Pour toute entreprise, il y aura toujours un intérêt primordial à former ses employés à la sécurité sur Internet. GitLab a voulu tester ses propres employés avec une fausse tentative de phishing et le résultat n’est pas bon, bien que dans la moyenne.
Les tentatives de phishing sont monnaie courante et elles aboutissent parfois à un piratage en règle. L’expérience menée par GitLab la semaine dernière indique qu’il ne faut pas relâcher les efforts et continuer à former le personnel.
Une fausse page de connexion pour tester les employés
GitLab a fait les choses dans les règles de l’art. Ils ont tout d’abord acheté le nom de domaine gitlab.company puis, à l’aide de G Suite, paramétré celui-ci avec un certificat SSL pour le rendre plus crédible et passer sous le radar de la détection automatique de tentative de phishing par email.
Ils ont ensuite fait parvenir un email à 50 employés sélectionnés. Ce mail contenait un lien à suivre pour faire une mise à niveau. Le lien conduisait vers le faux site mis en place pour l'expérience et les employés étaient invités à saisir leurs identifiants de connexion.
Six employés ont signalé le mail comme étant suspect et 17 employés ont machinalement cliqué sur le lien. Mais sur ce nombre, 10 d’entre eux ont tenté de se connecter, sans se rendre compte de la tentative de phishing, en saisissant leurs codes de connexion. Ce qui représente 20% des employés testés.
Source : SiliconAngle
