Cyber Shelf
Florian Amette
25 mai 20265 min de lecture

Les meilleurs livres d'ingénierie sociale en 2026

The Art of Deception, Social Engineering 2e, Practical Social Engineering, The Art of Intrusion, Open Source Intelligence Techniques : cinq livres d'ingénierie sociale qui valent votre temps en 2026, dans le bon ordre.

#social-engineering#osint#red-team#reading-list

L'ingénierie sociale est la rare discipline offensive où la technologie vieillit vite et le noyau humain bouge à peine. Les meilleurs livres sur le sujet sont vieux selon les standards tech-book, et c'est justement le point — les schémas de prétexte que Mitnick a documentés en 2002 fonctionnent encore parce que les humains au bout du fil sont les mêmes.

Les choix en un coup d'œil

  1. The Art of Deception — la collection d'études de cas de Mitnick ; encore l'étalon-or pour les archétypes de prétexte. Commencez ici.
  2. Social Engineering — le cadre d'Hadnagy : la SE comme discipline, pas comme cascade.
  3. Practical Social Engineering — le manuel de travail de Joe Gray pour opérationnaliser la SE en red team et threat intel.
  4. The Art of Intrusion — la suite d'études de cas de Mitnick ; plus d'étendue, pivots physiques, tradecraft improvisé.
  5. Open Source Intelligence Techniques — le catalogue de recon de Michael Bazzell ; la moitié OSINT de chaque prétexte.

Les revues complètes, avec à qui chaque livre est destiné et qui devrait passer son tour, sont en dessous.

Les archétypes de prétexte

The Art of Deception de Kevin Mitnick et William Simon est la meilleure bibliothèque imprimée de prétextes d'ingénierie sociale qui existe. Arnaques PBX, usurpation helpdesk, fouille de poubelles, les mensonges décontractés qui sonnent vrais. Chaque chapitre est une transcription et un démontage.

La technologie date le livre — PBX, fax, dial-up — mais les scripts d'appel sont intemporels. Lisez-les pour internaliser comment un ingénieur social compétent établit sa crédibilité en trente secondes.

À sauter si vous voulez de la technique actuelle sur l'infrastructure de phishing, les deepfakes ou le clonage vocal. À lire chaque chapitre si vous voulez les schémas.

Le cadre

Social Engineering de Christopher Hadnagy est la seconde édition du livre qui a donné au champ son vocabulaire de travail. Prétexte, élicitation, tactiques d'influence, le cadre sous les études de cas — Hadnagy cartographie tout le cycle d'engagement et donne des noms à ce que Mitnick a démontré par l'exemple.

C'est le livre pour quiconque fait tourner un programme SE : équipes corporate awareness, leads red team, sociétés de pentest. Lisez Mitnick d'abord pour les schémas, puis Hadnagy pour le cadre.

Le manuel de travail

Practical Social Engineering de Joe Gray est ce que Mitnick et Hadnagy ne vous donnent pas : la version procédurale, prudente, consciente du légal. Recon piloté OSINT, construction de prétexte depuis de vrais targets, infrastructure de phishing, et les frontières entre travail professionnel et ce qui vous fait arrêter.

Le plus fort, c'est le pipeline recon-vers-prétexte. Gray montre comment les cinq mêmes faits tirés de LinkedIn façonnent ce que votre appel sonne. Si vous ne lisez qu'un livre SE moderne, c'est celui-là.

Léger sur le tradecraft deepfake / voice-clone — c'est là où le champ a bougé depuis 2022, et aucun livre n'a rattrapé. À compléter avec les write-ups red-team actuels.

La suite d'études de cas

The Art of Intrusion est la suite de Mitnick et Simon à Art of Deception. Histoires tierces de hackers en activité : exploits de machines à sous de casino, intrusions de réseaux de prison, opérations de renseignement post-11 septembre. Moins fondateur que Deception, plus divertissant, et sous-estimé comme source de schémas de prétexte pour l'awareness training.

Le chapitre casino seul vaut le prix. Survolez pour les schémas ; la technologie est accessoire.

La moitié recon

Open Source Intelligence Techniques de Michael Bazzell est le catalogue de techniques d'où part chaque prétexte moderne. Opérateurs de moteur de recherche, données de breach, agrégateurs de recherche de personnes, les workflows qui transforment un nom en téléphone, email, graphe de relations et entrée.

Il se met à jour fréquemment parce que les plateformes changent fréquemment. Achetez toujours la dernière édition ; un livre OSINT de trois ans est à moitié déprécié. À coupler avec OSINT Techniques de Bazzell pour le manuel procédural plus profond.

Et l'infrastructure de phishing moderne ?

Le tradecraft d'infrastructure de phishing (Evilginx, Gophish, ops domain-and-cert moderne, chaînes MFA-fatigue, kits AiTM, vishing augmenté par deepfake) vit dans les blogs red-team et les conf, pas encore dans un livre canonique unique. Les livres de cette liste donnent le cadre humain ; le tradecraft d'infrastructure actuel, vous le ramasserez chez TrustedSec, BHIS, SpecterOps et les write-ups BloodHound.

Le bon ordre

  1. The Art of Deception pour les archétypes de prétexte — chaque chapitre.
  2. Social Engineering (Hadnagy) pour le cadre qui nomme les mouvements.
  3. Practical Social Engineering (Gray) pour l'opérationnaliser comme discipline.
  4. The Art of Intrusion tout week-end où vous voulez plus d'études de cas.
  5. OSINT Techniques maintenu à jour ; remplacé à chaque édition tant que Bazzell le met à jour.

La seule meilleure chose à faire en parallèle de ces livres est de mener des drills de prétexte autorisés régulièrement. Callbacks helpdesk, usurpation de vendeur, reconnaissance de lobby — petite portée, supervisé, débriefé à chaque fois. Les livres vous disent ce qui marche ; les drills en font le réflexe de choisir le bon prétexte avant d'avoir consciemment décidé.

Questions fréquentes

Where should I start with social engineering in 2026?
Start with The Art of Deception by Kevin Mitnick. It is the best printed library of pretext archetypes in existence — and the human side has not aged the way the technology has. Read it for the call scripts and the pretext patterns, then layer Hadnagy's Social Engineering on top for the framework that names what Mitnick demonstrates by example.
Are Mitnick's books too old to be useful?
The technology is dated — PBXes, fax machines, dial-up — but the human core is timeless. Most successful pretexts in 2026 still follow the same archetypes Mitnick documented in 2002 because the humans answering the phone, processing the helpdesk ticket, or holding the lobby door are the same. Treat the technical envelope as a museum piece; only the human core generalises.
What about modern phishing infrastructure, MFA fatigue, and AiTM?
Not yet in any single canonical book. Modern phishing-infrastructure tradecraft (Evilginx, Gophish, modern domain-and-cert operations, MFA fatigue chains, AiTM kits, deepfake-augmented vishing) lives in red-team blogs and conference talks. The books on this list give you the human framework; current infrastructure tradecraft you will pick up from TrustedSec, BHIS, and SpecterOps write-ups.
Why include an OSINT book in a social-engineering reading list?
Because recon is the engagement. A pretext that does not survive contact with the target's reality is a recon failure, not a delivery failure. Bazzell's Open Source Intelligence Techniques is the catalogue every competent pretext starts from — names, emails, breach data, relationship graphs, and the workflows that turn a LinkedIn profile into a phone call that works.