25 mai 20265 min de lecture

Les meilleurs livres d'ingénierie sociale en 2026

5 livres d'ingénierie sociale à lire en 2026, dans l'ordre — de Mitnick au pretexting moderne. Critiques honnêtes : ce qui tient, par où commencer.

#social-engineering#osint#red-team#reading-list

L'ingénierie sociale est la rare discipline offensive où la technologie vieillit vite et le noyau humain bouge à peine. Les meilleurs livres sur le sujet sont vieux selon les standards tech-book, et c'est justement le point — les schémas de prétexte que Mitnick a documentés en 2002 fonctionnent encore parce que les humains au bout du fil sont les mêmes.

Les choix en un coup d'œil

  1. The Art of Deception — la collection d'études de cas de Mitnick ; encore l'étalon-or pour les archétypes de prétexte. Commencez ici.
  2. Social Engineering — le cadre d'Hadnagy : la SE comme discipline, pas comme cascade.
  3. Practical Social Engineering — le manuel de travail de Joe Gray pour opérationnaliser la SE en red team et threat intel.
  4. The Art of Intrusion — la suite d'études de cas de Mitnick ; plus d'étendue, pivots physiques, tradecraft improvisé.
  5. Open Source Intelligence Techniques — le catalogue de recon de Michael Bazzell ; la moitié OSINT de chaque prétexte.

Les revues complètes, avec à qui chaque livre est destiné et qui devrait passer son tour, sont en dessous.

Les archétypes de prétexte

The Art of Deception de Kevin Mitnick et William Simon est la meilleure bibliothèque imprimée de prétextes d'ingénierie sociale qui existe. Arnaques PBX, usurpation helpdesk, fouille de poubelles, les mensonges décontractés qui sonnent vrais. Chaque chapitre est une transcription et un démontage.

La technologie date le livre — PBX, fax, dial-up — mais les scripts d'appel sont intemporels. Lisez-les pour internaliser comment un ingénieur social compétent établit sa crédibilité en trente secondes.

À sauter si vous voulez de la technique actuelle sur l'infrastructure de phishing, les deepfakes ou le clonage vocal. À lire chaque chapitre si vous voulez les schémas.

Le cadre

Social Engineering de Christopher Hadnagy est la seconde édition du livre qui a donné au champ son vocabulaire de travail. Prétexte, élicitation, tactiques d'influence, le cadre sous les études de cas — Hadnagy cartographie tout le cycle d'engagement et donne des noms à ce que Mitnick a démontré par l'exemple.

C'est le livre pour quiconque fait tourner un programme SE : équipes corporate awareness, leads red team, sociétés de pentest. Lisez Mitnick d'abord pour les schémas, puis Hadnagy pour le cadre.

Le manuel de travail

Practical Social Engineering de Joe Gray est ce que Mitnick et Hadnagy ne vous donnent pas : la version procédurale, prudente, consciente du légal. Recon piloté OSINT, construction de prétexte depuis de vrais targets, infrastructure de phishing, et les frontières entre travail professionnel et ce qui vous fait arrêter.

Le plus fort, c'est le pipeline recon-vers-prétexte. Gray montre comment les cinq mêmes faits tirés de LinkedIn façonnent ce que votre appel sonne. Si vous ne lisez qu'un livre SE moderne, c'est celui-là.

Léger sur le tradecraft deepfake / voice-clone — c'est là où le champ a bougé depuis 2022, et aucun livre n'a rattrapé. À compléter avec les write-ups red-team actuels.

La suite d'études de cas

The Art of Intrusion est la suite de Mitnick et Simon à Art of Deception. Histoires tierces de hackers en activité : exploits de machines à sous de casino, intrusions de réseaux de prison, opérations de renseignement post-11 septembre. Moins fondateur que Deception, plus divertissant, et sous-estimé comme source de schémas de prétexte pour l'awareness training.

Le chapitre casino seul vaut le prix. Survolez pour les schémas ; la technologie est accessoire.

