Source: today.ucsd.edu UC San Diego — Présentée à Black Hat (août 2025) et à l’IEEE S&P (mai), l’étude a évalué sur huit mois l’efficacité de deux approches de formation anti‑phishing auprès de 19 500 employés d’UC San Diego Health.
Les chercheurs n’ont trouvé aucune relation significative entre l’achèvement de la formation annuelle obligatoire et la probabilité de succomber à des emails de phishing. L’entraînement intégré (embedded), délivré après un clic sur un hameçon simulé, n’a réduit le taux d’échec que de 2%.
L’engagement avec les contenus intégrés est resté faible: 75% des utilisateurs y ont passé ≤ 1 minute, et un tiers a fermé immédiatement la page de formation. La vulnérabilité a augmenté dans le temps: environ 10% cliquaient le premier mois; au huitième, plus de la moitié avaient cliqué au moins une fois.
L’efficacité des leurres variait fortement: 1,82% de clics pour un faux changement de mot de passe Outlook, contre 30,8% pour une prétendue mise à jour de la politique de congés. Contexte: selon IBM (2023), le phishing est la première cause de brèches (16%). Le secteur santé est particulièrement exposé (HHS 2023: 725 brèches majeures, 133 M de dossiers, 460 incidents de ransomware).
Les auteurs recommandent de privilégier des contre‑mesures techniques à meilleur ROI: authentification multifacteur (AMF) pour matériels et applications, et gestionnaires de mots de passe qui n’auto‑remplissent que sur les domaines corrects. 🛡️
Il s’agit d’une publication de recherche visant à mesurer l’efficacité des formations anti‑phishing et à orienter les priorités de défense.
🔗 Source originale : https://today.ucsd.edu/story/cybersecurity-training-programs-dont-prevent-employees-from-falling-for-phishing-scams