Les cyberattaques par ingénierie sociale représentent une menace majeure pour les entreprises. Selon une étude récente, 71% des professionnels de l’informatique déclarent connaître des collaborateurs ayant été victimes de ce type attaque. Les cybercriminels sont de plus en plus habiles et savent pratiquer l’art de l’illusion pour nous piéger.
Qu’appelle-t-on « les attaques par l’ingénierie sociale » ? Pourquoi y sommes-nous plus sensibles ? Comment ne plus tomber dans le piège ? Dans cet article, nous répondrons à toutes ces questions et fournirons des conseils concrets pour renforcer votre sécurité face à cette menace.
Qu’est-ce que l’ingénierie sociale ?
Les cyberattaques par ingénierie sociale sont définies comme des « attaques psychologiques ». Les cybercriminels utilisent diverses techniques de manipulation afin de persuader un individu de leur livrer de précieux renseignements ou d’agir dans leur intérêt. Les informations obtenues peuvent être vendues sur le Dark Web ou leur permettent de lancer de nouvelles attaques, plus destructives.
Cette forme de cyberattaque exploite les faiblesses humaines et plus particulièrement les faiblesses des fonctions cognitives. Les pirates informatiques jouent sur différents facteurs (les émotions, la curiosité, l’urgence…) afin de déclencher des réponses automatiques et inconscientes de la part des victimes.
Pourquoi est-elle autant utilisée par les cybercriminels ?
Aujourd’hui, plus de 90 % des cyberattaques reposent sur l’ingénierie sociale. Pour une simple et bonne raison : il est plus facile de pénétrer un système ou un réseau de cette manière. En effet, les technologies de sécurité actuelles sont très performantes et sont plus difficilement « piratables ». Elles demandent plus d’efforts et de ressources aux cybercriminels.
Avec l’ingénierie sociale, ils contournent les sécurités mises en place en utilisant un individu comme passerelle, comme catalyseur. Grâce aux informations délivrées par leur victime, ils pourront plus facilement s’introduire sur un système ou un réseau. Plus besoin de techniques de piratage avancées !
Pourquoi ces attaques font-elles autant de victimes ?
Les attaques par ingénierie sociale doivent leur succès aux faiblesses des fonctions cognitives humaines. Les cybercriminels exploitent différents facteurs telles que le stress ou la surprise, qui rendent les individus plus vulnérables et plus influençables. Les messages ou les appels reçus par les victimes sont généralement inattendus. Ils peuvent contenir une demande urgente (souvent lié à la sécurité ou au financier) ou un gain séduisant.
D’après Bruno Teboul, spécialiste des sciences cognitives et docteur à l’université Paris Dauphine, le stress et la charge cognitive réduiraient considérablement la capacité d’un individu à détecter les indices malveillants. Tous deux altèrent la prise de décision rationnelle et réduisent fortement la vigilance. De plus, ils augmentent le recours au traitement automatique de l’information, ce qui amène à des comportements dangereux pour la cybersécurité d’une entreprise.
Les attaques par ingénierie sociale s’avèrent davantage fructueuses lorsqu’un individu manque de connaissances sur la cybersécurité et les bonnes pratiques informatiques. Une personne sensibilisée sur le sujet prendra une décision sur la base du raisonnement. Dans le cas contraire, la décision sera prise sur la base des émotions.
Quelles cyberattaques utilisent des techniques d’ingénierie sociale ?
De nombreuses cyberattaques utilisent des techniques de manipulation pour arriver à leur fin. Nous vous avons sélectionné les 5 cyberattaques par ingénierie sociale les plus courantes :
Le phishing :
C’est l’une des attaques les plus courantes. Le pirate informatique envoie un e-mail comportant un lien de redirection vers un site malveillant ou une pièce jointe piégée. Le but étant d’amener la victime à entrer des données sensibles sur le site en question ou à lancer un programme malveillant (malware) en cliquant sur la pièce jointe. Le plus souvent, le cybercriminel usurpe l’identité d’une marque ou d’une organisation connue. Les messages des e-mails phishing sont généralement conçue pour provoquer un sentiment d’urgence.
