Pentest d'ingénierie sociale : Comment préparer une campagne ?
Ce livre blanc expose les éléments à prendre en considération avant de se lancer dans un audit d'ingénierie sociale.
Préparer une campagne d’ingénierie sociale ne s’improvise pas. Le pentest d’ingénierie sociale consiste à auditer les comportements humains face aux cyberattaques dans une entreprise. Concrètement, des attaques réalistes de phishing, spear phishing, vishing (attaques téléphoniques) et intrusions physiques pourront être réalisées.
Selon les objectifs de l’audit d’ingénierie sociale, les attaques seront plus ou moins sophistiquées : envoi d’emails de masse ou d’emails ciblés, envoi de liens piégés, clones d’interfaces de solutions web utilisées au quotidien par les équipes, usurpations d’identités de collègues ou de responsables…
Le pentest d’ingénierie sociale permet à la fois de mesurer les risques et de renforcer la sensibilisation des effectifs de l’entreprise. En effet, voir les résultats concrets des attaques qui ont fonctionné est marquant, surtout pour ceux qui sont « tombés dans le piège ». L’impact psychologique est beaucoup plus fort qu’avec une formation classique sur les risques, et la plupart des personnes concernées ne retomberont pas dans les mêmes pièges lorsqu’ils seront de nouveau confrontés aux menaces.
Le pentest d’ingénierie sociale peut être adapté à différents objectifs, différents types d’entreprises, et différentes spécificités d’organisation interne. Ce livre blanc a pour objectif d’exposer les éléments à prendre en considération avant de se lancer dans ce type d’audit.
Comment préparer une campagne d'ingénierie sociale ?
Ce livre blanc est basé sur notre expérience auprès de nombreuses entreprises de toutes tailles et de tous secteurs d’activité. Vous pouvez l’utiliser comme une ressource afin de vous aider à choisir ce qui conviendra le mieux à votre organisation.
Dans ce livre blanc, vous trouverez :
- Des informations sur les types de tests effectués pendant une campagne d’ingénierie sociale
- Des éléments à prendre en compte pour affiner vos choix : quand faire un pentest d’ingénierie sociale ? Faut-il privilégier des tests en boite noire ou en boite grise ? Devez-vous internaliser ou externaliser les tests ? Est-ce mieux d’informer les collaborateurs ou de ne rien laisser filtrer ?
- Les étapes permettant de préparer concrètement une campagne d’ingénierie sociale : définition des risques et menaces prioritaires, des cibles, et des spécificités à prendre en compte
- Des conseils pour la construction des scénarios d’attaques, ainsi que leur exécution et le tracking des résultats
Vaadata, une entreprise spécialisée en pentest
La société VAADATA est hautement spécialisée en tests d’intrusion et elle est reconnue comme expert technique dans ce domaine.
VAADATA propose des audits de sécurité en boite noire, en boite grise et en boite blanche, ciblant différents périmètres : plateformes web, applications mobiles, objets connectés, infrastructure et réseaux, ingénierie sociale.
VAADATA vise à démocratiser le pentest avec des offres adaptées aux startups comme aux grandes entreprises. Nous comptons environ 200 clients, parmi lesquels Crédit Agricole, Heineken, Esker, Dext, Malt, Friendsurance…
VAADATA est une entreprise certifiée CREST. Notre équipe technique possède les certifications suivantes : CEH, OSCP, GWAPT, OSWE, AWS Certified Security & AWS Certified Solutions Architect, CISSP, PMP.