Pourquoi votre investissement dans le contrôle d’accès ne sert à rien si les employés cliquent sur des liens de phishing

Cet article s’adresse aux responsables sécurité, aux facility managers et aux décideurs IT/OT d’entreprises européennes qui investissent dans la sécurité physique et souhaitent comprendre pourquoi cet investissement dépend aussi de la protection du facteur humain.

Points clés

• Le phishing représentait 60 % des vecteurs d’intrusion cyber en Europe en 2025 (ENISA)
• Les attaques fondées sur l’identité ont augmenté de 32 % au premier semestre 2025 (Microsoft)
• Ajouter une sensibilisation au phishing à une sécurité physique existante coûte généralement €4,8–€9,8 par employé et par an
• La sécurité convergée consiste à considérer les risques physiques, numériques et humains comme une seule surface d’attaque connectée

Chaque porte est sécurisée, et pourtant les attaquants entrent

Dans notre article sur les exigences d’audit NIS2, nous expliquions pourquoi une formation annuelle à la sensibilisation à la sécurité ne suffit plus. Cet article va plus loin : la sécurité physique seule ne suffit plus non plus.

Partout en Europe, les organisations investissent massivement dans la sécurité physique : contrôle d’accès, vidéosurveillance, gestion des visiteurs, protection périmétrique et politiques de badges. Le problème, c’est que le paysage des menaces a changé.

Aujourd’hui, les attaquants cherchent rarement à forcer le périmètre physique. Ils ciblent les personnes et les identités numériques qui interagissent avec lui.

Les données européennes sont claires. Dans son Threat Landscape 2025, l’ENISA a analysé 4 875 incidents affectant l’environnement européen des cybermenaces et a constaté que le phishing était le principal vecteur d’intrusion, représentant 60 % des cas. Le point d’entrée le plus fréquent était une personne amenée à cliquer, répondre, approuver ou révéler une information qu’elle n’aurait pas dû communiquer.

De nombreuses organisations continuent de traiter la sécurité physique et le risque cyber comme deux sujets distincts : d’un côté les bâtiments, les actifs et les personnes sur site ; de l’autre les e-mails, les mots de passe et les malwares. Cette séparation avait du sens il y a dix ans. Ce n’est plus le cas aujourd’hui.

La même entreprise qui protège ses entrées avec des lecteurs de badges et surveille ses visiteurs via des systèmes connectés opère de plus en plus dans un environnement relié au cloud. En 2025, 52,74 % des entreprises de l’UE utilisaient des services de cloud computing payants, et cette part atteignait 84,67 % parmi les grandes entreprises. Dans le même temps, 52 % des citoyens de l’UE utilisaient l’identification électronique pour accéder à des services en ligne.

Dans ce contexte interconnecté, un e-mail de phishing est rarement un simple problème d’e-mail.

Sécurité physique et facteur humain

Le contrôle d’accès, les systèmes de vidéosurveillance et la gestion des visiteurs restent essentiels. Ils protègent la couche physique : qui entre, où les personnes se rendent, ce qu’elles font et comment les incidents peuvent être reconstitués après coup. Les investissements en sécurité physique sont fondamentaux, et les organisations ont raison de les réaliser.

Mais ces investissements ne fonctionnent comme prévu que si les personnes qui évoluent autour d’eux ne sont pas manipulées pour les contourner.

Une attaque de phishing n’a besoin que de compromettre l’identité, le jugement ou le flux de travail d’une personne de confiance. Une fois cela fait, les attaquants peuvent obtenir accès à des comptes d’entreprise, des communications de maintenance, des registres visiteurs, des plans internes, des plannings d’équipes, des données fournisseurs ou des identifiants et autorisations.

La menace n’a plus rien d’hypothétique :

• Microsoft (2025): Les attaques fondées sur l’identité ont augmenté de 32 % au premier semestre. Plus de 97 % des attaques d’identité visaient les mots de passe. La conclusion de Microsoft était directe : les attaquants ne fracturent plus l’entrée. Ils se connectent.
• IBM (2024): Une hausse de 84 % des e-mails de phishing diffusant des voleurs d’informations montre à quel point le vol d’identifiants est industrialisé et déployé à grande échelle.
• Impact business: Les cyberattaques de 2025 contre Marks & Spencer et Co-op ont été estimées à un coût cumulé compris entre £270 millions et £440 millions.

