Notre Blog

Panorama des solutions de campagnes de phishing interne

on novembre 28, 2018

Comment on le dit souvent la meilleur défense est l’attaque !

Si on se place dans le monde de l’entreprise aujourd’hui les attaques par phishing se placent dans le top 3. Plusieurs approches existent pour minimiser l’impact d’une attaque de phishing sur son organisation:

  • L’installation de produit de détection d’emails frauduleux.
  • L’ajout de produit élevant le niveau de confiance entre les expéditeurs et destinataires.
  • La sensibilisation des collaborateurs.

La sensibilisation des collaborateurs ne peut être qu’efficace que si elle est adaptée au milieu dans lequel ils évoluent  en prenant compte  des différentes contraintes auxquelles ils sont confrontés.

L’approche de la “démo réelle” en entreprise peut s’avérer très efficace. Elle permet de cibler précisément les services, les organisations faillibles ou peu concernées par le plan de sensibilisation mis en place. Le résultat de cette campagne de phishing peut vous apporter des arguments supplémentaires (taux de pénétration, impacts sur le business, taux de sensibilisation …)  sur l’intérêt de sensibiliser encore plus les collaborateurs.

Sur le marché plusieurs éditeurs proposent des solutions clés en mains pour mettre en place une campagne de phishing interne :

Outils commerciaux:

 

Open source:

Gophish
L’installation de Gophish est simple il suffit de télécharger le bon binaire par rapport votre plateforme d’exécution (windows, mac et linux). La configuration se fait via votre navigateur sur le port 3333 de votre hôte locale. Il est aussi possible de l’exécuter depuis un container Docker.

ReelPhish Fireeye
Téléchargement

Le produit est proposé en téléchargement par la société FireEye. Il fonctionne dans un environnement Linux nativement. Des dépendances sont requises pour le fonctionnement du script en langage Python ainsi que du binaire Selenium. Il intègre un système de phishing à double facteur 2FA.

SwordPhish Société Générale

Le produit est proposé par le CERT de la Société Générale. Son utilisation est simple, elle se base sur une ligne de commande.

Des dépendances sont requises pour un fonctionnement sous Windows. Un tableau de bord permet de visualiser l’avancé de l’attaque et de suivre les employés piégés.

 

Vous voila prêt pour lancer votre première campagne de phishing intra entreprise ou avant les élections municipales de 2020🙂

Cédric Lamouche

adminPanorama des solutions de campagnes de phishing interne

Related Posts

Take a look at these posts