SlideShare une entreprise Scribd logo

Social Engineering : Quelles stratégies ?

Hapsis
Hapsis

Comment lutter contre le social engineering dans une entreprise ?

1  sur  5
Télécharger pour lire hors ligne
“SOCIAL ENGINEERING : QUELLES STRATEGIES ? Hapsis “Social Engineering”: Quelles stratégies ? LIVRE BLANC HAPSIS « Définition pas si simple » Hapsis L’ingénierie sociale (social Peut-être aurions-nous dû parler Hapsis est un cabinet de conseil engineering) au sens de la sécurité des d’escroquerie informatique ? indépendant spécialisé dans le domaine systèmes d’information (SSI) est à ne de la gestion des risques et de la sécurité pas confondre avec son homonyme Une fois ce préambule établi nous des systèmes d’information. Créé par des désignant la réalisation de travaux utiliserons dans la suite de ce professionnels de la sécurité dans les domaines des politiques document les termes d’ingénierie informatique, Hapsis est constitué de sociales et de l’intervention sociale. sociale ou de social engineering dans consultants reconnus dont l’expertise et un contexte de sécurité de l’expérience sont associés à une Il existe même pour cette dernière un l’information. connaissance approfondie des contraintes et des enjeux des entreprises. diplôme d’état. On voit ici comment la Proposons en premier lieu une traduction d’un terme américain a pu définition : l’ingénierie sociale engendrer une confusion potentielle consiste en une série de techniques en français, confusion d’autant plus visant à amadouer, duper ou tromper forte que l’ingénierie sociale au sens de une personne cible en vue d’obtenir la SSI ne s’adresse pas qu’aux seuls d’elle une information ou un professionnels de la SSI mais bien comportement qu’elle n’aurait pas évidemment également, et au premier donnée ou qu’elle n’aurait pas eu chef, aux professionnels des ressources sans la mise en œuvre de ces SE Force humaines (RH), eux-mêmes déjà techniques. Pour lutter contre l’ingénierie sociale, familiarisés avec cette appellation Hapsis a mis au point l’offre SE Force. Elle justement dans le domaine des est constituée de 4 volets : politiques sociales.  Evaluation de la résistance de Voilà donc un sujet qui commence bien l’entreprise aux attaques de type SE. mal, engendrant une confusion  Systémique : audit des processus, amenant la majorité des analyse des vulnérabilités, professionnels de la SSI à conserver la renforcement des processus. terminologie anglo-saxonne.  Humain : sensibilisation et formation  Détection et surveillance 45 rue de la Chaussée d'Antin, 75015 Paris • Téléphone: 01 53 16 30 60 • www.hapsis.fr
“SOCIAL ENGINEERING : QUELLES STRATEGIES ? Hapsis « Une menace à prendre très au sérieux » Ces techniques existent depuis toujours. Les escrocs de tout poil qui ont parsemé l’Histoire de leurs méfaits sont maîtres dans l’art de les appliquer. des relations avec des collaborateurs de l’entreprise cible Il sera ainsi possible pour les Une différence de taille existe et deviennent leurs « amis ». Au cybercriminels de « revenir » dans néanmoins entre l’usage qui en était travers de ces relations ils le réseau ainsi compromis et fait autrefois et aujourd’hui. En effet, recueillent de précieux d’extraire des informations celui qui utilisait ces techniques devait renseignements sur les procédures sensibles du système à l’époque être particulièrement doué de l’entreprise, sur des noms d’information de l’entreprise dans leur application car elles d’autres personnes de l’entreprise victime. Les attaquants utilisent s’appliquaient essentiellement face à et leurs responsabilités, les projets donc pour ce faire les informations face entre le criminel et sa victime. Le importants… ; préalablement recueillies, et risque d’être pris était à cet égard élevé rédigent un mail crédible qui en cas d’échec. Au travers de l’usage 4. Une fois qu’ils disposent d’un trompera une personne cible de d’Internet non seulement les nombre d’informations suffisant l’entreprise. Cette dernière croira à possibilités d’escroqueries se sont ils peuvent préparer l’attaque un message légitime de ouvertes à des escrocs moins qualifiés proprement dite. Pour ce faire le l’entreprise et activera le code mais aussi à des escrocs provenant cybercriminel se choisit une malveillant qu’il contient à son potentiellement du monde entier. « couverture ». Dans les cas les insu. L’un des cas les plus plus fréquents, il se fait passer médiatisés en 2011 de ce type L’ingénierie sociale est une menace à pour un client, pour un d’attaque est celui dont a été prendre très au sérieux, la plupart des collaborateur d’un fournisseur, ou victime la société RSA ; experts s’accorde aujourd’hui pour la encore pour un employé de considérer comme la menace numéro la société visée. Le plus efficace 7. Dans le cas d’une attaque par 1 pesant sur les systèmes est sans conteste le dernier cas. En téléphone il s’agit, dans la d’information des entreprises. En effet effet, le collaborateur ciblé se majorité des cas, pour l’attaquant la plupart des attaques d’envergure sentira d’autant plus en confiance d’obtenir des informations ayant engendré les dégâts les plus qu’il croira avoir à faire à un confidentielles de la personne importants pour les entreprises collègue. En revanche c’est contactée. On a même vu des victimes et les profits les plus certainement le plus difficile à exemples où le pirate établit une conséquents pour les criminels, ont, à accomplir et ne peut être réservé relation avec la personne cible un moment ou à un autre, exploité des que dans des entreprises pendant des semaines, avant techniques d’ingénierie sociale. suffisamment grande et étendue d’obtenir l’information recherchée pour que tous les collaborateurs et maintenir ensuite la relation Un scénario typique peut être le ne se connaissent pas ; quelque temps afin de ne pas suivant : éveiller de soupçons ; 5. Cette attaque s’effectue en règle 1. Des cybercriminels sont mandatés générale soit par mail soit par On l’aura compris les cybercriminels, pour pénétrer le système téléphone, plus rarement par pour mettre en œuvre leurs noirs d’information d’une société cible contact direct ; desseins, vont au plus facile. Le et dérober des informations sensibles ; 6. Dans le cas d’une attaque par mail piratage informatique pur étant de il s’agit en général de permettre plus en plus complexe, ils ne cherchent 2. Ils commencent par collecter de l’installation dans le réseau de plus à forcer le coffre-fort, ils l’information sur la société cible et l’entreprise cible d’un code demandent la clé ou la combinaison à certains de ses collaborateurs ; malveillant comme un cheval de l’un de ses « copropriétaires » en le 3. Via les réseaux sociaux ils nouent Troie ; dupant. 45 rue de la Chaussée d'Antin, 75015 Paris • Téléphone: 01 53 16 30 60 • www.hapsis.fr
