L’audit de sécurité informatique par social engineering permet d’évaluer le niveau de sécurité informatique d’une organisation en se servant de méthodes impliquant l’élément « humain », similaire à celles utilisées par une personne malveillante. Les buts de l’audit sont de déterminer les possibilités d’accéder à des informations sensibles, pour un périmètre et sur une durée déterminée à l’avance dans le contrat individuel ou dans l’avenant.

Le social engineering est basé sur différentes méthodes impliquant toutes des faiblesses liées aux comportements humains. L’audit intervient à plusieurs niveaux physiques : directement sur la place de travail, en dehors du lieu de travail, par courrier, par téléphone ou par Internet. D’une manière générale, les méthodes utilisées recherchent toutes à recouper différentes informations qui permettront d’accéder ensuite à des informations sensibles, localement ou à distance. Les méthodes basées sur le contact humain impliquent des astuces psychologiques.

Ce type d’audit est généralement effectué de manière confidentielle. Bien qu’aucune effraction ni toute autre acte violent ne sera tenté, il peut impliquer des actes normalement non autorisés (par exemple falsification d’identité) ou des réactions de la part des personnes impliquées malgré elles ; c’est pourquoi il n’est réalisé qu’avec l’accord formel et explicite du client, pendant une période convenue. De plus nous recommandons de sensibiliser le personnel sur le fait qu’un audit peut être effectué, sans en préciser les détails.

Cet audit comprend les activités suivantes :

• Recueil d’informations générales afin de s’informer sur la société, ses employés, ses partenaires, sa culture, en vue d’identifier d’éventuelles faiblesses ;
• Audit par accès aux locaux, notamment aux locaux sécurisés ;
• Audit par courrier et par téléphone ;
• Audit par Internet en utilisant la messagerie électronique email, les systèmes de chat, les forums etc. mais sans les moyens impliquant du développement logiciel (phishing, troyens, etc.) ;
• Proposition de contre-mesures pour chaque faiblesse identifiée ;
• Rédaction du rapport d’audit sous forme d’une synthèse ;
• Présentation de l’audit au client (une fois par année pour les audits récurrents).

Les documents suivants seront produits au cours de notre travail :

• Audit de sécurité informatique par social engineering : rapport détaillé avec références ;
• Présentation PowerPoint regroupant les points principaux.

Le niveau de sévérité de chacune des faiblesses identifiées lors de l’audit est indiqué dans le rapport avec une notation à trois niveaux. Chaque faiblesse est accompagnée d’une brève proposition de contre-mesure correspondante.