Social Engineering

Evaluation de l'élément humain dans la protection des données

Etapes suivantes :

Overview

L'expression « ingénierie sociale » est utilisée depuis des années en informatique pour désigner une technique de piratage recourant à la persuasion ou à la tromperie pour obtenir un accès à des systèmes d'informations. En général, cet accès s'obtient par un dialogue ou d'autres formes d'interaction entre personnes. Le support privilégié est généralement le téléphone, mais la communication s'effectue également par e-mail, au travers de publicités télévisées ou par d'innombrables autres supports destinés à provoquer une réaction de la part des individus ciblés. Imaginez une disquette ou un CD étiqueté « Salaires personnel » abandonné dans un couloir ou les toilettes d'une entreprise. Le support contient en réalité du code malveillant. Certaines personnes au sein de l'entreprise pourraient bien être tentées de l'insérer dans leur ordinateur et d'accéder à son contenu.

Foundstone applique les techniques d'ingénierie sociale les plus pertinentes pour votre entreprise. Notre méthodologie coïncide avec notre approche en matière d'évaluations de la sécurité. La mission débute par l'identification des cibles et la collecte d'informations, suivies de tentatives d'exploitation. Nous appliquons systématiquement ces principes dans le cadre d'une approche personnalisée en fonction des objectifs de la situation particulière.

Principaux avantages

  • Identification des faiblesses au sein de l'entreprise
    Foundstone met en œuvre une approche personnalisée de la méthodologie d'évaluation de la sécurité.
  • Mesure de l'efficacité de vos programmes de sensibilisation à la sécurité
    Vos utilisateurs sont-ils (suffisamment) sensibilisés à la sécurité et s'efforcent-ils de protéger les actifs informatiques de l'entreprise ?
  • Recommandations sur les mesures à prendre
    Dans le cadre de la mission, vous recevez un rapport technique et un rapport de synthèse ; vous bénéficiez en outre d'un atelier d'une demi-journée comprenant une présentation de l'évaluation Social Engineering.

Methodology

Nous travaillons en étroite collaboration avec le client pour définir les scénarios de test. Ces scénarios sont adaptés en fonction des stratégies et processus spécifiques de l'entreprise. Certaines entreprises disposent de procédures de réponse aux incidents permettant de signaler les appels téléphoniques suspects. Foundstone peut tester ces procédures au moyen de tentatives flagrantes d'obtention d'informations confidentielles en l'absence d'autorisations adéquates. Il s'agit là d'un excellent moyen de mesurer l'efficacité du programme de formation et de sensibilisation à la sécurité ou de jeter les bases d'un tel programme.

Les trois vecteurs d'attaque courants identifiés sont les suivants :

  • Appels téléphoniques à des individus au sein de l'entreprise. Il s'agit en principe de membres de l'équipe d'assistance et d'individus précis identifiés comme des membres du personnel critiques.
  • E-mails de phishing minutieusement conçus ciblant des groupes ou des individus spécifiques et destinés à soutirer des informations aux destinataires.
  • Disquette ou CD contenant du code malveillant et muni d'une étiquette attrayante (par exemple, « Salaires » ou « Résultats préliminaires de fin de trimestre »), laissés dans un couloir ou les toilettes, dans des endroits précis.

Quel que soit le type de test par ingénierie sociale effectué, nous fournissons, au terme de celui-ci, un rapport détaillé concernant les stratégies testées et les résultats de chaque tentative d'infraction.