“SOCIAL ENGINEERING : QUELLES STRATEGIES ? Hapsis Une stratégie globale pour se défendre Nous ne chercherons pas à détailler ici plus avant les mécanismes utilisés et les raisons pour lesquelles ils fonctionnent si bien. A partir de l’instant où le niveau de dangerosité de l’ingénierie sociale est bien évident, l’objectif est maintenant de dégager les lignes de la stratégie à mettre en c’est à dire sa capacité à résister par construction à œuvre pour lutter contre ce fléau. ce type d’attaques. En agissant sur les collaborateurs on renforce la capacité de ceux-ci à Toute lutte contre l’ingénierie sociale doit agir sur identifier la menace et à se défendre et ainsi deux composantes de l’entreprise : les processus défendre leur entreprise. S’appuyant sur ce et les collaborateurs. En agissant sur les processus principe, la stratégie proposée est composée de on renforce la défense systémique de l’entreprise, trois parties :  Audit de processus 1. Audit et défense systémique Il s’agit d’analyser un processus de l’entreprise,  Tests d’intrusion comme, par exemple, celui du traitement des La pratique régulière de tests d’intrusion de type clients par un support téléphonique, ou encore ingénierie sociale permet de mesurer dans le celui du paiement des factures fournisseurs, en temps les progrès accomplis par la mise en œuvre identifiant si à une étape ou une autre, il peut être de la stratégie dans son ensemble. Ils sont vulnérable à une attaque d’ingénierie sociale. Sont également utiles afin de sensibiliser la Direction de ensuite préconisées et mises en œuvre des contre- l’entreprise à la nécessité d’agir en démontrant les mesures en modifiant le processus si cela est risques encourus. possible et/ou en formant les personnes pouvant En fonction du périmètre ciblé et de la politique de être la cible de l’attaque. l’entreprise, ces tests pourront prendre différentes Il est particulièrement intéressant de noter ici que formes : campagne de phishing, envoi de mails des objectifs sécuritaires peuvent être tout à fait en ciblés, récupération d’informations sensibles par phase avec un objectif d’amélioration business. téléphone ou via les réseaux sociaux, intrusion En effet, prenons le cas d’un service de banque par dans les locaux… téléphone 45 rue de la Chaussée d'Antin, 75015 Paris • Téléphone: 01 53 16 30 60 • www.hapsis.fr
“SOCIAL ENGINEERING : QUELLES STRATEGIES ? Hapsis Lorsqu’un client appelle, un processus car le client doit fournir d’avantage d’informations, d’identification permet de s’assurer qu’il est bien tout en ayant l’impression d’une plus grande celui qu’il prétend. Les procédures standards proximité de la banque à son égard ce qui est simples peuvent, comme cela s’est déjà produit, certainement un avantage commercial. prêter le flanc à certaines attaques d’ingénierie  Organisation sociale. Certaines banques ont renforcé cette La lutte contre l’ingénierie sociale nécessite procédure en formant leurs opérateurs à avoir un également qu’elle soit prise en compte d’un point dialogue plus personnel basé sur une meilleure de vue organisationnel. Dans la grande majorité connaissance de leur client, tenu naturellement sur des cas elle s’intègre dans l’organisation existante. le ton d’une conversation amicale. Cela permet de Il peut néanmoins être utile d’y apporter parfois renforcer le niveau de sécurité de l’identification quelques aménagements 2. Education et sensibilisation  Ce qu’il faut retenir Il y a beaucoup à dire sur le contenu d’un programme d’éducation et de sensibilisation à l’ingénierie sociale. Il faut en effet expliquer ce que c’est, faire prendre conscience de la menace, dire ce que l’on risque, expliquer pourquoi cela fonctionne, détailler les techniques et indiquer les parades. Cependant, pour que des personnes non professionnelles de la sécurité soient sensibles au message, fassent l’effort de comprendre et, d’appliquer les bonnes pratiques, il y a deux points En effet le renard, qui chasse le hérisson, est un essentiels à faire passer : animal rusé. Il déploie ainsi maints stratagèmes Le risque pèse aussi et surtout sur eux. En effet, en vue de capturer le hérisson. Face à ces lorsqu’il s’agit d’une attaque technique, dans attaques au nombre desquelles il n’entend pas laquelle un pirate tente une intrusion via grand chose, le hérisson répond toujours d’une l’infrastructure informatique d’une entreprise, les simple et unique manière : il se met en boule et collaborateurs ne sont pas directement impactés. dresse ses épines face à l’attaquant. Dépité, le Dans le cadre d’une attaque d’ingénierie sociale, renard rentre à chaque fois bredouille. De la c’est tout le contraire, elle cible en premier un ou même façon, il suffit au collaborateur d’une plusieurs collaborateurs de l’entreprise. Au bout du entreprise, d’apprendre les quelques réflexes compte c’est bien une personne qui se fait duper et simples à avoir pour faire échec aux manœuvres manipuler. Les conséquences psychologiques rusées des renards que sont les cybercriminels. peuvent dans ce cas être difficiles à supporter. Il est donc impératif de faire prendre conscience aux  Campagnes de sensibilisation collaborateurs que cette menace les vise et les Nous ne rentrerons pas ici dans le détail de mise concerne directement. en œuvre de campagnes de sensibilisation et sur Ce n’est pas si compliqué que cela. Une réaction les facteurs clé de succès de ces campagnes. Il courante face à ce sujet est de considérer que les faut cependant prendre soin d’intégrer aux cybercriminels sont bien trop malins et campagnes de sensibilisation, menées sur la compétents face aux béotiens que nous sommes et sécurité de l’information, des modules dédiés à que donc on ne peut pas y faire grand chose. En l’ingénierie sociale. fait, il est fondamental de comprendre que pour résister et faire face à une attaque d’ingénierie  Formations ciblées plus poussées sociale, il n’est absolument pas nécessaire d’en Certaines catégories de collaborateurs sont, en maîtriser les techniques, loin s’en faut. Afin quelque sorte, en première ligne face au risque d’illustrer ce propos, on peut comparer cette d’attaques d’ingénierie sociale. Ce sont par situation à celle du hérisson face au renard. exemple les nouveaux arrivants, les assistantes 45 rue de la Chaussée d'Antin, 75015 Paris • Téléphone: 01 53 16 30 60 • www.hapsis.fr
“SOCIAL ENGINEERING : QUELLES STRATEGIES ? Hapsis de direction, les commerciaux, le support client… Pour Agréable à suivre, vivante et immersive cette formation ces personnes il est utile de leur fournir une formation met en œuvre : plus poussée. Les objectifs de cette formation sont : • Des ateliers basés sur des cas pratiques, Des exercices, • développer auprès des collaborateurs une • Des vidéos, conscience de la menace et une • Un jeu de rôle immersif spécialement conçu compréhension des enjeux, pour cette formation, animée par des • leur expliquer les techniques d'ingénierie comédiens professionnels qui permet de sociale utilisées, mettre en pratique les enseignements. • et surtout leur apprendre à réagir et à adopter les comportements qui protègent. 3. Détection et réponse à incidents  Honeypots sociaux L’idée est donc de créer un réseau interne de veille Dans le cadre d’une lutte efficace contre et de détection au travers d’une équipe de l’ingénierie sociale, il est utile de pouvoir détecter sentinelles réparties dans l’entreprise. Ce réseau en amont la préparation d’une attaque. On l’a vu, peut venir se greffer sur le réseau existant de toute attaque commence par une collecte gestion des incidents. Les sentinelles, une fois intensive d’informations sur la cible. L’idée est formées, collectent autour d’elles les évènements donc de placer des leurres aux endroits de suspects et propagent les bonnes pratiques. Les prédilection des attaquants, à savoir les réseaux évènements recensés sont centralisés en un point sociaux. Ces leurres sont ce que l’on appelle des ou la corrélation permet une vigilance globale. honeypots (pots de miel) sociaux, et consistent en la création de faux profils sur les réseaux sociaux,  Réponse à incidents ces profils crédibilisant la possible détention Intégrée à la politique de gestion des incidents, la d’informations susceptibles d’intéresser les réponse faite aux incidents liés aux attaques attaquants. Une sollicitation de mise en relation, d’ingénierie sociale consiste en la prise de mesures suivie de demandes d’informations peut ainsi défensives ou de prévention complémentaires : éveiller les soupçons et permettre de savoir que modification de processus, formation, quelque chose se prépare. déploiement d’outils, surveillance accrue…  Réseau de sentinelles La plupart des entreprises cibles sont des grandes entreprises, étendues géographiquement. On l’a vu, les attaques d’ingénierie sociale peuvent cibler tout collaborateur n’importe où dans l’entreprise. Une bonne surveillance des attaques ou des tentatives d’attaques passe donc par une capillarité suffisante du processus de surveillance. 45 rue de la Chaussée d'Antin, 75015 Paris • Téléphone: 01 53 16 30 60 • www.hapsis.fr

