Non, si vous avez environ 95%+ de taux de clic sur votre campagne de Phishing, c’est le comportement classique de « robots-cliqueurs » : un de vos outils vient tester tous les liens hypertexte à l’intérieur de vos emails lors de la réception de ces derniers.

Il faut bien vous assurer du whitelisting de tous vos outils : Google Workspace et Microsoft Defender sont connus pour être dotés de fonctionnalités de filtrages, il en va de même pour les filtres anti-spams.

Je vous propose de réitérer une phase de tests en jouant sur le paramétrage de vos outils. Pour ce test faites un envoi à des personnes pilotes avec pour consigne que personne ne clique sur le lien contenu dans le mail. 

Infos complémentaires, si besoin : 

Pour exclure le scanning des liens (et donc le "clic" automatique sur les liens), la bonne manière de faire actuellement chez M365 avec Defender est de passer par le portail de sécurité Microsoft Defender :  

Microsoft Defender > Email et collaboration > Stratégie et règles > Stratégie de menace > Livraison avancée > Simulation d'hameçonnage. 

Ajouter le domaine souhaité (nom de domaine choisi pour votre campagne) et l'adresse IP d'envoi de mail chez AWS (toujours 23.251.247.26 dans notre cas).