Par exemple : « L’accès à votre compte bancaire a été temporairement bloqué pour des raisons de sécurité. Pour la réactivité, merci de rentrer au plus vite votre identifiant et votre mot de passe pour le réactiver ».
Lire aussi : Le phishing, comment s’en protéger ?
Le spear phishing :
Il s’agit d’une variante du phishing. L’objectif est le même, persuader une personne à divulguer des informations confidentielles ou personnelles ou à effectuer une action qui compromettra le réseau de l’entreprise. Le Spear phishing est une attaque ciblée. Elle suppose d’avoir mené au préalable une enquête sur l’entreprise et les personnes visées. Le message contenu est hautement personnalisé afin de tromper davantage le destinataire. Le cybercriminel porte également une attention toute particulière à falsifier le nom et l’adresse de l’expéditeur afin de rendre encore plus crédible son e-mail. Il peut se faire passer pour une personne de votre entourage, un collègue ou même votre conseiller bancaire.
Par exemple : le cybercriminel peut usurper l’identité d’un collaborateur et demander que l’on envoie un dossier contenant des informations confidentielles sur une nouvelle adresse e-mail. Ce dossier tombera malheureusement entre de mauvaises mains.
Le smishing :
Cette attaque est basée sur la même technique que le phishing, à la différence que la victime reçoit un SMS et non un e-mail. Comme pour le phishing, le SMS contient un message incitant le destinataire à envoyer des informations sensibles ou à cliquer sur un lien de redirection. Généralement, les attaques smishing sont émis depuis des numéros de téléphones mobiles commençant par 06 ou 07.
Par exemple : « Assurance maladie : votre nouvelle carte vitale est disponible. Remplissez ce formulaire en cliquant sur le lien suivant afin de rester couvert… ».
L’arnaque au président :
Il s’agit d’une fraude très répandue, qui s’appuie également sur l’usurpation d’identité. Une personne malveillante contacte un salarié d’une entreprise en se faisant passer pour le Président ou le Directeur Général de celle-ci. L’escroc lui demande d’effectuer un virement non planifié, au caractère urgent et confidentiel, sur un compte bancaire souvent situé à l’étranger. Cette escroquerie est habituellement réalisée par téléphone ou par e-mail. Ils existent d’autres variantes où le fraudeur usurpe cette fois-ci l’identité d’une administration ou d’un fournisseur.
L’appâtage (ou le baiting) :
L’appâtage piège les individus en exploitant leur curiosité et leur avidité. Elle se distingue des autres cyberattaques par le contenu de son message. Le cybercriminel séduit ses victimes en leur faisant la promesse d’un cadeau ou la possibilité d’obtenir une récompense. L’objectif est de les inciter à ouvrir une pièce jointe piégée, télécharger un logiciel malveillant ou encore à fournir des informations sensibles. L’appâtage peut vous atteindre par différents moyens : par le biais d’un e-mail, d’un message sur vos réseaux sociaux ou d’une publicité sur un site internet.
Par exemple : « Téléchargez gratuitement vos musiques et films préférés en cliquant sur ce lien ».
Comment ne plus tomber dans leurs pièges ?
Comme vous l’avez compris, les cybercriminels font preuve d’une grande créativité pour vous piéger. Ils disposent de nombreuses ruses pour que leurs attaques passent inaperçues. Mais rassurez-vous, il est possible de déceler certains signes avant-coureurs.
Dans un premier temps, ayez toujours la « culture du doute ». Lorsque que quelque chose vous paraît inhabituel ou surprenant, prenez le temps de vous interroger avant d’agir. Ne succomber pas au stress ou à l’appât du gain.
