Nous conduisons régulièrement des pentests d’ingénierie sociale pour nos clients. Nos pentesters (experts en cybersécurité) ont testé différentes techniques, différents scénarios et prétextes.
Nous avons tiré des leçons de notre expérience, et nos clients nous ont fait part ce qu’ils ont appris également ; ce que nous vous partageons ci-dessous.
L’un et l’autre sont considérés comme les meilleurs alliés des RSSI (et en général des personnes en charge de la sécurité). Ils sont toutefois deux outils différents dans une stratégie de sécurité. Quelles sont les différentes caractéristiques d’un pentest (test d’intrusion) et d’un scanner de vulnérabilités ?
C’est une question que nous entendons souvent. Malheureusement, nous n’avons pas de formule ROI toute faite à vous révéler. Le retour sur investissement d’un test d’intrusion est complexe à évaluer. Cependant, nous vous donnons 4 clés pour démontrer l’intérêt financier d’un pentest. La sécurité ne sert pas seulement à éviter d’éventuels problèmes, elle crée surtout de la valeur pour faciliter les ventes et renforcer la confiance de vos clients.
Interface d’administration, back-office, tableau de bord (dashboard), panneau administrateur… plusieurs noms pour la même chose : l’endroit où les organisations gèrent leurs données, supervisent leur activité sur une plateforme web, répondent aux demandes de leurs clients, activent les comptes utilisateurs, configurent des articles pour une plateforme e-commerce…
Lorsque l’on pense à la sécurité des plateformes web, le back-office n’est pas forcément la priorité, pour plusieurs raisons. L’accès à ce type d’application est normalement restreint, aux services internes de l’organisation, et parfois à des tiers, supposés de confiance.
La sécurité, c’est primordial, et vous êtes d’accord avec ça. D’ailleurs, vous voulez faire un 
test d’intrusion (ou pentest) sur votre solution d’ici peu… Voici 7 questions pour vous aider à obtenir le meilleur d’un test d’intrusion.
Réaliser un test d’intrusion sur l’environnement de production a un avantage certain : l’audit est effectué dans les conditions réelles d’utilisation de votre site web, application web, API… avec les dernières évolutions mises en place.
« Tout le succès d’une opération réside dans sa préparation », Sun Tzu. Déjà vraie au VIe siècle av J-C, cette maxime l’est toujours au XXIe siècle. Et les pirates informatiques l’ont bien intégrée à leur stratégie.
Avant de lancer leur attaque, ils vont ainsi répertorier toutes les informations disponibles sur internet concernant leur cible. En effet, la transformation numérique apporte des avantages à une organisation, mais elle rend également de nombreuses informations visibles depuis l’extérieur à qui sait où chercher, ou même simplement regarder. Ces informations aident ensuite les personnes mal intentionnées à adapter leurs attaques à la cible.
Heureusement, cette situation n’est pas une fatalité. Chaque entreprise peut cartographier son empreinte numérique, pour ensuite contrôler et limiter les informations visibles. C’est ce à quoi consiste un audit de reconnaissance.
Mis à jour 1. Déc 2020
Plus de 2 ans après l’entrée en vigueur du RGPD (le 25 mai 2018), des sanctions ont été prononcées par plusieurs organismes de protections des données. Ces sanctions ont des répercussions importantes, économiques mais surtout pour l’image des entreprises concernées, car elles sont communiquées publiquement.
Si les grands principes du RGPD sont généralement connus, les mesures techniques principales à mettre en place pour sécuriser un site ou un système d’information restent encore parfois floues. Pour y remédier, nous détaillons dans cet article tous les aspects de sécurité technique du RGPD.
A la suite d’un audit de sécurité, des vulnérabilités vous ont été signalées. Faille critique, importante, moyenne : savez-vous comment cela est établi ? Nous vous détaillons notre méthodologie, basée sur celle de OWASP*, pour estimer la sévérité des risques d’une vulnérabilité.
Le phishing a beaucoup évolué. Alors que l’email frauduleux était auparavant facilement repéré par ses nombreuses fautes d’orthographe et par les demandes ou menaces exagérées (versement immédiat d’argent, compte intégralement effacé, etc.), il reprend aujourd’hui les codes d’organismes de confiance. De plus, le phishing implique désormais des demandes personnalisées ou des interlocuteurs connus de la personne attaquée (responsables hiérarchiques par exemple), ce qui le rend plus difficile à détecter.
Le phishing consiste à interagir avec des emails piégés. Il s’agit de la méthode la plus couramment utilisée pour l’ingénierie sociale, une branche de la cyber-criminalité.
L’ingénierie sociale cible le comportement humain. Elle a pour but d’amener un utilisateur à dévoiler des informations confidentielles et à réaliser des actions néfastes pour soi-même ou pour un organisme auquel il appartient. Vous pouvez sensibiliser vos équipes à ce risque en réalisant un audit d’ingénierie sociale.
Nous verrons dans cet article comment déjouer les différents stratagèmes du phishing, qui peuvent échapper même aux utilisateurs avertis et vigilants.
[Article mis à jour le 8 nov 2022]
Avez-vous utilisé des google dorks aujourd’hui ? Si vous avez tapé un mot entre guillemets ou bien associé deux termes avec AND, alors la réponse est oui.
Les google dorks sont des opérateurs de recherche avancés qui aident à mieux cibler les informations recherchées.
Ils permettent même de découvrir des vulnérabilités et de renforcer votre sécurité, voyons comment.