Le National Institute of Standards and Technology (NIST) a indiqué que les systèmes électroniques de contrôle d’accès physique doivent être considérés comme des combinaisons de composants informatiques et d’éléments de sécurité physique, et non comme du matériel isolé.

Un enjeu de première ligne pour les industriels

Le risque de sécurité convergée est particulièrement important pour les organisations industrielles.

Le Threat Landscape 2025 de l’ENISA a identifié l’industrie manufacturière comme le secteur le plus régulièrement ciblé dans cinq États membres de l’UE. L’IBM X-Force Threat Intelligence Index 2025 a également constaté que l’industrie manufacturière était le secteur le plus visé dans ses données d’incidents, représentant 40 % de tous les cas.

Dans l’industrie, le risque cyber touche la continuité de production, la coordination fournisseurs, la maintenance, la sécurité, la logistique, la propriété intellectuelle et la disponibilité. Selon le Data Breach Investigations Report 2025 de Verizon, les trois principaux schémas de compromission dans l’industrie — intrusion système, ingénierie sociale et attaques basiques d’applications web — représentent ensemble 85 % des violations. L’abus d’identifiants représente 22 % et le phishing 16 % des vecteurs d’accès initiaux connus. Environ 88 % des violations relevant du schéma des attaques d’applications web impliquaient des identifiants volés.

Une entreprise industrielle peut investir lourdement pour protéger ses sites, entrepôts, zones restreintes et accès prestataires, tout en restant exposée parce qu’un seul employé clique sur une fausse facture, une fausse mise à jour fournisseur ou une fausse réinitialisation de mot de passe. Ce clic peut perturber la coordination fournisseurs, les processus de maintenance, le support à distance et la continuité de production bien avant que quelqu’un n’y voie un problème de facility management.

Ce que signifie la sécurité convergée en pratique

La sécurité convergée est parfois décrite comme une coordination plus étroite entre les équipes de sécurité physique et de cybersécurité. C’en est une partie. Le changement le plus important consiste à traiter une attaque comme une seule attaque, même lorsqu’elle apparaît à différents endroits.

Dans un site connecté, un e-mail de phishing, une réinitialisation de mot de passe par le helpdesk, une demande d’accès prestataire et une session distante inhabituelle peuvent être différentes étapes du même incident. Une stratégie de sécurité convergée part du constat que la couche physique, la couche numérique et la couche humaine sont interconnectées.

Une demande d’accès suspecte, un e-mail fournisseur usurpé, une préinscription visiteur frauduleuse, une boîte mail prestataire compromise, une entrée par badge hors schéma habituel, une réinitialisation de mot de passe sous pression et une session de support à distance provenant d’une identité apparemment fiable peuvent toutes appartenir à la même tentative d’intrusion.

L’OCDE a constaté que 21,8 % des entreprises européennes utilisent des dispositifs connectés à Internet pour la sécurité des locaux, et que parmi les entreprises utilisant des dispositifs connectés, 75 % les utilisent à cette fin. L’avis Scattered Spider de 2025 illustre la logique des attaquants : manipuler le helpdesk, exploiter une relation de confiance, obtenir des identifiants valides et se déplacer via des comptes légitimes. Les équipes en silos passent complètement à côté de cette chaîne.

En pratique, la sécurité convergée repose sur trois éléments :

Coordination entre équipes

Les équipes facility et cyber traitent les signalements de phishing, les abus d’identifiants, les demandes d’accès suspectes et les workflows prestataires comme des signaux liés, et non comme des incidents séparés.

Sensibilisation adaptée aux rôles

Une formation annuelle générique ne suffit pas. Une étude de 2025 menée auprès de 93 collaborateurs RH et comptables dans neuf organisations a montré que seuls 27 % estimaient que la formation actuelle couvrait les risques propres à leur département. Les équipes RH font face à des candidatures malveillantes et à l’usurpation de dirigeants ; les équipes comptables à la fraude à la facture et aux ransomwares. Les employés préféraient des formats trimestriels basés sur des scénarios, préférence qui reflète leur exposition réelle au risque.

