SysFailure

Imprimer

Ingéniérie sociale

.

Aspects pratiques de l'ingéniérie sociale

L'ingéniérie sociale peut être vue sous deux angles :

  • en tant que finalité de l'action, ou
  • en tant que moyen utilisé lors d'un audit.

Quelles sont les finalités possibles de l'ingéniérie sociale ? Il est nécessaire d'identifier avec le commanditaire l'objectif recherché, par exemple mesurer la sensibilisation des utilisateurs vis-à-vis des données sensibles auxquelles ils ont accès.

Cela signifie qu'il faut correctement définir ce qu'est une donnée sensible. Ainsi, l'absence d'une personne (en conférence, en congés maternité, etc.) peut, selon les entreprises, les personnes, les contextes et l'objectif de l'agresseur, être considéré comme une information sensible.

Il faut aussi se poser une question complémentaire : le commanditaire veut-il mesurer les signalements des utilisateurs lorsqu'ils reçoivent une demande d'informations sensibles ? Si l'on veut estimer la maturité de l'organisation sur ces sujets, cela peut être un indicateur intéressant. Il faut alors que le traitement des signalements provoqués par l'auditeur soit court-circuité, pour éviter une alerte de sécurité.

Enfin, il est utile de mesurer l'exposition de l'organisation à la fuite d'informations, c'est-à-dire estimer l'impage des fuites. Cet impact repose sur le nombre d'utilisateurs ayant été piégés par l'ingéniérie sociale, et la criticité des informations obtenues.

Lorsque l'ingéniérie sociale est utilisée en tant que moyen, comme un outil parmi d'autres pour obtenir des informations, elle se révèle redoutablement efficace pour peu que l'auditeur soit compétent. L'hameçonnage, l'appel téléphonique angoissé ou stressant, l'intrusion physique voire la séduction sont des méthodes d'ingéniérie sociale, et il en existe bien d'autres.

Dans toutes ces situations, l'ingéniérie sociale permet de récupérer des informations se révélant souvent capitales pour la suite de l'audit :

  • des mots de passe,
  • des données sur l'architecture du réseau ou les mesures de sécurité,
  • des informations personnelles ou sur l'organisation,
  • etc.