Présentation

Qu'est-ce que GoPhish ?

Le phishing représente aujourd'hui l'une des principales menaces informatiques auxquelles les entreprises font face. Selon l'ANSSI, plus de 80 % des incidents de sécurité ont pour origine une erreur humaine — et le phishing en est le vecteur numéro un.

Face à ce constat, il ne suffit plus de mettre en place des outils techniques. Il faut aussi former et tester les utilisateurs en conditions réelles. C'est exactement ce que permet GoPhish.

Cette solution open source permet de simuler des campagnes de phishing en interne, d'analyser les comportements des collaborateurs, puis d'adapter les actions de formation en conséquence.

En résumé

GoPhish est un framework open source conçu pour orchestrer des campagnes de phishing simulées. Il permet à un administrateur de créer des e-mails frauduleux réalistes, de les envoyer à des groupes cibles, et de collecter des métriques précises sur les clics, les ouvertures et les soumissions de données.

Entièrement légal dans un cadre interne et autorisé, GoPhish est utilisé par des équipes SOC, des responsables IT et des formateurs en cybersécurité pour évaluer le niveau de vigilance des collaborateurs.

🔗 Partager l'outil : getgophish.com

Méthodologie

Comment ça fonctionne ?

01
✉️

Campagne

L'administrateur crée un e-mail de phishing réaliste via l'interface : objet, expéditeur, contenu HTML et lien piégé.

02
🎯

Ciblage

Les destinataires sont importés par liste (CSV), organisés par groupe : service RH, comptabilité, direction, etc.

03
📊

Collecte

GoPhish envoie les e-mails et traque en temps réel : ouverture, clic, soumission d'identifiants sur la fausse page.

04
🎓

Formation

Les collaborateurs ayant cliqué sont automatiquement redirigés vers une page de sensibilisation ciblée.

Analyse de données

Résultats d'une campagne type

À l'issue d'une campagne, l'administrateur dispose d'un tableau de bord détaillé indiquant, service par service, le taux de vulnérabilité.

Ces données permettent d'identifier précisément quels services sont les plus exposés pour prioriser les formations.

Risque élevé — Formation obligatoire prioritaire

Risque moyen — Sensibilisation recommandée

Vigilance — Maintenir les bonnes pratiques

Taux de clic par département

Analyse sur 85 employés — Moyenne globale : 32%

Comptabilité / Finance 62 %
Ressources Humaines 54 %
Direction / Management 38 %
Commercial / Marketing 31 %
Informatique / DSI 8 %
Critique
Modéré
Sécurisé

Pédagogie

Actions de formation

Priorité Haute

Formation Intensive

Déclenchée pour les profils ayant soumis des identifiants. Couvre la reconnaissance visuelle des URLs et des certificats SSL contrefaits.

Sensibilisation

Atelier Pratique

Organisé pour les services à risque moyen : analyse d'e-mails suspects en conditions réelles et quiz interactifs en groupe.

Maintien

Culture Cyber

Campagnes trimestrielles pour l'ensemble des collaborateurs afin de maintenir un niveau de vigilance élevé sur le long terme.

Apport pour l'entreprise

Mettre en place GoPhish, c'est adopter une approche proactive de la cybersécurité. Plutôt que d'attendre une vraie attaque, on teste, mesure et forme en continu. Le résultat : des collaborateurs vigilants, des incidents évités, et une politique de sécurité renforcée. Dans le cadre de mon BTS SIO SISR, cet outil illustre parfaitement comment la technique et la pédagogie protègent ensemble le SI d'une organisation.