Réduction du risque mesurée

Une étude longitudinale de 2025 impliquant plus de 1 300 employés et plus de 13 000 simulations de phishing a montré que les actions à risque sont passées de 8,5 % à 4,2 % en six mois. Les employés ayant échoué puis reçu une formation immédiate de suivi étaient 70 % moins susceptibles de répéter le même comportement à risque. La sensibilisation doit être pilotée comme n’importe quel autre contrôle de sécurité, avec des preuves que le risque diminue réellement.

Le coût de l’ajout de la couche humaine

Combien coûte le passage d’une sécurité uniquement physique à une sécurité physique complétée par une sensibilisation anti-phishing ?

Les prix publics 2025 à 2026 du Digital Marketplace du gouvernement britannique montrent des services de sensibilisation à la sécurité et de simulation de phishing autour de €4,8 à €9,8 par employé et par an pour des niveaux standard, les offres plus avancées atteignant environ €28,50.

Pour une organisation de 1 000 employés, cela représente généralement un coût annuel compris entre €4 800 et €9 800 pour ajouter une couche humaine continue de protection.

Comparé au coût d’une infrastructure de contrôle d’accès, de vidéosurveillance, de supervision et de maintenance, ce n’est pas un nouveau projet d’infrastructure. C’est une dépense opérationnelle relativement modeste qui aide à protéger les identités, les workflows et les décisions dont dépend déjà votre investissement de sécurité existant

La sensibilisation à la sécurité est le prolongement naturel de votre investissement en sécurité physique

Beaucoup d’organisations considèrent la sensibilisation à la sécurité comme un projet annexe de l’IT, plutôt que comme l’aboutissement logique de leur investissement de sécurité existant. Cette approche est inversée.

Si vous investissez déjà pour contrôler l’accès aux espaces, surveiller les mouvements, protéger les actifs et documenter qui a fait quoi et quand, vous avez déjà accepté un principe central de sécurité : la confiance doit être maîtrisée.

La sensibilisation à la sécurité applique ce même principe au comportement humain. Elle aide les employés à reconnaître le phishing, l’ingénierie sociale, l’usurpation d’identité, les liens malveillants, les fausses urgences, les pièges à identifiants et les abus de workflow avant qu’ils ne deviennent des accès non autorisés.

C’est exactement là que Prime Security Awareness s’inscrit. C’est la couche de contrôle humaine que les systèmes physiques ne peuvent pas assurer seuls. Ce n’est pas un outil cyber supplémentaire. C’est la couche manquante qui permet à l’investissement en sécurité physique de fonctionner comme prévu.

Conclusion

Les organisations modernes ne perdent pas le contrôle uniquement lorsque quelqu’un franchit la grille. Elles le perdent lorsqu’une personne de confiance, une identité valide et un système connecté sont manipulés en séquence.

La sécurité physique protège le site. La sensibilisation humaine protège les décisions qui maintiennent le site sécurisé. Les organisations qui relient les deux tirent davantage de valeur de chaque lecteur, caméra, règle d’accès et workflow prestataire qu’elles gèrent déjà.

Pour un coût récurrent relativement modeste, la couche humaine peut protéger un investissement en sécurité physique bien plus important.

Découvrez comment Prime Security Awareness complète votre sécurité convergée.

Frequently Asked Questions

Pourquoi le phishing est-il un problème de sécurité physique ?

Les attaques de phishing ciblent les personnes qui exploitent les systèmes de sécurité physique. Une tentative réussie peut donner aux attaquants accès à des identifiants, des workflows de maintenance, des registres visiteurs et des communications prestataires, contournant ainsi les contrôles d’accès sans jamais toucher une porte.

Quel est le lien entre NIS2 et la sensibilisation à la sécurité ?

NIS2 exige des organisations des secteurs critiques qu’elles mettent en œuvre des mesures techniques et organisationnelles appropriées, y compris la sensibilisation des employés. Une formation annuelle générique n’est plus considérée comme suffisante pour la conformité. Des programmes réguliers, mesurables et adaptés aux rôles sont de plus en plus attendus.

Quels secteurs sont les plus exposés aux violations de sécurité physique rendues possibles par le phishing ?

L’industrie manufacturière est le secteur le plus régulièrement ciblé dans les données européennes sur les menaces, selon le Threat Landscape 2025 de l’ENISA et l’IBM X-Force Threat Intelligence Index 2025. Toutefois, toute organisation qui combine des systèmes de sécurité physique connectés avec une gestion des identités basée sur le cloud est exposée à un risque convergé.