Audit résistance au social engineering
Qu’est-ce que l’ingénierie sociale ?
L’ingénierie sociale, ou Social Engineering en anglais, est une pratique s’appuyant sur la manipulation psychologique ou sociale pour réaliser des actions de piratage ou d’escroquerie.
Les failles utilisées ici sont donc humaines, et même s’il existe des solutions techniques pour tenter de pallier à ces risques, la prévention et les tests sont les meilleurs moyens de prévenir ce type de risque.
Quelles sont les techniques du social engineering ?
L’ingénierie sociale est utilisée pour préparer plusieurs types d’attaques, du simple hameçonnage (phishing), aux fraudes plus avancées comme les faux ordres de virement.
Le hameçonnage (ou phishing)
C’est malheureusement l’attaque la plus connue, mais également une des plus faciles à déjouer. Les attaquants vont envoyer un message à plusieurs centaines d’adresses mail, en essayant de se faire passer pour un service en ligne de type banque, opérateur de téléphonie, services postaux… Le but étant de faire cliquer sur un lien contrefait qui permettra de soutirer des informations bancaires ou des identifiants de connexion.
Le hameçonnage ciblé (ou spear phishing)
Le spear phishing est une technique beaucoup plus avancée et ciblée du phishing classique. Dans ce cas, les cibles sont formellement identifiées en raison de leurs professions, de leurs relations ou de leur position dans l’organigramme. Des informations personnelles sont recueillies sur les cibles grâce à des techniques OSINT, et les messages sont personnalisés en fonction de chaque cible. Le but ici sera encore une fois d’obtenir des renseignements, mais aussi de provoquer l’installation d’un logiciel permettant d’infiltrer l’ordinateur ou le réseau.
L’attaque par prétexte
Lors d’une attaque par prétexte, l’attaquant va également se renseigner sur sa cible, et se faire passer pour quelqu’un d’autre afin de soutirer des informations ou de provoquer des actions (un virement, la divulgation d’informations critiques…). Selon le scénario, il cherchera à utiliser la pression, la confiance, la peur, pour obtenir ce qu’il souhaite.
Quels sont les risques liés au social engineering pour mon entreprise ?
Vos informations, vos processus, vos contacts font partie du patrimoine de votre entreprise. Et on peut le voir ces derniers mois, les attaques se multiplient et les origines de ces attaques viennent souvent d’une faille humaine. De la perte financière suite à une arnaque au président, à la destruction de vos données à cause d’un ransomware, les risques sont réels, et, dans les pires des cas, la continuité d’activité, voir la survie de l’entreprise pourrait être remise en cause.
Mais notre entreprise n’intéresse personne
Toutes les entreprises, quel que soit leur taille ou leur secteur d’activité, peuvent être attaquées. Il ne s’agit pas d’être alarmiste, mais tout simplement réaliste. Si on entend essentiellement parler des hôpitaux et des grandes entreprises, car l’impact est forcement plus important, les TPE et PME sont également visées par ce type d’attaque, et font souvent l’impasse sur le travail de prévention, par manque de conscience du risque ou de temps.
Se protéger face aux menaces du social engineering
Même s’il est impossible de prévoir toutes les formes de menaces pesant sur une entreprise, anticiper le risque, mettre en place une politique “confiance zéro”, former vos salariés, et tester la résistance de votre organisation permet de réduire fortement le risque. Pour cela, notre audit de résistance à au social engineering pourra vous aider à identifier les menaces et à les éviter !
Après la phase de négociation, où nous définirons ensemble les postes les plus exposés et les risques qui pourraient être encourus, nous procéderons à l’audit en 3 phases :
Phase 1 - Prévention :
Cela peut paraitre étonnant, mais l’audit commencera par une réunion d’information avec les salariés. Y seront abordés les risques liés au social engineering, aux données personnelles, aux emails, etc. Les questions seront bienvenues. Le but ici est de faire un audit sur des personnes qui ont a minima une connaissance basique des techniques de social engineering. A l’occasion de cette réunion, le consentement écrit des personnes sera recueilli afin de procéder à la suite de l’audit.
Phase 2 - Simulation :
Préparation :
Lors de cette phase, qui pourra durer plusieurs semaines, nous allons tout d’abord trouver des informations professionnelles et personnelles sur les salariés cibles. Toutes ces informations seront disponibles en “sources ouvertes”, c’est-à-dire librement accessibles. Grâce à ces informations, des scénarios seront construits pour procéder aux tests d’attaque.
Simulation :
La phase d’attaque en elle-même. Au moyen d’email, d’appels téléphoniques ou de SMS, nous tenterons d’obtenir des informations sensibles, de faire installer des logiciels malveillants (faux bien entendu) ou de faire procéder à des demandes de virements factices, … Toutes les actions seront soigneusement consignées afin de restituer un bilan complet et exhaustif.
Phase 3 - Restitution
La phase d’attaque terminée, nous procéderons à l’analyse et à la rédaction d’un rapport résumant les scénarios utilisés et leur résultat. Ce rapport sera anonyme, et aucun salarié ne sera nommé. Le but étant de sensibiliser collectivement, et non pas de pointer du doigt telle personne ou tel service. S’ils le souhaitent, les personnes testées pourront obtenir un rapport d’exposition en ligne afin de connaitre les informations trouvées et les risques qui en découlent.
Lors de la phase de restitution, un échange aura de nouveau lieu pour approfondir les faiblesses identifiées et augmenter la résistance de votre organisation.
A l’issue de l’audit, ne seront conservés que les rapports remis. Toutes les informations collectées lors des phases 2 et 3 seront détruites de manière sécurisées.