Campagne de sensibilisation au phishing

Lors d'une réunion, notre système d'information s'est interrogé sur la possibilité de quantifier les employés de l'entreprise qui ne sont pas à jour sur les règles de sécurité à respecter. L'objectif était de financer, par exemple, une formation pour les employés n'ayant pas les connaissances ou les bonnes habitudes, afin de les faire monter en compétences tout en assurant une meilleure sécurité de notre système d'information.

À partir de là, nous avons réfléchi à la manière de mettre en place une solution permettant de récupérer des informations permettant l'identification d'une personne (IP, adresse MAC, hostname, login AD, etc.) suite à une mauvaise manipulation de l'utilisateur.
Nous avons choisi le mail frauduleux, car c'est la menace la plus fréquente.

Nous avons alors mis en place un ensemble de services et d'outils correspondant aux besoins de la solution :

• Serveur mail
• Base de données (MariaDB)
• Interface d'administration de la base de données
• Serveur Web (Apache, PHP)
• Page HTML/CSS frauduleuse
• Mail frauduleux

Voici le déroulé de la solution :

1. Un mail frauduleux contenant un lien vers notre serveur web est envoyé à la cible.
2. La cible se rend sur le site via le lien.
3. La partie back-end de la solution récupère et traite les données de l'utilisateur (1er échec).
4. L'utilisateur remplit un formulaire et l'envoie à notre base de données (2nd échec).
5. Nous sommes notifiés par mail de l'ajout d'une entrée dans la base de données.

La solution n'a pas été retenue pour des raisons d'éthique, de confidentialité et de confiance des employés.

En dehors du cadre professionnel, j'ai pu peaufiner mon projet dans le cadre de mon BTS.