Penetration Testing : Évaluer la vulnérabilité humaine au Social Engineering

Ce guide fournit tout ce dont vous avez besoin pour comprendre, définir le périmètre et exécuter ce type de test, avec des conseils pratiques que vous pouvez mettre en œuvre immédiatement.

Pourquoi tester la couche humaine

Les contrôles technologiques ne sont efficaces que dans la mesure où les humains interagissent avec eux. L'ingénierie sociale (l'art de manipuler les gens pour qu'ils entreprennent des actions qui compromettent la sécurité) représente un pourcentage important des vecteurs d'accès initiaux dans les violations de données. Le phishing à lui seul est responsable de la plus grande part des violations dans les secteurs de la santé, de la finance et du SaaS. Tester vos défenses humaines est aussi important que de tester vos défenses techniques.

Simulations de phishing

Le test d'ingénierie sociale le plus courant simule des attaques de phishing par e-mail contre vos employés. Les testeurs créent des e-mails de phishing réalistes, se faisant passer pour des fournisseurs, des dirigeants, le support informatique ou des fournisseurs de services, et mesurent les taux de clics, les taux de soumission d'informations d'identification et les taux de signalement. Les résultats identifient les départements les plus vulnérables et les domaines dans lesquels la formation doit être axée.

Prétextage et phishing vocal

Au-delà des e-mails, les testeurs peuvent utiliser le prétextage par téléphone (vishing) pour extraire des informations ou manipuler les employés afin qu'ils effectuent des actions : transfert de fonds, réinitialisation de mots de passe, fourniture d'informations d'identification VPN. Ces tests évaluent si votre personnel vérifie l'identité de l'appelant et suit les procédures établies sous la pression.

Ingénierie sociale physique

Pour les organisations disposant de locaux physiques, les testeurs peuvent tenter d'obtenir un accès non autorisé aux bâtiments par le biais de l'accès non autorisé, de l'usurpation d'identité ou du prétextage. Cela teste les systèmes de badges, les procédures de visite et la volonté des employés de remettre en question les visages inconnus.

Intégration avec les tests techniques

Les tests d'ingénierie sociale les plus intéressants sont intégrés aux "Penetration Testing" techniques. Un e-mail de phishing délivre une charge utile ; le testeur utilise les informations d'identification capturées pour accéder aux systèmes internes ; le "Penetration Testing" technique se poursuit depuis l'intérieur du réseau. Cela démontre la chaîne d'exécution complète, de l'ingénierie sociale initiale à l'exploitation technique et à l'accès aux données.

L'essentiel

Les contrôles techniques protègent les systèmes. Les tests d'ingénierie sociale protègent les humains qui utilisent ces systèmes. Les programmes de tests de sécurité les plus complets évaluent les deux, car les attaquants le feront certainement.

Foire aux questions

À quelle fréquence devrions-nous effectuer des simulations de phishing ?

Un rythme trimestriel est courant, avec une formation de sensibilisation continue entre les campagnes. L'objectif est de mesurer l'amélioration au fil du temps, et pas seulement de piéger les gens une seule fois.

Les tests d'ingénierie sociale vont-ils contrarier les employés ?

Lorsqu'ils sont gérés de manière professionnelle, avec un parrainage clair de la direction, un ton constructif et une concentration sur la formation plutôt que sur la punition, les tests d'ingénierie sociale améliorent la culture de sécurité. L'essentiel est de traiter les résultats comme des opportunités d'apprentissage, et non comme des événements disciplinaires.