L’humain est probablement la plus grande faille de sécurité de votre organisation. Dans cet article découvrez la méthode que nous utilisons pour identifier et tester cette faille afin de la corriger : le social engineering. 

 

Après un article sur les pentests, à retrouver ici, nous vous parlons aujourd’hui de social engineering. Existant sous plusieurs formes, le social engineering c’est l’art de la manipulation des personnes pour l’accès à des informations de sécurité sans faille technique. La forme la plus connue : le phishing (ou hameçonnage). Il s’agit d’un e-mail, un sms ou même un appel qui a pour objectif de faire baisser la vigilance de la victime en créant l’urgence ou par la confiance. 

Ce type d’attaque ne vise pas votre infrastructure, elle cible directement vos collaborateurs. 

 

Les différentes formes de social engineering 

Le phishing	Envois de faux e-mails jouant sur votre confiance, curiosité… Afin de récupérer des identifiants
Baiting	De son nom en français : Appât. Le baiting joue sur le tableau de la curiosité en laissant des clés usb ou autres objets « inoffensifs » afin d’attirer la victime
Smishing-Vishing	Envois de SMS (Smishing) ou d’appels téléphoniques (Vishing) jouant sur votre confiance, curiosité… Afin de récupérer des identifiants
Pretexting	Création d’un scénario très crédible en position de technicien, auditeur ou même fournisseur afin d’obtenir des identifiants ou accès physique
Tailgating	L’accès physique à une zone restreinte en exploitant les failles humaines, par exemple en se collant à une personne lors d’un passage à un tourniquet à badge.

 

Chez SRC Solution 

Afin de pouvoir répondre à ces failles, chez SRC Solution nous proposons la réalisation de campagnes de phishing à destination de vos collaborateurs. Cette prestation s’articule autour de différentes phases : 

1. Cadrage et scénarios : définition du périmètre, des cibles et des scénarios crédibles en rapport avec votre secteur d’activité 

1. Phase de reconnaissance (OSINT : Open Source INTelligence) : Nous collectons des informations publiques au sujet de votre organisation afin de personnaliser l’attaque (Via LinkedIn, site web et autre). 

1. Exécution de la campagne : Déploiement contrôlé avec suivis de chaque interaction durant celle-ci de manière anonyme. 

1. Analyse et reporting : Création d’un rapport détaillé avec recommandation priorisées avec les données obtenues et après analyse de celles-ci. 

 

Pourquoi tester ? 

Votre pérennité peut être discutée, avec un enjeu tel que, il est crucial d’avoir une équipe qui est capable d’identifier une attaque de phishing réduit drastiquement le risque d’attaque et fait la différence.

Notre approche ne consiste pas simplement à dire « tenez voilà une faille » nous vous accompagnons à créer une culture saine et adaptée à votre organisation pour combattre les attaques. 

 

Notre LinkedIn ici.