Tests de malveillance

La sécurité des systèmes d’information ne se limite pas aux aspects techniques mais aussi humains : dans plus de 90% des cas, les incidents de sécurité sont causés par une erreur humaine. L’ingénierie sociale consiste à obtenir des accès et des informations sensibles en se basant sur les failles humaines et sociales du personnel (abus de confiance, naïveté, ignorance). Les personnes malveillantes usent donc de charisme, d’usurpation et d’audace pour parvenir à leurs fins.

L’installation d’équipements et de logiciels de sécurité informatique est nécessaire mais ne constitue pas une protection suffisante pour une organisation. Chaque entreprise, quel que soit son secteur d’activité, est confrontée à des actes de malveillance, volontaires ou non. Ces actes peuvent être issus des employés, des fournisseurs, des partenaires, des dirigeants… Des arnaques au président à l’hameçonnage (phishing), de l’intrusion physique à l’usurpation d’identité, les malveillances sont nombreuses et prennent des formes différentes, toujours novatrices. Outre l’aspect purement financier, ces actes peuvent mettre en péril la notoriété et le respect de la conformité de chaque entreprise. Y sensibiliser le personnel est devenu indispensable.

Les audits de malveillance s’adressent aux directions générales, informatiques ou des ressources humaines souhaitant évaluer le niveau de sensibilisation de son personnel aux comportements malveillants. De par ses nombreuses approches possibles, la malveillance concerne l’ensemble du personnel d’entreprise, même externe ou non-permanent. L’audit permet donc de tester comment réagirait ses ressources humaines en cas d’espionnage ou de campagne de spam.

La démarche proposée par Digitemis comprend plusieurs volets permettant la réalisation de la prestation. Ces derniers comprennent le phishing, vishing ou encore l’intrusion physique dans les locaux de l’organisme visé.
Ces tests permettent aux entreprises d’obtenir des indicateurs fiables sur l’état de la sécurité d’un point de vue organisationnel, de connaître la sensibilité des utilisateurs du système d’information vis-à-vis de l’importance de la confidentialité des informations, de mettre en œuvre des recommandations d’amélioration, puis de piloter ces données dans le temps.