Ingénierie Sociale

Logo NBS System
Logo NBS System
Ingénierie Sociale
 

Depuis quelques années, nous entendons de plus en plus parler de la cybercriminalité, des vulnérabilités informatiques, des failles appelées Zero Day … Bref, le monde numérique dans lequel nous vivons se concentre de plus en plus sur ces menaces.

Il est vrai que la multitude de technologies présentant des failles techniques sont aujourd’hui un terrain de jeu fleurissant pour les pirates informatiques. De nombreuses vulnérabilités sont bien trop souvent détectées automatiquement par des robots, et leur exploitation peut avoir lieu de manière totalement opportuniste.

Or, en nous focalisant sur des vulnérabilités techniques, nous en oublions nos vulnérabilités humaines.

Si un pirate n’arrive pas à atteindre son objectif « techniquement », il contournera les défenses de l’entreprise par l’humain via des méthodes d’Ingénierie Sociale. Il ne faut donc pas négliger ce type d’attaques ciblées.

Social Engineering : vos équipes sont-elles prêtes ?

L’Ingénierie Sociale est un test permettant de mettre en évidence les failles « humaines » de votre Système d’Information (SI).

Beaucoup définissent l’Ingénierie Sociale comme une pratique visant à manipuler psychologiquement des êtres humains afin d’identifier et d’utiliser leurs faiblesses (excès de confiance, crédulité, ignorance des protocoles, …) en vue d’obtenir de ces personnes quelque chose : accès, information stratégique, bien ou service, etc.

Ce type d’attaque, plus répandue qu’on ne le croit, ne nécessite que très peu de connaissance technique, voire aucune. Les attaquants (qu’ils soient des pirates malveillants ou nos experts missionnés par vous) utiliseront la plupart du temps des facteurs de communication simples tels que le téléphone, l’email, le courrier postal…

Contactez-nous

 L’expertise en sécurité informatique de NBS System

21 ans d’expérience

+600 tests d’intrusions

+ de 250 clients en sécurité informatique

Créateur de CerberHost

Créateur de Naxsi


Quel avantage apporte l’Ingénierie Sociale ?

Les comportements des employés peuvent avoir des conséquences importantes d’un point de vue sécurité du SI au sein de votre organisation.

La mise en place d’une expérience dans le social engineering n’a pas pour but d’identifier le « maillon faible » de l’équipe, mais est davantage un exercice permettant mesurer la sensibilité de vos collaborateurs face à ce type d’attaque ciblée.

Nous pourrons également identifier un manque d’information ou de formation face aux procédures de sécurité, ce qui vous permettra de vous inscrire dans une démarche de formation et de sensibilisation à la sécurité en ayant l’adhésion de vos employés.

Outre la compromission en tant que tel, nous pourrons également évaluer la réactivité de vos équipes sur des leviers internes importants comme :

  • Le temps de détection de la compromission,
  • La communication de crise en interne,
  • Les moyens mis en œuvre pour mitiger ou stopper l’attaque,

Ce test de résistance de vos équipes face à un intervenant tiers peut aussi être mis en place a posteriori, par exemple suite à une formation de sensibilisation à la sécurité, de manière à en tester les résultats.

Quoi qu’il en soit, les expériences d’Ingénierie Sociale, peuvent être mis en place de manière isolée, bien qu’il s’agisse souvent d’une étape au sein d’une plus grande opération de test de sécurité.

L’Ingénierie Sociale : toute une méthodologie

Contractualisation :

Ce type de mission étant particulièrement sensible (manipulation de données personnelles, contact de vos équipes…), il est primordial de bien définir un cadre. Une tentative d’Ingénierie Sociale sur votre entreprise sans votre accord signé serait bien entendu illégale. Une attention particulière est donc portée à la contractualisation de la mission.

Objectif à atteindre :

Il est important pour l’ingénieur social de comprendre ce qui est important, voire vital pour votre entreprise. Il peut s’agir d’une base de données, de l’accès à un applicatif stratégique, des droits d’accès des collaborateurs, du maintien de votre production… Ce sont ces éléments qu’ils essaieront d’atteindre.