Puis procéder à plusieurs vérifications :
- Pour un e-mail : porter votre attention sur l’adresse mail de l’expéditeur. Vérifiez que le nom de domaine et l’extension (.com,.fr,.gouv…etc.) correspondent bien à l’entreprise ou à l’organisation qui vous contacte. Vous pouvez également analyser les liens de redirection contenus dans l’e-mail. Sélectionnez-le et copier-le sur un site vérification de lien. Attention à ne pas l’ouvrir !
- Pour un appel ou un SMS : Vérifiez que le numéro utilisé correspond bien à l’entreprise ou à la personne qui vous contacte en allant directement sur le site web ou sur les pages jaunes. Méfiez-vous des SMS commençant par 06 ou 07 se faisant passer pour une entreprise ou un service public.
- Pour un site internet : regardez dans un premier temps l’URL du site. Assurez-vous qu’il corresponde bien à URL du site officiel et qu’il contient bien l’indicateur https. Ensuite, consultez les mentions légales du site, elles pourront vous en apprendre plus sur la fiabilité du site. Vous pouvez également vérifier sa fiabilité grâce à des sites comme Trustpilote ou FranceVerif. N’hésitez pas à consulter l’avis des internautes.
La demande faite par votre interlocuteur peut également vous aiguiller. À partir du moment où on vous demande des informations personnelles ou confidentielles ou de donner vos coordonnées bancaires, il y a de grandes chances que ce soit une escroquerie. Une banque, par exemple, ne vous demandera jamais de lui communiquer de telles informations par téléphone.
Le caractère d’urgence de la demande doit également vous alerter. Prenez le temps de vérifier la demande auprès de l’entreprise ou la personne concernée en la contactant directement sur leur numéro ou site officiel. Ne répondez pas directement à l’e-mail ou au numéro affiché.
Comment protéger votre entreprise des attaques par ingénierie sociale ?
Différentes actions peuvent être menées en interne pour protéger votre entreprise des attaques par ingénierie sociale.
Sensibilisation et formation :
Tout d’abord, il est fondamental de sensibiliser et de former vos collaborateurs sur le sujet. Il est important de comprendre en quoi consiste ces attaques et quels risques représentent-ils pour l’entreprise. Ils doivent être informés continuellement des techniques utilisées par les cybercriminels pour les tromper. N’hésitez pas à utiliser des exemples précis et concrets pour montrer la dangerosité de ces attaques.
Vos programmes de formation doivent également leur délivrer les bonnes pratiques informatiques à adopter au quotidien. Une sensibilisation efficace permettra d’accroître leur vigilance face à cette menace et d’éliminer les réflexes de confiance automatique.
Simulations phishing :
Entrainez-les à faire face aux attaques par ingénierie sociale à travers des simulations phishing et de spear phishing régulières. Elles permettront de mettre en condition réelle vos collaborateurs, qui pourront ainsi mettre en application les bonnes pratiques qu’ils auront apprises. Vos simulations doivent bien évidemment reprendre les codes utilisés par les cybercriminels pour être le plus réaliste possible.
Ces simulations permettront également d’évaluer le degré de vulnérabilité de vos collaborateurs face à ces attaques et de mesurer l’impact de vos formations. Vous pourrez observer le comportement de vos équipes en temps réel et constater les éventuels besoins supplémentaires en formation.
Surveillance du Dark Web :
Disposez d’une surveillance continue du Dark Web afin d’identifier les données exposées de vos collaborateurs. Identifiants, adresses e-mail, mots de passe… Chaque année, des millions données sensibles sont dérobées et vendues sur le Dark Web. Ces données sont souvent réutilisées pour effectuer de nouvelles séries de cyberattaques ciblées, plus destructrices.
Certains prestataires, comme BA INFO, effectuent pour vous des recherches approfondies afin de détecter les données comprises. Vous êtes alerté lors de nouvelles expositions de vos données et vous pouvez alors agir en conséquence.
Découvrez tous nos articles sur notre Blog
Retrouvez tous nos conseils et astuces pour optimiser votre infrastructure informatique et simplifier votre quotidien !