Recommandé

Despertar a la_nueva_consciencia_1
Despertar a la_nueva_consciencia_1Despertar a la_nueva_consciencia_1
Despertar a la_nueva_consciencia_1Juan Gonzalez
 
Informatique
InformatiqueInformatique
Informatiqueyassine18
 
Estrategia Semanal de Cortal Consors
Estrategia Semanal de Cortal ConsorsEstrategia Semanal de Cortal Consors
Estrategia Semanal de Cortal ConsorsSalainversion
 
Iphonographie Alyson Pellerin
Iphonographie Alyson PellerinIphonographie Alyson Pellerin
Iphonographie Alyson PellerinAlyson Pellerin
 
Gestion Y Marketing
Gestion Y MarketingGestion Y Marketing
Gestion Y MarketingGuillermo Marin
 
Projet "Un nouveau cap pour Hyères" de Francis ROUX et Michel DALMAS
Projet "Un nouveau cap pour Hyères" de Francis ROUX et Michel DALMASProjet "Un nouveau cap pour Hyères" de Francis ROUX et Michel DALMAS
Projet "Un nouveau cap pour Hyères" de Francis ROUX et Michel DALMASGermain Grac-Aubert
 
Dr chaabane
Dr chaabaneDr chaabane
Dr chaabaneRéseau International
 
G. Marquez
G. MarquezG. Marquez
G. MarquezJean-Paul Romano
 

Recommandé

Despertar a la_nueva_consciencia_1
Despertar a la_nueva_consciencia_1Despertar a la_nueva_consciencia_1
Despertar a la_nueva_consciencia_1Juan Gonzalez
 
Informatique
InformatiqueInformatique
Informatiqueyassine18
 
Estrategia Semanal de Cortal Consors
Estrategia Semanal de Cortal ConsorsEstrategia Semanal de Cortal Consors
Estrategia Semanal de Cortal ConsorsSalainversion
 
Iphonographie Alyson Pellerin
Iphonographie Alyson PellerinIphonographie Alyson Pellerin
Iphonographie Alyson PellerinAlyson Pellerin
 
Gestion Y Marketing
Gestion Y MarketingGestion Y Marketing
Gestion Y MarketingGuillermo Marin
 
Projet "Un nouveau cap pour Hyères" de Francis ROUX et Michel DALMAS
Projet "Un nouveau cap pour Hyères" de Francis ROUX et Michel DALMASProjet "Un nouveau cap pour Hyères" de Francis ROUX et Michel DALMAS
Projet "Un nouveau cap pour Hyères" de Francis ROUX et Michel DALMASGermain Grac-Aubert
 
Dr chaabane
Dr chaabaneDr chaabane
Dr chaabaneRéseau International
 
G. Marquez
G. MarquezG. Marquez
G. MarquezJean-Paul Romano
 
Doutes et devenirs de l’interne en psychiatrie.
Doutes et devenirs de l’interne en psychiatrie.Doutes et devenirs de l’interne en psychiatrie.
Doutes et devenirs de l’interne en psychiatrie.Réseau Pro Santé
 
Lemtierdecommunitymanager alexitauzin-120203084808-p
Lemtierdecommunitymanager alexitauzin-120203084808-pLemtierdecommunitymanager alexitauzin-120203084808-p
Lemtierdecommunitymanager alexitauzin-120203084808-pPierre Duplaix
 
Protein Lab en la Bienal de Diseño 2010
Protein Lab en la Bienal de Diseño 2010Protein Lab en la Bienal de Diseño 2010
Protein Lab en la Bienal de Diseño 2010CONICYT
 
DPJ 1
DPJ 1DPJ 1
DPJ 1Wooley Shirley
 
Medios tradicionales vs. Internet
Medios tradicionales vs. InternetMedios tradicionales vs. Internet
Medios tradicionales vs. InternetIvonne Delgado Comunicación Inteligente
 
Web 2.0 difusion
Web 2.0 difusion Web 2.0 difusion
Web 2.0 difusion Ivonne Delgado Comunicación Inteligente
 
Pages de découverte des entreprises pays de vitré (1)
Pages de découverte des entreprises pays de vitré (1)Pages de découverte des entreprises pays de vitré (1)
Pages de découverte des entreprises pays de vitré (1)Academie_des_metiers_industrie
 
Encabezado y pie de pagina
Encabezado y pie de paginaEncabezado y pie de pagina
Encabezado y pie de paginapamela
 
Presentacion Maestria
Presentacion MaestriaPresentacion Maestria
Presentacion Maestriajoanemarie
 
