La Sécurité des Systèmes d'Information – Test d'intrusion, Pentest, Audit ISO 27001

L’INGÉNIERIE SOCIALE OU L’EXPLOITATION DU POTENTIEL HUMAIN

se

 

L’Ingénierie Sociale (Social Engineering, SE) décrit les méthodes de manipulation des individus au sein d’une Organisation pour contourner les sécurités techniques du Système d’Information et réussir à entrer logiquement ou physiquement au sein de cette Organisation ou Entreprise.

Elle repose sur les différents comportements qu’adoptent les utilisateurs dans l’usage numérique de leur entreprise :

  • Mots de passe faibles ou prédictibles

Prénoms des enfants, date de naissance du chien, numéro de département….

  • Crédulité exacerbée

Divulgue des informations au téléphone à un interlocuteur dont l’identité est usurpée

  • Défaut de compréhension des mécanismes techniques

Macro Office activée, installation de logiciels inconnus aux apparence trompeuses (faux antivirus gratuits par ex.)

 

Mais l’ingénierie sociale nécessite également d’avoir préalablement bien cerné les types de populations que l’on va vouloir tromper.

  • Les services RH

Ne résistent jamais à la tentation d’ouvrir un CV au format DOC/DOCX puisque cela relève pleinement de leur mission…

  • Les ouvriers postés en usine

N’osent jamais venir interpeller un inconnu lorsque celui-ci est en costume 3 pièces alors qu’il ère non-accompagné sur le site…

  • Les cadres

Ne retireront jamais les informations importantes de leurs profils LinkedIn puisque cela les positionne ou les valorise…

 

L’unique parade aux diverses situations scénarisées par les attaquants demeure la sensibilisation de l’ensemble du personnel constitutif de l’Organisation.

La sensibilisation peut se traduire par des actions de type :

  • Serious gaming (mise en situation réelle)
  • Campagne d’ingénierie mail & web par une société spécialisée en audit des SI
  • Session de sensibilisation en présentiel
  • Vidéos et E-learning
Views All Time
Views All Time
224
Views Today
Views Today
2

About Jean-Bernard YATA

Jean-Bernard YATA , est Consultant chez ACESI Group au sein du département Conseil en tant qu'Expert en Sécurité Technique des Systèmes d'Information. Il réalise des tests d'intrusion (Pentest) internes et externes, mais également des audits techniques systèmes et réseaux dans une approche Security by Design, sur un modèle participatif. Egalement Lead Auditor ISO27001,il audite la maturité des entreprises dans leurs démarches de sécurité en vue d'une certification ISO27001, ou d'une volonté forte, parfois contrainte, d'aligner l'IT sur le Business. Jean-Bernard YATA est diplômé de l'Ecole Nationale Supérieure des Mines de Paris et HEC Paris.

Have your say