Mystery Visit / Pentest (FR) Mixte : présentiel / à distance

Lors d'une visite mystère ou d'un test de pénétration (pentest), la sécurité est testée.

Ce test axé sur les résultats peut porter aussi bien sur l'infrastructure, les mesures (techno)préventives, les procédures en vigueur et leur connaissance par vos collaborateurs, que sur la culture d'entreprise (sensibilisation).

En fonction de la nature des vulnérabilités identifiées, l'accent peut passer de la visite mystère au pentest, et inversement.

Lors d'une visite mystère, le maillon humain sera testé à l'aide de techniques d'ingénierie sociale afin d'obtenir certaines informations ou un accès prédéfini.

Lors d'un pentest, les moyens technopréventifs sont testés par effraction, escalade, fausse clé, etc., tout en évitant le contact avec le personnel.

Une combinaison des deux est possible et sera déterminée en concertation avec le client, en fonction des besoins concrets.

La durée de la mission dépend de la complexité et des demandes spécifiques. Une estimation précise vous sera communiquée via une offre personnalisée.

La mission se compose d'une exploration, d'une préparation (élaboration du scénario), de l'exécution et d'un reporting avec recommandations.

Possibilités (liste non exhaustive): 

• Full pentest: 

Le donneur d'ordre souhaite tester la sécurité dans sa globalité : entrer par n'importe quel moyen et mener une “attaque” simulée. Les mesures technopréventives sont principalement testées, mais en cas de contact avec les employés, l'ingénierie sociale (visite mystère) peut également être utilisée pour compléter le scénario.
L'attaque dépend de la nature des activités principales du client (par exemple : cyber, explosion, panne de courant, contamination alimentaire/pharmaceutique, sabotage de la chaîne d'approvisionnement, espionnage/R&D, vol de données personnelles, etc.).

• Visite mystère orientée "hospitalité": 

Par exemple :

• Comment l'accueil se passe-t-il à la réception ?
• Laissez-vous entrer quelqu'un sans vérifier qui il est et ce qu'il vient faire ?
• Reste-t-on aimable mais assertif face à des “clients difficiles” ?

• Evaluation de la sécurité permanente:

Dans ce cas, une entreprise ou une institution est “visitée” plusieurs fois par an pour tester la sensibilisation à la sécurité (par exemple : 2 fois par an, chaque trimestre, tous les deux mois, etc.).
Les avantages sont les suivants :

• Offre une meilleure visibilité qu'un test ponctuel;
• Plus rentable car le temps de préparation est réduit (site déjà connu).

Lors d’une première réunion, les « règles du jeu » ou « règles d’engagement » sont définies.
Nous y fixons les objectifs à atteindre (informations ou accès physique à certains espaces) ainsi que les techniques autorisées pour obtenir ces informations, ou nous déterminons la procédure de sécurité spécifique à tester.

Pour ce faire, nous utilisons :

• des techniques courantes d’ingénierie sociale et des prétextes visant à jouer sur les émotions de vos collaborateurs,
• les faiblesses des mesures technopréventives,
• les faiblesses des procédures.

Nous mobilisons le profil le mieux adapté aux objectifs de la mission spécifique. Cela peut aller de pentesters expérimentés à des acteurs, des hackers éthiques ou des experts en communication.

Variantes possibles : 

• Mystery mails / Phishing
• Mystery calls / Vishing (voix) et/ou Smishing (SMS)

Les résultats sont présentés dans un rapport final qui peut être utilisé pour traiter les risques et les pôles d'amélioration identifiés.

À la fin de chaque chapitre et de chaque formation, nous invitons chaque étudiant à remplir une évaluation détaillée de la qualité via l'extranet. Vous pouvez y donner votre avis sur chaque chapitre, sur l'instructeur et sur la salle utilisée. Votre précieuse contribution nous permet d'améliorer continuellement nos services et d'optimiser la qualité de nos cours de formation.