Exercice de phishing

Le 24 Juillet 2024, j’ai fait parvenir aux 20 collaborateurs de mon entreprise un courriel malveillant destiné à les diriger vers une page web confectionnée par mes soins. Celle-ci répliquait la page de connexion de notre logiciel interne, et récupérait les informations entrées par les "victimes". Bien entendu, par souci de confidentialité, le script PHP qui faisait office de back-end ne retournait pas les mots de passe entrés (sauf s'ils étaient faibles...). C'était la première fois qu'Obsam se prêtait à un exercice du genre, et je suis particulièrement fier d'avoir apporté un peu de maturité cyber à la société de par cette initiative. En revanche, qui dit première fois, dit surprise générale...

Séance de sensibilisation

Devant les résultats alarmants de cette simulation, j’ai convoqué l’ensemble des effectifs à une présentation tenue le 30 Juillet, une semaine après l'exercice. Au cours de cette réunion, j’ai pu leur présenter divers enjeux liés à la cybersécurité, puis leur offrir un debrief et des explications bienvenues sur le phishing ainsi que sur les manières de s’en protéger.


Technologies employées

HTML/CSS, PHP, Gmail, envoi de données sous format JSON à un Webhook Discord.

Voir la fausse page de connexion Télécharger le diapo de sensibilisation

← Retour à l'accueil