Informe semanal de Análisis Técnico de Cortal Consors - 7 de junio de 2010
Informe semanal de Análisis Técnico de Cortal Consors - 7 de junio de 2010Informe semanal de Análisis Técnico de Cortal Consors - 7 de junio de 2010
Informe semanal de Análisis Técnico de Cortal Consors - 7 de junio de 2010Salainversion
 
Module de Gestion
Module de GestionModule de Gestion
Module de GestionLORE_Finance
 
Croisiére en bateau
Croisiére en bateauCroisiére en bateau
Croisiére en bateauYàcine Miika
 
Présentation du diplôme d’enseignement spécialisé (d.e.s.) de radiodiagnostic...
Présentation du diplôme d’enseignement spécialisé (d.e.s.) de radiodiagnostic...Présentation du diplôme d’enseignement spécialisé (d.e.s.) de radiodiagnostic...
Présentation du diplôme d’enseignement spécialisé (d.e.s.) de radiodiagnostic...Réseau Pro Santé
 
Prince silencieux
Prince silencieuxPrince silencieux
Prince silencieuxIlyas Qadri Ziaee
 
Seas Creyente O No Lee Este Mensaje
Seas Creyente O No Lee Este MensajeSeas Creyente O No Lee Este Mensaje
Seas Creyente O No Lee Este Mensajekal20
 
Resoluciones conatec venezuela
Resoluciones conatec venezuelaResoluciones conatec venezuela
Resoluciones conatec venezuelaIAPEM
 
Université d'été 2014
Université d'été 2014Université d'été 2014
Université d'été 2014ludicademi
 
Informe semanal de Análisis Técnico de Cortal Consors del 9 de noviembre de 2010
Informe semanal de Análisis Técnico de Cortal Consors del 9 de noviembre de 2010Informe semanal de Análisis Técnico de Cortal Consors del 9 de noviembre de 2010
Informe semanal de Análisis Técnico de Cortal Consors del 9 de noviembre de 2010Salainversion
 
Pages de découverte des entreprises pays de vitré (2)
Pages de découverte des entreprises pays de vitré (2)Pages de découverte des entreprises pays de vitré (2)
Pages de découverte des entreprises pays de vitré (2)Academie_des_metiers_industrie
 
Combler les écarts en sécurité de l'information
Combler les écarts en sécurité de l'informationCombler les écarts en sécurité de l'information
Combler les écarts en sécurité de l'informationmichelcusin
 
Social engineering : l'art de l'influence et de la manipulation
Social engineering : l'art de l'influence et de la manipulationSocial engineering : l'art de l'influence et de la manipulation
Social engineering : l'art de l'influence et de la manipulationChristophe Casalegno
 
Ingénierie sociale
Ingénierie socialeIngénierie sociale
Ingénierie socialeHabiba Kessraoui
 

Contenu connexe

En vedette

Doutes et devenirs de l’interne en psychiatrie.
Doutes et devenirs de l’interne en psychiatrie.Doutes et devenirs de l’interne en psychiatrie.
Doutes et devenirs de l’interne en psychiatrie.Réseau Pro Santé
 
Lemtierdecommunitymanager alexitauzin-120203084808-p
Lemtierdecommunitymanager alexitauzin-120203084808-pLemtierdecommunitymanager alexitauzin-120203084808-p
Lemtierdecommunitymanager alexitauzin-120203084808-pPierre Duplaix
 
Protein Lab en la Bienal de Diseño 2010
Protein Lab en la Bienal de Diseño 2010Protein Lab en la Bienal de Diseño 2010
Protein Lab en la Bienal de Diseño 2010CONICYT
 
Pages de découverte des entreprises pays de vitré (1)
Pages de découverte des entreprises pays de vitré (1)Pages de découverte des entreprises pays de vitré (1)
Pages de découverte des entreprises pays de vitré (1)Academie_des_metiers_industrie
 
Encabezado y pie de pagina
Encabezado y pie de paginaEncabezado y pie de pagina
Encabezado y pie de paginapamela
 
Presentacion Maestria
Presentacion MaestriaPresentacion Maestria
Presentacion Maestriajoanemarie
 
Informe semanal de Análisis Técnico de Cortal Consors - 7 de junio de 2010
Informe semanal de Análisis Técnico de Cortal Consors - 7 de junio de 2010Informe semanal de Análisis Técnico de Cortal Consors - 7 de junio de 2010
Informe semanal de Análisis Técnico de Cortal Consors - 7 de junio de 2010Salainversion
 
Croisiére en bateau
Croisiére en bateauCroisiére en bateau
Croisiére en bateauYàcine Miika
 
Présentation du diplôme d’enseignement spécialisé (d.e.s.) de radiodiagnostic...
Présentation du diplôme d’enseignement spécialisé (d.e.s.) de radiodiagnostic...Présentation du diplôme d’enseignement spécialisé (d.e.s.) de radiodiagnostic...
Présentation du diplôme d’enseignement spécialisé (d.e.s.) de radiodiagnostic...Réseau Pro Santé
 
Seas Creyente O No Lee Este Mensaje
Seas Creyente O No Lee Este MensajeSeas Creyente O No Lee Este Mensaje
Seas Creyente O No Lee Este Mensajekal20
 
Resoluciones conatec venezuela
Resoluciones conatec venezuelaResoluciones conatec venezuela
Resoluciones conatec venezuelaIAPEM
 
Université d'été 2014
Université d'été 2014Université d'été 2014
Université d'été 2014ludicademi
 
Informe semanal de Análisis Técnico de Cortal Consors del 9 de noviembre de 2010
Informe semanal de Análisis Técnico de Cortal Consors del 9 de noviembre de 2010Informe semanal de Análisis Técnico de Cortal Consors del 9 de noviembre de 2010
Informe semanal de Análisis Técnico de Cortal Consors del 9 de noviembre de 2010Salainversion
 
Pages de découverte des entreprises pays de vitré (2)
Pages de découverte des entreprises pays de vitré (2)Pages de découverte des entreprises pays de vitré (2)
Pages de découverte des entreprises pays de vitré (2)Academie_des_metiers_industrie
 

En vedette (19)

Doutes et devenirs de l’interne en psychiatrie.
Doutes et devenirs de l’interne en psychiatrie.Doutes et devenirs de l’interne en psychiatrie.
Doutes et devenirs de l’interne en psychiatrie.
 
