Début de l’opération “Vigie” – Aider les PME de Normandie avec leur cybersécurité

On est au début de l’année 2023. J’ai quitté mon job de chercheur à l’université sur la 5G suite au Covid et je prends le temps de faire une pause pour réfléchir à ce que je veux faire après. Une fois rentré en France près de mes proches, l’un d’eux se fait pirater et perd 15000 euros dans l’opération. Je me rends compte que je souhaite faire quelque chose, et protéger les PME.

Je décide de prendre le problème en commençant par le début, le site web. Je designe une offre pour les PME pour sécuriser leurs sites WordPress. J’analyse tous les sites de la région de Normandie, ce qui correspond à environ 35000 entreprises. Sur ces 35000 entreprises, plus de 1500 ont un site web qui tourne sur un WordPress non mis à jour. Sachant que c’est une configuration automatique dans WordPress, et qu’il n’y a rien à faire ou presque pour le mettre à jour. Je me dis que ces entreprises sont les plus à risque.

Sur les 1500 entreprises vulnérables, j’ai réussi à récupérer l’email d’un tiers d’entre elles. Ce qui me fait une liste de 500 entreprises à contacter par email facilement. Les autres sont également contactables mais via leur formulaire de contact. Ce qui veut dire que je dois développer un script bien particulier pour leur écrire, et 500 entreprises à contacter, c’est déjà énorme en étant tout seul.

J’ai automatisé une grosse partie du processus d’achat et de commande, j’ai documenté tout le chemin pour que l’entreprise puisse découvrir comment j’ai fait pour analyser la version de leur site.

La complexité de la démarche commerciale est compliquée sur deux points:

Premièrement, la RGPD qui stipule que le principe du opt in, c’est à dire que les utilisateurs doivent s’inscrire à la newsletter. Ici je contacte uniquement des entreprises, mais la démarche reste délicate, donc aucune démarche personnelle. Dans la théorie, je suis dans les règles. Sauf que le démarchage commercial à froid comme ça a de très grande de chance de finir dans le dossier spam. Ce que j’aimerai éviter pour de futurs contacts.

Dans un deuxième temps, comment est-ce que je peux contacter des entreprises en leur faisant comprendre que ma démarche est bienveillante, et que je ne suis pas un n-ième pirate qui tente de les arnaquer ?

Ma solution était de faire un mail un petit peu atypique, en utilisant un petit peu d’humour en faisant quelques références à Batman, en partageant l’expérience personnelle de mon proche, ainsi qu’en faisant référence aux différents piratages qui ont eu lieu dans la région sur ces derniers mois.

J’écris alors un long mail (lien de l’email: https://hacking-reality.fr/le-premier-email-de-demarchage/ ), avec le maximum de documentation et en ciblant particulièrement chaque client en leur donnant l’adresse de leur site web et la version qu’ils utilisent. Le premier test s’effectue sur 30 emails.

Les résultats dans un prochain post.

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *