne des réflexes applicables immédiatement, dans leur vie professionnelle comme personnelle.

Vous souhaitez faire intervenir un professionnel pour animer ce type d'atelier dans votre établissement ? Découvrez nos teachers spécialisés en sensibilisation et cybersécurité sur Cyber Teachers.

Pour aller plus loin

Tous les articles →

Transformez vos formations cybersécurité avec des experts

Expert qualifié en 24h • Formation sur-mesure • Consultation gratuite

logoCyber Teachers
© 2025 Cyber Teachers. Tous droits réservés.

Explorer

Ressources

Réseaux

Légal

Cyber Teachers