Vous pouvez également adopter la méthode inverse : au lieu de déterminer un objectif à atteindre, nous pouvons ensemble déterminer une cible à tester. Par exemple, vous pouvez faire tester à nos experts la résistance humaine de l’ensemble des postes de secrétariat & assistance de direction.

La démarche que nos experts utiliseront, ainsi que leurs astuces, et leurs cibles, ne seront pas les mêmes selon l’objectif à atteindre.

Mise en œuvre de la mission :

De nombreux scénarii sont envisageables. Le but du Social Engineering est de s’approcher au plus près des collaborateurs pour abuser de leur confiance. Il est donc difficile de vous présenter un scenario type. En effet, nos experts vont redoubler de créativité d’une mission à une autre afin de coller au mieux au cadre de la mission, à l’environnement de travail de vos employés, à votre culture d’entreprise, etc. de la même manière que le font les pirates. Cependant voici quelques exemples de pratiques et de moyens de communication fréquemment utilisés :

Type de pratique

  • Phising / hamconnage
  • Virus type Cheval de troie
  • Usurpation d’identité

Moyens de communication

  • Téléphonie
  • Emailing
  • Réseaux sociaux

Restitution :

Comme pour chacune de nos prestations de sécurité informatique, nous vous fournissons un rapport le plus détaillé possible contenant l’ensemble des informations qui pourraient vous être utile :

  • Méthodes utilisées
  • Résultats obtenus
  • Bilan des points sensibles de votre entreprise
  • Recommandations et correctifs adaptés

Quand doit-on faire appel à l’ingénierie sociale ??

L’Ingénierie Sociale a pour but d’auditer le comportement humain face à une tentative de compromission extérieure. Il n’est ici nullement question de matériel, programme, infrastructure, etc.

Vous souhaitez sensibiliser vos collaborateurs à la sécurité informatique et voulez les faire adhérer à la formation ? L’Ingénierie Sociale est la bonne méthode de preuve par l’exemple.

Vous avez investi dans une formation à la sensibilisation aux procédures de sécurité informatique, et vous voulez en tester les résultats ? L’audit de Social Engineering vous permettra d’avoir une vision objective sur le comportement de vos employés.

Ingénierie sociale entreprise : qui s’en occupe ?

La cellule sécurité de NBS System est composée de 10 experts, chacun avec leur spécialité.

  • Une partie de l’équipe est spécialisée dans les prestations de sécurité tels que les audits et tests d’intrusion
  • L’autre partie de l’équipe dédie son temps à de la recherche. Elle crée notamment des outils de sécurité open source afin de partager leur expertise auprès de la communauté et de la société dans son ensemble.

Cette deuxième équipe est donc toujours au fait des dernières découvertes en matière de sécurité. Elle partage ses découvertes avec l’équipe qui réalise pour vous un test d’Ingénierie Sociale, afin que cette dernière puisse tester efficacement vos défenses, même contre les dernières attaques et méthodes en date.

En outre, chacun des membres de la cellule sécurité de NBS System est affecté de manière ponctuelle et aléatoire au rôle de SecOps. Nos experts, en réalisant ainsi des missions opérationnelles de sécurité pour nos clients, restent au plus proche de la réalité du terrain et de vos impératifs de production.

Missions d’Ingénierie Sociale : où ont-elles lieu ?

L’objectif de ce type de mission étant de réaliser le test dans une totale discrétion par rapport à vos collaborateurs, il est préférable pour les missions d’Ingénierie Sociale que nos experts ne soient pas présents dans votre entreprise au moment du test. L’expérience se déroulera depuis nos locaux.

Déontologie ?

Au terme de la prestation, l’ensemble des informations obtenues vous sera restituée en même temps que le rapport final. Ces éléments sont strictement confidentiels et ne seront partagés qu’entre votre équipe référente et l’équipe sécurité de NBS System. Aucune information ne sera transmise à des tiers ni ne sera sauvegardée, et les points sensibles de votre entreprise ne seront jamais exploités en dehors du contexte du test.

Apprenez en plus sur nos prestations en contactant nos équipes commerciales