Lemtierdecommunitymanager alexitauzin-120203084808-p
Lemtierdecommunitymanager alexitauzin-120203084808-pLemtierdecommunitymanager alexitauzin-120203084808-p
Lemtierdecommunitymanager alexitauzin-120203084808-p
 
Protein Lab en la Bienal de Diseño 2010
Protein Lab en la Bienal de Diseño 2010Protein Lab en la Bienal de Diseño 2010
Protein Lab en la Bienal de Diseño 2010
 
DPJ 1
DPJ 1DPJ 1
DPJ 1
 
Medios tradicionales vs. Internet
Medios tradicionales vs. InternetMedios tradicionales vs. Internet
Medios tradicionales vs. Internet
 
Web 2.0 difusion
Web 2.0 difusion Web 2.0 difusion
Web 2.0 difusion
 
Pages de découverte des entreprises pays de vitré (1)
Pages de découverte des entreprises pays de vitré (1)Pages de découverte des entreprises pays de vitré (1)
Pages de découverte des entreprises pays de vitré (1)
 
Encabezado y pie de pagina
Encabezado y pie de paginaEncabezado y pie de pagina
Encabezado y pie de pagina
 
Presentacion Maestria
Presentacion MaestriaPresentacion Maestria
Presentacion Maestria
 
Informe semanal de Análisis Técnico de Cortal Consors - 7 de junio de 2010
Informe semanal de Análisis Técnico de Cortal Consors - 7 de junio de 2010Informe semanal de Análisis Técnico de Cortal Consors - 7 de junio de 2010
Informe semanal de Análisis Técnico de Cortal Consors - 7 de junio de 2010
 
Module de Gestion
Module de GestionModule de Gestion
Module de Gestion
 
Croisiére en bateau
Croisiére en bateauCroisiére en bateau
Croisiére en bateau
 
Présentation du diplôme d’enseignement spécialisé (d.e.s.) de radiodiagnostic...
Présentation du diplôme d’enseignement spécialisé (d.e.s.) de radiodiagnostic...Présentation du diplôme d’enseignement spécialisé (d.e.s.) de radiodiagnostic...
Présentation du diplôme d’enseignement spécialisé (d.e.s.) de radiodiagnostic...
 
Prince silencieux
Prince silencieuxPrince silencieux
Prince silencieux
 
Seas Creyente O No Lee Este Mensaje
Seas Creyente O No Lee Este MensajeSeas Creyente O No Lee Este Mensaje
Seas Creyente O No Lee Este Mensaje
 
Resoluciones conatec venezuela
Resoluciones conatec venezuelaResoluciones conatec venezuela
Resoluciones conatec venezuela
 
Université d'été 2014
Université d'été 2014Université d'été 2014
Université d'été 2014
 
Informe semanal de Análisis Técnico de Cortal Consors del 9 de noviembre de 2010
Informe semanal de Análisis Técnico de Cortal Consors del 9 de noviembre de 2010Informe semanal de Análisis Técnico de Cortal Consors del 9 de noviembre de 2010
Informe semanal de Análisis Técnico de Cortal Consors del 9 de noviembre de 2010
 
Pages de découverte des entreprises pays de vitré (2)
Pages de découverte des entreprises pays de vitré (2)Pages de découverte des entreprises pays de vitré (2)
Pages de découverte des entreprises pays de vitré (2)
 

Similaire à Social Engineering : Quelles stratégies ?

Combler les écarts en sécurité de l'information
Combler les écarts en sécurité de l'informationCombler les écarts en sécurité de l'information
Combler les écarts en sécurité de l'informationmichelcusin
 
Social engineering : l'art de l'influence et de la manipulation
Social engineering : l'art de l'influence et de la manipulationSocial engineering : l'art de l'influence et de la manipulation
Social engineering : l'art de l'influence et de la manipulationChristophe Casalegno
 
Psychologie sociale de la cybersécurité ou de la protection des informations
Psychologie sociale de la cybersécurité ou de la protection des informationsPsychologie sociale de la cybersécurité ou de la protection des informations
Psychologie sociale de la cybersécurité ou de la protection des informationsgiarnd
 
Dossier de presse - Assises de la Sécurité 2016
Dossier de presse - Assises de la Sécurité 2016Dossier de presse - Assises de la Sécurité 2016
Dossier de presse - Assises de la Sécurité 2016Laetitia Berché
 
Sécurité de l’information: L’importance du réveil des organisations.
Sécurité de l’information: L’importance du réveil des organisations.Sécurité de l’information: L’importance du réveil des organisations.
Sécurité de l’information: L’importance du réveil des organisations.michelcusin
 
Hapsis - La Sécurité Numérique à la Carte
Hapsis - La Sécurité Numérique à la CarteHapsis - La Sécurité Numérique à la Carte
Hapsis - La Sécurité Numérique à la CarteHapsis
 
Sécurité informatique : un marché dynamisé par le Big Data @ITrustBlog
Sécurité informatique : un marché dynamisé par le Big Data @ITrustBlogSécurité informatique : un marché dynamisé par le Big Data @ITrustBlog
Sécurité informatique : un marché dynamisé par le Big Data @ITrustBlogITrust - Cybersecurity as a Service
 
Points de repère pour un développement responsable des systèmes d’IA
Points de repère pour un développement responsable des systèmes d’IAPoints de repère pour un développement responsable des systèmes d’IA
Points de repère pour un développement responsable des systèmes d’IAAymeric
 
Social Engineer Toolkit: quand la machine attaque l’humain
Social Engineer Toolkit: quand la machine attaque l’humainSocial Engineer Toolkit: quand la machine attaque l’humain
Social Engineer Toolkit: quand la machine attaque l’humainmichelcusin
 
Bodyware : Synthèse finale de l'expédition
Bodyware : Synthèse finale de l'expéditionBodyware : Synthèse finale de l'expédition
Bodyware : Synthèse finale de l'expéditionFing
 
Article prot vs_def_secus_10_12
Article prot vs_def_secus_10_12Article prot vs_def_secus_10_12
Article prot vs_def_secus_10_12michelcusin
 
Useo ETUDE RSE février 2011
Useo ETUDE RSE février 2011Useo ETUDE RSE février 2011
Useo ETUDE RSE février 2011Claude Super
 
EI-Institut - Newsletter Check Point - Septembre 2013
EI-Institut - Newsletter Check Point - Septembre 2013EI-Institut - Newsletter Check Point - Septembre 2013
EI-Institut - Newsletter Check Point - Septembre 2013Pierre SARROLA
 
Rapport trimestriel IBM X-Force sur les renseignements relatifs aux menaces
Rapport trimestriel IBM X-Force sur les renseignements relatifs aux menacesRapport trimestriel IBM X-Force sur les renseignements relatifs aux menaces
Rapport trimestriel IBM X-Force sur les renseignements relatifs aux menacesAndréanne Clarke
 
Rapport trimestriel IBM X-Force sur les renseignements relatifs aux menaces
Rapport trimestriel IBM X-Force sur les renseignements relatifs aux menacesRapport trimestriel IBM X-Force sur les renseignements relatifs aux menaces
Rapport trimestriel IBM X-Force sur les renseignements relatifs aux menacesAndréanne Clarke
 
