De nos jours, les audits de sécurités deviennent de plus en plus indispensables pour évaluer le système de sécurité informatique d’une entreprise. Bien que les auditeurs procèdent à l’évaluation de tout le système matériel, une étude des risques liés directement aux personnes est également réalisée. Le teste de click est un moyen très efficace pour évaluer la capacité de différents individus à cliquer sur n’importe quel onglet intrigant sur leur poste de travail. Mais comment se déroule ce type de test ? Allons développer dans l’article suivant tout ce qu’il faut savoir sur le sujet.
Le test de clic : De quoi s’agit-il ?
Le teste de click est un processus de contrôle réalisé par différentes entités, dans le cadre d’un audit de sécurité. Il s’agit d’une opération qui consiste à faire une vérification du taux de résistance des différents acteurs de la société face à des situations nouvelles sur leur poste de travail, telles que l’apparition d’un URL intriguant ou d’un simple email suspicieux.
C’est un processus qui permet aux auditeurs d’évaluer le comportement des collaborateurs. Est-ce que ces derniers cliqueront sur le lien ? Oseront-ils donner leur identifiant ou leur mot de passe ? Bien que cela puisse paraitre improbable, la capacité de résistance est un élément important dans la cybersécurité pour éviter les risques de phishing.
Etant un test de sécurité comme les autres, le test de clic est alors réalisé par des organismes hautement expérimentés en audits de sécurité, en collaboration avec la direction de l’entreprise concernée.
Le test de clic : Evaluer les risques de phishing
Un teste de click est réalisé dans le but d’évaluer les risques pour toute tentative de cyberattaques, surtout le phishing.
Pour ceux qui ne savent pas encore de quoi il s’agit, le phishing est une technique très utilisée par les individus malveillants dans le but de se procurer des données personnelles des personnes concernées. Très souvent, cette attaque informatique est réalisée par courrier électronique. Un mail est reçu demandant à la personne concernée de communiquer des renseignements personnels.
Le côté le plus dangereux de l’usurpation est le fait que les mails ne proviennent pas d’inconnus mais des tiers de confiance, tels qu’un établissement bancaire, un service informatique ou un site d’achat sur internet. Il est même possible de les recevoir via les adresses des portefeuilles virtuelles ou des impôts.
Cette collecte d’information est réalisée à des fins malveillantes pour :
- Une usurpation d’identité, pour envoyer des messages de spam à travers internet ou accéder à des ressources confidentielles qui ne sont pas accessibles au grand public ;
- Une transaction bancaire en votre nom, pour estropier de l’argent à des tiers.
La collecte d’informations avant la réalisation du test
Travaillant en étroite collaboration avec l’entreprise concernée, la société auditrice commence par trouver sur internet toutes les informations nécessaires concernant l’entreprise et les acteurs y travaillant.
Vous serez étonné de la quantité d’information que l’on peut trouver sur le web ! C’est une véritable mine de renseignements. Il suffit de faire les bonnes recherches pour obtenir les adresses emails de tous les acteurs. Ces derniers temps, les recherches sont d’autant plus faciles avec l’évolution des réseaux sociaux où les internautes se dévoilent le plus.
L’auditeur procède alors à la récolter de toutes les données utiles lui permettant de réaliser le test en toute discrétion.
Dans certains cas, c’est la société elle-même qui fournit les informations requises. Cependant, les professionnels en audits de sécurité préfèrent opter pour la première option démontrant ainsi leur professionnalisme et la fiabilité dont ils font preuve.
Comment le test de clic est réalisé ?
Une fois toutes les informations réunies, le test de clic peut alors être réalisé par l’entité responsable. Le test se déroule le plus souvent par un envoi de message tentant à tous les collaborateurs via les adresses électroniques récoltées afin d’évaluer les comportements de chacun face aux contenus de l’URL. Les résultats constatés sont la plupart du temps très concluants.
Les acteurs ayant été avertis et sensibilisés régulièrement par les dirigeants de leur entreprise, sur les risques de cyberattaques, présentent un taux de succès de clic moindre, variant entre 1% et 4%. Certains collaborateurs dénoncent eux-mêmes les tentatives aux départements informatiques de leur entité.
Pour les acteurs non sensibilisés, les résultats ne sont pas très surprenants, avec un taux de clic largement supérieur.
Pour conclure, le test de clic permet aux entreprises de prendre conscience des véritables tactiques des hackers pour infecter leur système de sécurité, et ainsi leur permet d’anticiper.
