Red Team

    Test d'intrusion physique et social engineering : méthode et portée

    28 juin 2026 · 11 min de lecture

    Les tests d'intrusion classiques se concentrent sur les réseaux et applications. Mais la sécurité d'une organisation dépend aussi de ses défenses physiques et de la vigilance de ses collaborateurs. Le test d'intrusion physique (physical pentest) et le social engineering évaluent ces dimensions souvent négligées — avec des résultats surprenants.

    Pourquoi tester la sécurité physique et humaine ?

    Un attaquant sophistiqué ne cherche pas toujours le chemin le plus compliqué. Si le réseau est bien protégé mais qu'un employé peut être convaincu par téléphone de divulguer ses identifiants, ou que n'importe qui peut entrer dans les locaux en suivant un employé, les investissements en cybersécurité technique perdent de leur valeur.

    Tailgating omniprésent

    Dans 80% des tests physiques, un auditeur non autorisé réussit à entrer dans les locaux lors de la première tentative

    Vishing efficace

    60% des employés contactés par téléphone par un faux support IT divulguent leur mot de passe

    Clés USB trouvées

    Dans les tests USB drop, 45% des employés branchent une clé USB trouvée dans les locaux

    Documents non déchiquetés

    Les poubelles d'entreprise contiennent souvent des documents confidentiels non détruits

    Techniques de test d'intrusion physique

    Tailgating (filature)

    Le tailgating consiste à suivre un employé autorisé pour franchir un accès contrôlé (tourniquet, porte magnétique, sas de sécurité) sans badger. L'auditeur joue un rôle plausible (livreur, prestataire, nouvel employé) et exploite la politesse naturelle des personnes qui tiennent la porte. C'est la technique la plus fiable pour contourner les contrôles d'accès physiques.

    Badge cloning (clonage de badge)

    Les badges RFID basse fréquence (125 kHz, protocoles HID Prox, EM4100) peuvent être clonés à distance avec un lecteur portable (Proxmark3) approché à moins de 10 cm. Les badges haute fréquence (13,56 MHz, Mifare Classic, DESFire) sont plus résistants mais Mifare Classic est vulnérable au cracking. L'auditeur peut capturer l'UID d'un badge dans un ascenseur ou une file d'attente, puis cloner ce badge.

    Lockpicking et bypass physique

    Les portes à serrures mécaniques conventionnelles peuvent être ouvertes par crochetage (lockpicking) en quelques secondes par un auditeur formé. Les portes électromagnétiques avec fail-open peuvent souvent être ouvertes en coupant l'alimentation. Les faux plafonds permettent parfois de contourner des cloisons en béton. Ces techniques sont documentées et utilisées par les auditeurs avec le cadre légal approprié.

    USB Drop (dépôt de clé USB piégée)

    Des clés USB sont déposées dans les zones accessibles (parking, hall d'entrée, cafétéria). Une clé USB piégée (BadUSB) peut exécuter automatiquement du code lors de la connexion — même sans que l'employé n'ouvre de fichier. Le test mesure le taux de connexion des clés trouvées.

    Techniques de social engineering

    Vishing (Voice Phishing)

    Le vishing est un appel téléphonique frauduleux. L'auditeur se fait passer pour le support IT, un prestataire, un dirigeant ou un auditeur externe pour obtenir des informations sensibles ou des accès. Les prétextes courants : "Je prépare votre migration M365 et j'ai besoin de vos identifiants", "Votre compte a été compromis, je dois vérifier votre identité", "Je suis votre nouveau DSI, donnez-moi accès au serveur."

    Pretexting (mise en scène)

    Le pretexting est la création d'un scénario plausible pour obtenir des informations. L'auditeur peut se présenter physiquement comme un technicien de maintenance, un auditeur externe mandaté par la direction, ou un inspecteur. Il exploite l'autorité perçue et l'urgence pour contourner les procédures.

    Phishing ciblé (Spear Phishing)

    Contrairement au phishing de masse, le spear phishing est personnalisé. L'auditeur utilise les informations publiques (LinkedIn, site web, réseaux sociaux) pour créer des emails parfaitement crédibles ciblant des individus spécifiques. Les cibles privilégiées : PDG, DAF, responsables RH, responsables IT.

    OSINT (Open Source Intelligence)

    Avant tout test de social engineering, l'auditeur réalise une phase OSINT intensive : LinkedIn (organigramme, noms et fonctions), site web (numéros directs, adresses emails), moteur de recherche (documents exposés, emails d'entreprise), réseaux sociaux (habitudes, déplacements). Ces informations alimentent des scénarios d'attaque très ciblés.

    Cadre légal et modalités

    Le test d'intrusion physique et le social engineering nécessitent une autorisation écrite explicite et précise de la direction :

    Éléments obligatoires dans l'autorisation

    • • Périmètre géographique précis (sites autorisés)
    • • Techniques autorisées et exclues (ex : lockpicking oui, dégradation non)
    • • Équipes informées vs. non informées (test en aveugle ou non)
    • • Numéro d'urgence de contact en cas d'interpellation par la sécurité
    • • Procédure d'arrêt immédiat si un incident réel survient
    • • Clause de confidentialité renforcée sur les résultats

    L'auditeur doit toujours avoir sur lui l'autorisation signée (lettre de mission) et le numéro d'un contact client pouvant confirmer la mission en cas d'interpellation. En cas d'incident grave (blessure, arrestation), la mission s'arrête immédiatement.

    Livrables et bénéfices attendus

    Un test d'intrusion physique et social engineering réalisé par CyberSecure produit :

    • Rapport détaillé des scénarios testés, résultats obtenus et preuves (photos, captures)
    • Cartographie des vulnérabilités physiques (accès, badges, serveurs exposés)
    • Analyse des vecteurs humains exploités avec recommandations de formation
    • Plan de remédiation : contrôles d'accès, formation mandrip, procédures de vérification
    • Formation de sensibilisation pour les équipes concernées
    • Retest de vérification 3 mois après la mise en œuvre des corrections

    Le test physique/social engineering est souvent l'exercice de sécurité le plus percutant auprès des dirigeants — voir concrètement qu'un auditeur a pu entrer dans les locaux ou obtenir un mot de passe par téléphone crée une prise de conscience immédiate qui accélère les investissements en sécurité.

    Abonnez-vous à notre newsletter cybersécurité

    Recevez nos actualités, guides pratiques, alertes de sécurité et invitations aux événements directement dans votre boîte mail.

    Consultez notre politique de confidentialité pour plus d'informations.