Management : 5 Sécurités indispensables
Management : 5 Sécurités indispensablesManagement : 5 Sécurités indispensables
Management : 5 Sécurités indispensablesHR SCOPE
 

Similaire à Social Engineering : Quelles stratégies ? (20)

Combler les écarts en sécurité de l'information
Combler les écarts en sécurité de l'informationCombler les écarts en sécurité de l'information
Combler les écarts en sécurité de l'information
 
Social engineering : l'art de l'influence et de la manipulation
Social engineering : l'art de l'influence et de la manipulationSocial engineering : l'art de l'influence et de la manipulation
Social engineering : l'art de l'influence et de la manipulation
 
Ingénierie sociale
Ingénierie socialeIngénierie sociale
Ingénierie sociale
 
Mediatar Fr
Mediatar FrMediatar Fr
Mediatar Fr
 
Psychologie sociale de la cybersécurité ou de la protection des informations
Psychologie sociale de la cybersécurité ou de la protection des informationsPsychologie sociale de la cybersécurité ou de la protection des informations
Psychologie sociale de la cybersécurité ou de la protection des informations
 
Dossier de presse - Assises de la Sécurité 2016
Dossier de presse - Assises de la Sécurité 2016Dossier de presse - Assises de la Sécurité 2016
Dossier de presse - Assises de la Sécurité 2016
 
Sécurité de l’information: L’importance du réveil des organisations.
Sécurité de l’information: L’importance du réveil des organisations.Sécurité de l’information: L’importance du réveil des organisations.
Sécurité de l’information: L’importance du réveil des organisations.
 
Hapsis - La Sécurité Numérique à la Carte
Hapsis - La Sécurité Numérique à la CarteHapsis - La Sécurité Numérique à la Carte
Hapsis - La Sécurité Numérique à la Carte
 
Sécurité informatique : un marché dynamisé par le Big Data @ITrustBlog
Sécurité informatique : un marché dynamisé par le Big Data @ITrustBlogSécurité informatique : un marché dynamisé par le Big Data @ITrustBlog
Sécurité informatique : un marché dynamisé par le Big Data @ITrustBlog
 
Points de repère pour un développement responsable des systèmes d’IA
Points de repère pour un développement responsable des systèmes d’IAPoints de repère pour un développement responsable des systèmes d’IA
Points de repère pour un développement responsable des systèmes d’IA
 
Social Engineer Toolkit: quand la machine attaque l’humain
Social Engineer Toolkit: quand la machine attaque l’humainSocial Engineer Toolkit: quand la machine attaque l’humain
Social Engineer Toolkit: quand la machine attaque l’humain
 
RH et 2.0 Novametrie Sept09
RH et 2.0 Novametrie Sept09RH et 2.0 Novametrie Sept09
RH et 2.0 Novametrie Sept09
 
Bodyware : Synthèse finale de l'expédition
Bodyware : Synthèse finale de l'expéditionBodyware : Synthèse finale de l'expédition
Bodyware : Synthèse finale de l'expédition
 
Article prot vs_def_secus_10_12
Article prot vs_def_secus_10_12Article prot vs_def_secus_10_12
Article prot vs_def_secus_10_12
 
Useo ETUDE RSE février 2011
Useo ETUDE RSE février 2011Useo ETUDE RSE février 2011
Useo ETUDE RSE février 2011
 
EI-Institut - Newsletter Check Point - Septembre 2013
EI-Institut - Newsletter Check Point - Septembre 2013EI-Institut - Newsletter Check Point - Septembre 2013
EI-Institut - Newsletter Check Point - Septembre 2013
 
Rapport trimestriel IBM X-Force sur les renseignements relatifs aux menaces
Rapport trimestriel IBM X-Force sur les renseignements relatifs aux menacesRapport trimestriel IBM X-Force sur les renseignements relatifs aux menaces
Rapport trimestriel IBM X-Force sur les renseignements relatifs aux menaces
 
Rapport trimestriel IBM X-Force sur les renseignements relatifs aux menaces
Rapport trimestriel IBM X-Force sur les renseignements relatifs aux menacesRapport trimestriel IBM X-Force sur les renseignements relatifs aux menaces
Rapport trimestriel IBM X-Force sur les renseignements relatifs aux menaces
 
Management : 5 Sécurités indispensables
Management : 5 Sécurités indispensablesManagement : 5 Sécurités indispensables
Management : 5 Sécurités indispensables
 
Manifeste ResistanceCYBER 15.05.17
Manifeste ResistanceCYBER 15.05.17Manifeste ResistanceCYBER 15.05.17
Manifeste ResistanceCYBER 15.05.17
 

Social Engineering : Quelles stratégies ?

