Social Engineering

Ingénierie sociale

Les tests d’ingénierie sociale (Social Engineering) de CyberHill évaluent vos employés, vos processus et vos procédures par le biais du phishing par courrier électronique (email phishing), de l’hameçonnage téléphonique (telephone vishing) et des tentatives d’intrusion sur site physique avec une perspective éthique.

Il est important de vérifier à intervalle régulier l’efficacité et l’efficience des procédures, des processus et des outils déployés pour l’atténuation des risques en testant exploitabilité des faiblesses au sein de l’entreprise.

L’ingénierie sociale consiste à utiliser des techniques de manipulation sur des individus afin qu’ils divulguent des informations sensibles.

CyberHill propose trois services d’ingénierie sociale avec une perspective éthique pour tester la sensibilité des personnes à la persuasion et à la manipulation :

  • Hameçonnage par courriel
  • Hameçonnage téléphonique
  • Ingénierie sociale en personne (en face à face)

Les transactions et les interactions dans chaque organisation impliquent généralement de nombreuses personnes. Les criminels sont rusés et utiliseront activement des tactiques d’ingénierie sociale pour cibler toute personne associée à votre organisation dans l’intention de l’exploiter pour accéder à des informations sensibles

Pourquoi devrais-je effectuer des tests d’ingénierie sociale ?

Un test d’ingénierie sociale est une attaque simulée du point de vue d’un attaquant malveillant comme un pirate informatique ou un criminel. L’objectif est de simuler une attaque et de tenter de découvrir des vulnérabilités qui pourraient être découvertes avec très peu de connaissance informatique. Vous obtiendrez suite au test une vision précieuse sur la posture de sécurité à tenir et pourrez vous préparer avant que des pirates ne puissent causer de sérieux dommages en les exploitant.

Les pirates qui ont recours à l’ingénierie sociale inventent constamment de nouveaux moyens d’attaque, c’est pourquoi il est important de travailler avec des professionnels de l’audit en cybersécurité.

Comment se passe les audits ?

Lors d’une mission sur site, les auditeurs de CyberHill utiliseront diverses techniques pour obtenir un accès physique aux dossiers, fichiers et/ou équipements susceptibles de contenir des informations confidentielles.

Nous utilisons des techniques d’engagement sur site comme par exemple :

  • L’inspection des bennes à ordures
  • Le déguisements en « autorité de confiance », tels que des inspecteurs ou des agents de l’état (fisc, inspection du travail), les pompiers, le réparateur d’air conditionné, des professionnels de la lutte antiparasitaire, etc.
  • L’usurpation d’identité d’un employé : service d’assistance informatique ou helpdesk, nouvel employé et auditeur

Les techniques d’engagement à distance sont généralement :

  • Les appels sous un faux prétexte (par exemple, les employés et les équipes du service d’assistance)
  • Le phishing
  • Par courrier électronique (tentative de connexion des employés à un portail ressemblant à celui de l’entreprise)
  • Par honey pot physiques (CD et clés USB) : nous laissons trainer des objets pour attirer les employés

Les tests en social engineering sur site ou à distance peuvent porter sur les vulnérabilités suivantes :

  • Effacement approprié des données sensibles
  • Sensibilisation à la politique de protection de la vie privée
  • Respect des politique internes
  • Signalement des manquements ou des violations de politique
  • Accréditations et droits d’accès
  • Contrôles techniques préventifs

Pour la partie physique nous pouvons aussi effectuer des tests sur :

  • Sécurité des zones sensibles
  • Compromission des dispositifs de sécurité physique

Nous pouvons tester vos sous-traitants, vos partenaires, vos fournisseurs, vos distributeurs, vos associés, etc.

Combien coûtent les tests d’ingénierie sociale ?

Il n’est pas facile d’y répondre tant qu’un certain travail de cadrage sur le périmètre recherché n’a pas été effectué. Globalement, la complexité de l’opération déterminera en fin de compte son coût. Par exemple, lorsque nous déterminons l’effort de travail, nous prenons en compte les éléments suivants : le nombre de cibles (courriel, téléphone) et le nombre de lieux physiques (sur site), et le temps de déplacement entre les lieux physiques si nécessaire, l’utilisation de comédiens ou le temps de création des scénarios.