Services de sécurité informatique

Simulation d’Hameçonnage et d’Ingenierie Sociale

Les humains sont le maillon le plus faible de la chaîne de la sécurité. En effet, ils sont confrontés quotidiennement à des menaces allant de l'hameçonnage de courriels, aux appels d'ingénierie sociale et, très souvent, n'ont que peu ou pas de connaissances qui les aideraient à identifier le danger.

Peu importe les contrôles de sécurité technique et physique que vous avez mis en place, la sécurité de votre infrastructure et de votre réseau réduit la capacité de vos employés, entrepreneurs ou fournisseurs à reconnaître de telles attaques et à ne pas tomber dans de tels pièges.

Les pirates informatiques connaissent ces faits alarmants, c'est pourquoi les humains sont leur première cible. Les cybercriminels utilisent des techniques d'ingénierie sociale sophistiquées pour persuader et manipuler les gens afin qu'ils aient accès à vos réseaux internes et à vos informations sensibles.

L'évaluation de la capacité de vos employés à identifier et à résister aux attaques d'ingénierie sociale devrait être un élément clé du programme de sécurité de votre organisation.

Wizlynx Social Engineering Assessment

Nos services s'appuient sur des professionnels de la sécurité hautement qualifiés et des testeurs d'intrusion possédant une vaste expérience, tant en défense qu'en attaque, pour créer des scénarios d'hameçonnage réalistes. L'objectif de notre service n'est pas seulement d'évaluer la capacité de vos employés à résister aux attaques d'hameçonnage courantes, mais plus important encore, les attaques ciblées et les attaques de spear-phishing qui ont un impact élevé sur votre organisation. wizlynx group présente Phishlynx, une solution développée en interne pour nous assister lors des évaluations en ingénierie sociale.

Nos services d'évaluation en ingénierie sociale

Hameçonnage par courriel avec site Web miroir

Consiste à envoyer un courriel d'hameçonnage dans le but de tromper vos utilisateurs et à fournir des informations sensibles, comme un nom d'utilisateur et un mot de passe sur un site Web miroir qui ressemble beaucoup au vrai site Web.

Phishing par courriel avec pièces jointes

Consiste à envoyer un email de phishing dans le but de tromper vos utilisateurs et à ouvrir une pièce jointe (par exemple un fichier XLS) et activer la macro VB.

L'hameçonnage par courriel avec hyperliens

Consiste à envoyer un courriel d'hameçonnage dans le but de tromper vos utilisateurs pour qu'ils cliquent sur un lien.

Email Phishing avec téléchargement de fichiers

Consiste à envoyer un courriel d'hameçonnage dans le but de tromper les utilisateurs et à télécharger des fichiers potentiellement malveillants à partir d'un site web externe (p. ex. un fichier XLS) et en activant la macro VB.

USB Drop

Consiste à déposer des clés USB contenant des fichiers à des endroits stratégiques, tels que salles de réunion, toilettes, parkings, etc. dans le but de tromper les utilisateurs à connecter la clé USB et à ouvrir des fichiers potentiellement malveillants.

Phishing vocal (Vishing)

Consiste à utiliser des techniques d'ingénierie sociale par téléphone pour amener vos utilisateurs à fournir des informations sensibles telles que le nom d'utilisateur, le mot de passe, l'accès à l'ordinateur de la victime, etc.

Usurpation d'identité du personnel et contrôles de sécurité physique

Comprend diverses tentatives d'accès à des endroits spécifiques, accès physique non-autorisé au réseau, appâtage, tailgating, fouille de poubelles, etc.

Notre méthodologie d'ingénierie sociale

L'évaluation de l'ingénierie sociale de wizlynx group est généralement exécutée en trois phases :
Reconnaissance & Planning
  • Analyse des menaces et définition de objectifs d'audit
  • Reconnaissance de cibles
  • Création du script et du planing
  • Préparation de la plate-forme d'attaque
Exécution
  • Attaques de phishing par courriel
  • Attaques Vishing
  • Attaque USB drop
  • Évaluation et interprétation
Rapport d'activité
  • Évaluation globale et documentation des résultats, y compris des statistiques détaillées.
  • Évaluation des risques
  • Préparation du rapport et recommandations
  • Débriefing

Reconnaissance & Planning

Les tâches suivantes seront effectuées pendant les phases de reconnaissance et de planification:

  • Compilation des scripts d'attaque, planification détaillée et révision de la méthode d'attaque
  • Sélection de l'information et du type d'accès à obtenir (p. ex. identification de l'employé, login/mot de passe, accès au système RH, etc.
  • Définition du scope, des cibles, des tâches et de la zone.
  • Sélection des employés du client qui seront ciblés.
  • Reconnaissance de l'information sur l’entreprise, les employés, les commérages, les faiblesses, les problèmes internes, le profilage des victimes, etc.
  • Préparation de la plate-forme et des outils d'attaque (par exemple, enregistrement de domaines, sites web miroir, scripts de suivi pour générer des statistiques, pièces jointes, faux malwares, etc).

Exécution

Cette phase centrale consiste en l'exécution effective de tests définis et convenus à l'avance.

Si wizlynx group découvre de sérieuses lacunes et faiblesses, le client en sera informé immédiatement afin que toutes les mesures d'urgence puissent être mises en œuvre de manière sûre et opportune.

Rapport d’activité

Les tâches suivantes seront exécutées dans cette phase :

  • L'évaluation globale et la documentation des résultats qui incluent tous les employés qui divulguent des renseignements de nature délicate et qui accordent l'accès à l'information.
  • Révision et contrôle de qualité
  • Préparation du rapport avec évaluation et recommandations.

Les faiblesses et les risques significatifs pour la sécurité de l'information (le "facteur humain") seront interprétés, évalués et jugés.

Toutes les conclusions seront documentées dans un rapport final et comparées à un profil forces/faiblesses par rapport à la norme internationale ISO 27001 sur la sécurité des TI. Les faiblesses identifiées seront évaluées et complétées par des recommandations et des mesures correctives, et classées par ordre de priorité en fonction du risque associé. Le rapport final sera discuté lors d'une présentation avec le client. Le rapport comprendra un résumé complet et significatif de l'évaluation d'ingénierie sociale exécutée. Il comprendra également tous les résultats détaillés avec les preuves respectives et des recommandations pour les mesures de sécurité futures basées sur les résultats.

Nos Certifications

Nos consultants sécurité et ethical hacker détiennent les certifications les plus reconnu dans l’industrie de la cybersécurité et tests d’intrusion tels que: SANS/GIAC GPEN, GWAPT, GCIH, GMOB, OSCP, CEH, CISSP, CISA, et bien plus encore !

Top