  • 1. “SOCIAL ENGINEERING : QUELLES STRATEGIES ? Hapsis “Social Engineering”: Quelles stratégies ? LIVRE BLANC HAPSIS « Définition pas si simple » Hapsis L’ingénierie sociale (social Peut-être aurions-nous dû parler Hapsis est un cabinet de conseil engineering) au sens de la sécurité des d’escroquerie informatique ? indépendant spécialisé dans le domaine systèmes d’information (SSI) est à ne de la gestion des risques et de la sécurité pas confondre avec son homonyme Une fois ce préambule établi nous des systèmes d’information. Créé par des désignant la réalisation de travaux utiliserons dans la suite de ce professionnels de la sécurité dans les domaines des politiques document les termes d’ingénierie informatique, Hapsis est constitué de sociales et de l’intervention sociale. sociale ou de social engineering dans consultants reconnus dont l’expertise et un contexte de sécurité de l’expérience sont associés à une Il existe même pour cette dernière un l’information. connaissance approfondie des contraintes et des enjeux des entreprises. diplôme d’état. On voit ici comment la Proposons en premier lieu une traduction d’un terme américain a pu définition : l’ingénierie sociale engendrer une confusion potentielle consiste en une série de techniques en français, confusion d’autant plus visant à amadouer, duper ou tromper forte que l’ingénierie sociale au sens de une personne cible en vue d’obtenir la SSI ne s’adresse pas qu’aux seuls d’elle une information ou un professionnels de la SSI mais bien comportement qu’elle n’aurait pas évidemment également, et au premier donnée ou qu’elle n’aurait pas eu chef, aux professionnels des ressources sans la mise en œuvre de ces SE Force humaines (RH), eux-mêmes déjà techniques. Pour lutter contre l’ingénierie sociale, familiarisés avec cette appellation Hapsis a mis au point l’offre SE Force. Elle justement dans le domaine des est constituée de 4 volets : politiques sociales.  Evaluation de la résistance de Voilà donc un sujet qui commence bien l’entreprise aux attaques de type SE. mal, engendrant une confusion  Systémique : audit des processus, amenant la majorité des analyse des vulnérabilités, professionnels de la SSI à conserver la renforcement des processus. terminologie anglo-saxonne.  Humain : sensibilisation et formation  Détection et surveillance 45 rue de la Chaussée d'Antin, 75015 Paris • Téléphone: 01 53 16 30 60 • www.hapsis.fr
  • 2. “SOCIAL ENGINEERING : QUELLES STRATEGIES ? Hapsis « Une menace à prendre très au sérieux » Ces techniques existent depuis toujours. Les escrocs de tout poil qui ont parsemé l’Histoire de leurs méfaits sont maîtres dans l’art de les appliquer. des relations avec des collaborateurs de l’entreprise cible Il sera ainsi possible pour les Une différence de taille existe et deviennent leurs « amis ». Au cybercriminels de « revenir » dans néanmoins entre l’usage qui en était travers de ces relations ils le réseau ainsi compromis et fait autrefois et aujourd’hui. En effet, recueillent de précieux d’extraire des informations celui qui utilisait ces techniques devait renseignements sur les procédures sensibles du système à l’époque être particulièrement doué de l’entreprise, sur des noms d’information de l’entreprise dans leur application car elles d’autres personnes de l’entreprise victime. Les attaquants utilisent s’appliquaient essentiellement face à et leurs responsabilités, les projets donc pour ce faire les informations face entre le criminel et sa victime. Le importants… ; préalablement recueillies, et risque d’être pris était à cet égard élevé rédigent un mail crédible qui en cas d’échec. Au travers de l’usage 4. Une fois qu’ils disposent d’un trompera une personne cible de d’Internet non seulement les nombre d’informations suffisant l’entreprise. Cette dernière croira à possibilités d’escroqueries se sont ils peuvent préparer l’attaque un message légitime de ouvertes à des escrocs moins qualifiés proprement dite. Pour ce faire le l’entreprise et activera le code mais aussi à des escrocs provenant cybercriminel se choisit une malveillant qu’il contient à son potentiellement du monde entier. « couverture ». Dans les cas les insu. L’un des cas les plus plus fréquents, il se fait passer médiatisés en 2011 de ce type L’ingénierie sociale est une menace à pour un client, pour un d’attaque est celui dont a été prendre très au sérieux, la plupart des collaborateur d’un fournisseur, ou victime la société RSA ; experts s’accorde aujourd’hui pour la encore pour un employé de considérer comme la menace numéro la société visée. Le plus efficace 7. Dans le cas d’une attaque par 1 pesant sur les systèmes est sans conteste le dernier cas. En téléphone il s’agit, dans la d’information des entreprises. En effet effet, le collaborateur ciblé se majorité des cas, pour l’attaquant la plupart des attaques d’envergure sentira d’autant plus en confiance d’obtenir des informations ayant engendré les dégâts les plus qu’il croira avoir à faire à un confidentielles de la personne importants pour les entreprises collègue. En revanche c’est contactée. On a même vu des victimes et les profits les plus certainement le plus difficile à exemples où le pirate établit une conséquents pour les criminels, ont, à accomplir et ne peut être réservé relation avec la personne cible un moment ou à un autre, exploité des que dans des entreprises pendant des semaines, avant techniques d’ingénierie sociale. suffisamment grande et étendue d’obtenir l’information recherchée pour que tous les collaborateurs et maintenir ensuite la relation Un scénario typique peut être le ne se connaissent pas ; quelque temps afin de ne pas suivant : éveiller de soupçons ; 5. Cette attaque s’effectue en règle 1. Des cybercriminels sont mandatés générale soit par mail soit par On l’aura compris les cybercriminels, pour pénétrer le système téléphone, plus rarement par pour mettre en œuvre leurs noirs d’information d’une société cible contact direct ; desseins, vont au plus facile. Le et dérober des informations sensibles ; 6. Dans le cas d’une attaque par mail piratage informatique pur étant de il s’agit en général de permettre plus en plus complexe, ils ne cherchent 2. Ils commencent par collecter de l’installation dans le réseau de plus à forcer le coffre-fort, ils l’information sur la société cible et l’entreprise cible d’un code demandent la clé ou la combinaison à certains de ses collaborateurs ; malveillant comme un cheval de l’un de ses « copropriétaires » en le 3. Via les réseaux sociaux ils nouent Troie ; dupant. 45 rue de la Chaussée d'Antin, 75015 Paris • Téléphone: 01 53 16 30 60 • www.hapsis.fr
  • 3. “SOCIAL ENGINEERING : QUELLES STRATEGIES ? Hapsis Une stratégie globale pour se défendre Nous ne chercherons pas à détailler ici plus avant les mécanismes utilisés et les raisons pour lesquelles ils fonctionnent si bien. A partir de l’instant où le niveau de dangerosité de l’ingénierie sociale est bien évident, l’objectif est maintenant de dégager les lignes de la stratégie à mettre en c’est à dire sa capacité à résister par construction à œuvre pour lutter contre ce fléau. ce type d’attaques. En agissant sur les collaborateurs on renforce la capacité de ceux-ci à Toute lutte contre l’ingénierie sociale doit agir sur identifier la menace et à se défendre et ainsi deux composantes de l’entreprise : les processus défendre leur entreprise. S’appuyant sur ce et les collaborateurs. En agissant sur les processus principe, la stratégie proposée est composée de on renforce la défense systémique de l’entreprise, trois parties :  Audit de processus 1. Audit et défense systémique Il s’agit d’analyser un processus de l’entreprise,  Tests d’intrusion comme, par exemple, celui du traitement des La pratique régulière de tests d’intrusion de type clients par un support téléphonique, ou encore ingénierie sociale permet de mesurer dans le celui du paiement des factures fournisseurs, en temps les progrès accomplis par la mise en œuvre identifiant si à une étape ou une autre, il peut être de la stratégie dans son ensemble. Ils sont vulnérable à une attaque d’ingénierie sociale. Sont également utiles afin de sensibiliser la Direction de ensuite préconisées et mises en œuvre des contre- l’entreprise à la nécessité d’agir en démontrant les mesures en modifiant le processus si cela est risques encourus. possible et/ou en formant les personnes pouvant En fonction du périmètre ciblé et de la politique de être la cible de l’attaque. l’entreprise, ces tests pourront prendre différentes Il est particulièrement intéressant de noter ici que formes : campagne de phishing, envoi de mails des objectifs sécuritaires peuvent être tout à fait en ciblés, récupération d’informations sensibles par phase avec un objectif d’amélioration business. téléphone ou via les réseaux sociaux, intrusion En effet, prenons le cas d’un service de banque par dans les locaux… téléphone 45 rue de la Chaussée d'Antin, 75015 Paris • Téléphone: 01 53 16 30 60 • www.hapsis.fr