La moitié recon

Open Source Intelligence Techniques de Michael Bazzell est le catalogue de techniques d'où part chaque prétexte moderne. Opérateurs de moteur de recherche, données de breach, agrégateurs de recherche de personnes, les workflows qui transforment un nom en téléphone, email, graphe de relations et entrée.

Il se met à jour fréquemment parce que les plateformes changent fréquemment. Achetez toujours la dernière édition ; un livre OSINT de trois ans est à moitié déprécié. À coupler avec OSINT Techniques de Bazzell pour le manuel procédural plus profond.

Et l'infrastructure de phishing moderne ?

Le tradecraft d'infrastructure de phishing (Evilginx, Gophish, ops domain-and-cert moderne, chaînes MFA-fatigue, kits AiTM, vishing augmenté par deepfake) vit dans les blogs red-team et les conf, pas encore dans un livre canonique unique. Les livres de cette liste donnent le cadre humain ; le tradecraft d'infrastructure actuel, vous le ramasserez chez TrustedSec, BHIS, SpecterOps et les write-ups BloodHound.

Le bon ordre

  1. The Art of Deception pour les archétypes de prétexte — chaque chapitre.
  2. Social Engineering (Hadnagy) pour le cadre qui nomme les mouvements.
  3. Practical Social Engineering (Gray) pour l'opérationnaliser comme discipline.
  4. The Art of Intrusion tout week-end où vous voulez plus d'études de cas.
  5. OSINT Techniques maintenu à jour ; remplacé à chaque édition tant que Bazzell le met à jour.

La seule meilleure chose à faire en parallèle de ces livres est de mener des drills de prétexte autorisés régulièrement. Callbacks helpdesk, usurpation de vendeur, reconnaissance de lobby — petite portée, supervisé, débriefé à chaque fois. Les livres vous disent ce qui marche ; les drills en font le réflexe de choisir le bon prétexte avant d'avoir consciemment décidé.

Questions fréquentes

Par où commencer l'ingénierie sociale en 2026 ?
Commencez par The Art of Deception de Kevin Mitnick. C'est la meilleure bibliothèque imprimée d'archétypes de prétextes — et le côté humain n'a pas vieilli comme la technologie. Lisez-le pour les scripts d'appel et les schémas de prétexte, puis ajoutez Social Engineering de Hadnagy pour le cadre qui nomme ce que Mitnick démontre par l'exemple.
Les livres de Mitnick sont-ils trop anciens pour être utiles ?
La technologie est datée — PBX, fax, modems — mais le cœur humain est intemporel. La plupart des prétextes qui réussissent en 2026 suivent encore les mêmes archétypes que Mitnick documentait en 2002, parce que les humains qui répondent au téléphone, traitent le ticket de helpdesk ou tiennent la porte du hall sont les mêmes. Traitez l'enveloppe technique comme une pièce de musée ; seul le noyau humain se généralise.
Et le phishing moderne, la fatigue MFA et l'AiTM ?
Pas encore dans un livre canonique unique. Le tradecraft moderne d'infrastructure de phishing (Evilginx, Gophish, opérations modernes de domaines et certificats, chaînes de fatigue MFA, kits AiTM, vishing augmenté par deepfake) vit dans les blogs red team et les conférences. Les livres de cette liste vous donnent le cadre humain ; le tradecraft d'infrastructure actuel, vous le glanerez chez TrustedSec, BHIS et SpecterOps.
Pourquoi inclure un livre OSINT dans une liste d'ingénierie sociale ?
Parce que la reconnaissance est l'engagement. Un prétexte qui ne survit pas au contact avec la réalité de la cible est un échec de reconnaissance, pas de livraison. Open Source Intelligence Techniques de Bazzell est le catalogue dont part tout prétexte compétent — noms, emails, données de fuites, graphes de relations, et les workflows qui transforment un profil LinkedIn en un appel qui fonctionne.