Social engineering : Pour une rentrée en toute sérénité, testez votre niveau de vulnérabilité

Cybersecurite-sensibilisation-tests-phishing
Publié le 11/09/2018

Les tentatives de phishing n’ont pas pris de congés cet été. Elles constituent une menace majeure et grandissante pour toutes les entreprises. Au coeur de cette mécanique, l'homme est le principal point de vulnérabilité.

Chez RETIS, nous avons mis au point un programme de sensibilisation spécifique autour d'une plateforme de simulation personnalisée. 

Explications...

 

 

 

Qu’est-ce que le hameçonnage (phishing) ?

Phénomène grandissant partout dans le Monde, le hameçonnage (phishing) est une « attaque de masse » qui vise à tromper et abuser de la confiance des employés pour récupérer des informations ou compromettre leur ordinateur. Imitant un mail provenant d’une source de confiance, l’utilisateur est invité à renseigner des informations confidentielles, ou à cliquer sur un lien pointant vers un contenu malveillant de type ransomware, spyware, ou tout simplement le conduisant à installer un cheval de Troie polyvalent (botnet). Il peut s’agir d’usurper des marques et services que nous consommons au quotidien (Netflix, Amazon, Alibaba, Carrefour, Orange et bien d’autres...), de faire valoir nos obligations de citoyen (faux formulaire fiscal) ou notre position de salarié (demande RH, ordre d’un manager), etc...

Phishing de masse ou phishing ciblé

On parle de phishing de masse à spectre large, ou de phishing ciblé, scénarisé par ingénierie sociale pour attaquer une entreprise en particulier (spear phishing). Si le phishing de masse à spectre large était assez souvent détectable par le passé pour un utilisateur prudent et bien informé (syntaxe et obfuscation approximatives, scénarios simplistes), le niveau de sophistication actuel des techniques d’obfuscation rend beaucoup plus délicate son identification si on n’y est pas préparé. L’efficacité du phishing de masse, sans égaler celle du phishing ciblé tend à augmenter.

 

En France, on estime que « 63 % des incidents de sécurité proviennent d’un collaborateur actif au sein des effectifs » (Deloitte – janvier 2018). 

Le facteur humain reste donc un élément primordial de la sécurité numérique d'une entreprise. Dans le cas du phishing, c’est le principal point de vulnérabilité.

 

 

Comment se protéger du phishing ?

Face à ce vecteur d’attaque devenu majeur pour toutes les entreprises, nous estimons chez RETIS que la sensibilisation et la formation des utilisateurs est la clé.

Au-delà de nos prestations de conseil et d’intégration, notre équipe d’Ingénieurs en Cybersécurité Offensive a développé une plateforme permettant d’industrialiser des campagnes de simulation de phishing de manière ponctuelle ou récurrente.  

Ces tests sont encadrés par un Consultant SSI (Sécurité du Système d’Information) prenant en charge l’élaboration de la stratégie d’attaque, et peuvent être complétés par une session de formation aux bonnes pratiques de sécurité. La plateforme en ligne développée par RETIS permet au client de suivre les résultats statistiques de sa campagne tout au long de la prestation.

 

Vous souhaitez en savoir plus sur nos prestations de social engineering ou découvrir l’ensemble de notre offre d’accompagnement ? Contactez-nous 

Cybersecurite-informatique-sensibilisation