  • 4. “SOCIAL ENGINEERING : QUELLES STRATEGIES ? Hapsis Lorsqu’un client appelle, un processus car le client doit fournir d’avantage d’informations, d’identification permet de s’assurer qu’il est bien tout en ayant l’impression d’une plus grande celui qu’il prétend. Les procédures standards proximité de la banque à son égard ce qui est simples peuvent, comme cela s’est déjà produit, certainement un avantage commercial. prêter le flanc à certaines attaques d’ingénierie  Organisation sociale. Certaines banques ont renforcé cette La lutte contre l’ingénierie sociale nécessite procédure en formant leurs opérateurs à avoir un également qu’elle soit prise en compte d’un point dialogue plus personnel basé sur une meilleure de vue organisationnel. Dans la grande majorité connaissance de leur client, tenu naturellement sur des cas elle s’intègre dans l’organisation existante. le ton d’une conversation amicale. Cela permet de Il peut néanmoins être utile d’y apporter parfois renforcer le niveau de sécurité de l’identification quelques aménagements 2. Education et sensibilisation  Ce qu’il faut retenir Il y a beaucoup à dire sur le contenu d’un programme d’éducation et de sensibilisation à l’ingénierie sociale. Il faut en effet expliquer ce que c’est, faire prendre conscience de la menace, dire ce que l’on risque, expliquer pourquoi cela fonctionne, détailler les techniques et indiquer les parades. Cependant, pour que des personnes non professionnelles de la sécurité soient sensibles au message, fassent l’effort de comprendre et, d’appliquer les bonnes pratiques, il y a deux points En effet le renard, qui chasse le hérisson, est un essentiels à faire passer : animal rusé. Il déploie ainsi maints stratagèmes Le risque pèse aussi et surtout sur eux. En effet, en vue de capturer le hérisson. Face à ces lorsqu’il s’agit d’une attaque technique, dans attaques au nombre desquelles il n’entend pas laquelle un pirate tente une intrusion via grand chose, le hérisson répond toujours d’une l’infrastructure informatique d’une entreprise, les simple et unique manière : il se met en boule et collaborateurs ne sont pas directement impactés. dresse ses épines face à l’attaquant. Dépité, le Dans le cadre d’une attaque d’ingénierie sociale, renard rentre à chaque fois bredouille. De la c’est tout le contraire, elle cible en premier un ou même façon, il suffit au collaborateur d’une plusieurs collaborateurs de l’entreprise. Au bout du entreprise, d’apprendre les quelques réflexes compte c’est bien une personne qui se fait duper et simples à avoir pour faire échec aux manœuvres manipuler. Les conséquences psychologiques rusées des renards que sont les cybercriminels. peuvent dans ce cas être difficiles à supporter. Il est donc impératif de faire prendre conscience aux  Campagnes de sensibilisation collaborateurs que cette menace les vise et les Nous ne rentrerons pas ici dans le détail de mise concerne directement. en œuvre de campagnes de sensibilisation et sur Ce n’est pas si compliqué que cela. Une réaction les facteurs clé de succès de ces campagnes. Il courante face à ce sujet est de considérer que les faut cependant prendre soin d’intégrer aux cybercriminels sont bien trop malins et campagnes de sensibilisation, menées sur la compétents face aux béotiens que nous sommes et sécurité de l’information, des modules dédiés à que donc on ne peut pas y faire grand chose. En l’ingénierie sociale. fait, il est fondamental de comprendre que pour résister et faire face à une attaque d’ingénierie  Formations ciblées plus poussées sociale, il n’est absolument pas nécessaire d’en Certaines catégories de collaborateurs sont, en maîtriser les techniques, loin s’en faut. Afin quelque sorte, en première ligne face au risque d’illustrer ce propos, on peut comparer cette d’attaques d’ingénierie sociale. Ce sont par situation à celle du hérisson face au renard. exemple les nouveaux arrivants, les assistantes 45 rue de la Chaussée d'Antin, 75015 Paris • Téléphone: 01 53 16 30 60 • www.hapsis.fr
  • 5. “SOCIAL ENGINEERING : QUELLES STRATEGIES ? Hapsis de direction, les commerciaux, le support client… Pour Agréable à suivre, vivante et immersive cette formation ces personnes il est utile de leur fournir une formation met en œuvre : plus poussée. Les objectifs de cette formation sont : • Des ateliers basés sur des cas pratiques, Des exercices, • développer auprès des collaborateurs une • Des vidéos, conscience de la menace et une • Un jeu de rôle immersif spécialement conçu compréhension des enjeux, pour cette formation, animée par des • leur expliquer les techniques d'ingénierie comédiens professionnels qui permet de sociale utilisées, mettre en pratique les enseignements. • et surtout leur apprendre à réagir et à adopter les comportements qui protègent. 3. Détection et réponse à incidents  Honeypots sociaux L’idée est donc de créer un réseau interne de veille Dans le cadre d’une lutte efficace contre et de détection au travers d’une équipe de l’ingénierie sociale, il est utile de pouvoir détecter sentinelles réparties dans l’entreprise. Ce réseau en amont la préparation d’une attaque. On l’a vu, peut venir se greffer sur le réseau existant de toute attaque commence par une collecte gestion des incidents. Les sentinelles, une fois intensive d’informations sur la cible. L’idée est formées, collectent autour d’elles les évènements donc de placer des leurres aux endroits de suspects et propagent les bonnes pratiques. Les prédilection des attaquants, à savoir les réseaux évènements recensés sont centralisés en un point sociaux. Ces leurres sont ce que l’on appelle des ou la corrélation permet une vigilance globale. honeypots (pots de miel) sociaux, et consistent en la création de faux profils sur les réseaux sociaux,  Réponse à incidents ces profils crédibilisant la possible détention Intégrée à la politique de gestion des incidents, la d’informations susceptibles d’intéresser les réponse faite aux incidents liés aux attaques attaquants. Une sollicitation de mise en relation, d’ingénierie sociale consiste en la prise de mesures suivie de demandes d’informations peut ainsi défensives ou de prévention complémentaires : éveiller les soupçons et permettre de savoir que modification de processus, formation, quelque chose se prépare. déploiement d’outils, surveillance accrue…  Réseau de sentinelles La plupart des entreprises cibles sont des grandes entreprises, étendues géographiquement. On l’a vu, les attaques d’ingénierie sociale peuvent cibler tout collaborateur n’importe où dans l’entreprise. Une bonne surveillance des attaques ou des tentatives d’attaques passe donc par une capillarité suffisante du processus de surveillance. 45 rue de la Chaussée d'Antin, 75015 Paris • Téléphone: 01 53 16 30 60 • www.hapsis.fr