480 targets · 12% credential submit · security-awareness gap
Qu'est-ce que Ingénierie sociale ?
Le test d'ingénierie sociale et de phishing est une évaluation contrôlée et consentie dans laquelle des opérateurs éthiques usurpent l'identité de parties de confiance pour mesurer comment vos personnes, vos processus et vos défenses de messagerie réagissent à la tromperie - via des e-mails de phishing, des appels vocaux (vishing), des SMS (smishing) et des scénarios en personne ou par prétexte. CyberXplore conçoit des campagnes élaborées manuellement par des experts, qui reproduisent les techniques actuelles des attaquants - leurres de collecte d'identifiants, pièces jointes malveillantes et diffusion de charges utiles inoffensives - afin de quantifier en toute sécurité les taux de clic, la soumission d'identifiants et le comportement de signalement. Chaque engagement transforme le risque humain mesuré en recommandations priorisées de sensibilisation, de processus et de contrôles techniques, plutôt qu'en reproches.
MITRE ATT&CKOWASPNIST SP 800-115PTES
Pourquoi CyberXplore
Des testeurs exclusivement seniors (OSCP, CRTP, CREST)
Certifié ISO 27001 & ISO 9001
Retest gratuit + lettre d'attestation
Périmètre et devis sur mesure sous 24 heures
Pourquoi c'est important
Le facteur humain intervient dans la grande majorité des compromissions - un seul e-mail de phishing convaincant peut livrer aux attaquants des identifiants valides et contourner des millions investis dans les contrôles périmétriques.
Les simulations de phishing génériques et prêtes à l'emploi reflètent rarement les techniques d'attaquants ciblés ; mesurer la vulnérabilité face à des leurres réalistes et élaborés manuellement est le seul moyen de connaître votre exposition réelle.
La sensibilisation sans mesure relève de la conjecture - des campagnes de référence et répétées prouvent si les comportements, les taux de signalement et le délai de signalement s'améliorent réellement.
Les passerelles de messagerie, le MFA et l'EDR peuvent tous être déjoués par un prétexte bien construit ; tester la couche humaine valide que vos contrôles techniques et votre réponse aux incidents fonctionnent de concert sous une pression réelle.
Aligné sur les normes du secteur: MITRE ATT&CK · OWASP · NIST SP 800-115 · PTES
Notre méthodologie
01
Cadrage et autorisation
Nous convenons des objectifs, des groupes cibles, des canaux (e-mail, voix, SMS, physique), des zones interdites et d'un document clair de règles d'engagement et d'autorisation - protégeant à la fois votre personnel et nos opérateurs.
02
OSINT et élaboration des prétextes
À l'aide du renseignement en source ouverte sur votre marque, vos fournisseurs et vos collaborateurs, nous construisons des prétextes crédibles et des scénarios thématiques - de la réinitialisation de mot de passe informatique aux leurres de factures et RH - adaptés à votre secteur.
03
Construction de la campagne et infrastructure
Nous enregistrons des domaines ressemblants, configurons des pages de destination suivies et des simulations de collecte d'identifiants, et préparons des charges utiles ou pièces jointes inoffensives et instrumentées qui enregistrent l'interaction sans causer de dommage.
04
Diffusion contrôlée
Nous lançons des campagnes de phishing, de vishing ou de smishing par vagues mesurées, en surveillant la distribution, les clics, la soumission d'identifiants et toute donnée capturée - tout en respectant les conditions d'arrêt et les règles de manipulation sécurisée.
05
Mesure et analyse
Nous analysons l'entonnoir - distribué, ouvert, cliqué, soumis, signalé - segmentons les résultats par service et par rôle, et identifions les lacunes de sensibilisation, de processus et de défenses de messagerie derrière chaque résultat.
06
Rapport et renforcement de la sensibilisation
Vous recevez des métriques sans reproche, des tendances par rapport à une éventuelle référence et des recommandations concrètes pour la formation, les flux de signalement et les contrôles techniques, ainsi qu'un débriefing optionnel pour les équipes de sécurité et de direction.
Ce que nous testons
Campagnes de phishing par e-mail (de masse, ciblées et prétextes de spear-phishing)
Simulation de collecte d'identifiants via des pages de destination ressemblantes et suivies
Vishing (pretexting par téléphone et usurpation de l'assistance)
Smishing (leurres par SMS et scénarios d'interception de codes à usage unique)
Scénarios de pretexting et de type compromission de messagerie professionnelle (BEC)
Diffusion de charges utiles et de pièces jointes inoffensives (instrumentation par macro/lien/QR code)
Scénarios de fatigue MFA et de phishing par relais en temps réel (lorsque cela est autorisé)
Vérification de l'efficacité de la passerelle de messagerie, du filtrage et du bouton de signalement
Scénarios de prétexte physique ou sur site et de tailgating (optionnel)
Segmentation de la vulnérabilité par service et par rôle
Ce que vous obtenez
Synthèse pour la direction avec une note globale de risque humain et les métriques clés
Métriques de l'entonnoir de campagne : taux de distribution, d'ouverture, de clic, de soumission d'identifiants et de signalement
Ventilation par service et par rôle avec tendances par rapport à une éventuelle référence
Analyse des prétextes ayant réussi et des lacunes techniques et de processus qui les sous-tendent
Recommandations priorisées pour la formation de sensibilisation, les flux de signalement et les contrôles de messagerie
Constats anonymisés et sans reproche, adaptés à la communication interne et au reporting au conseil d'administration
Séance de débriefing optionnelle et lettre d'attestation pour les auditeurs et les clients
Exemple de livrable
Ce que vous verrez dans votre rapport
Chaque mission se conclut par un rapport clair et priorisé : des constats classés par sévérité avec scores CVSS, actifs concernés et statut de remédiation - plus un retest gratuit. Les chiffres ci-dessous sont donnés à titre d'illustration.
Constats par sévérité
12 total
Critical
2
High
6
Medium
3
Low
1
Critical · CVSS 9.6CX-1220
Full domain compromise (Domain Admin obtained)
MITRE T1003CORP domainOpen
Critical · CVSS 9.0CX-1214
EDR bypass - payload executed, no alert raised
MITRE T1562ws-022.corp.localOpen
Exemple illustratif : red team assessment - anonymisé sur example.com.
High · CVSS 8.0CX-1202
Spear-phishing → initial access (38% click rate)
MITRE T156624 of 63 employeesOpen
Vous souhaitez le rapport d'exemple anonymisé complet ? Nous l'incluons avec votre devis.
“As an early-stage team we needed real depth, not a checkbox scan. They hardened our LLM product and walked us through every fix.”
Hardened in 30 days
FC
Founder & CTO
Early-stage AI startup · Seed · LLM product
AI / ML
Certifications détenues par nos testeurs
OSCP
CRTP
CREST
CEH
eWPTX
ISO 27001
ISO 9001
Questions fréquentes
Oui. Chaque campagne est entièrement autorisée, cadrée et encadrée par des règles d'engagement. Nous utilisons des charges utiles inoffensives et instrumentées, n'exposons jamais de données réelles et communiquons les résultats de manière anonymisée et sans reproche, axée sur l'amélioration des défenses plutôt que sur la sanction des individus.