Je connais des gens dont la boîte avait en effet fait ça: engager une boîte d'audit en sécurité informatique qui a commencé par faire une campagne de fishing, puis a ensuite formé les employés. C'était au final assez intéressant, il y a eu récidive de fishing quelques mois plus tard avec des résultats bien meilleurs en terme de comportement sécuritaire des employés.