Qu'est-ce que l'ingénierie sociale ?

L'ingénierie sociale consiste à entrer en relation avec un individu dans le but de lui soutirer des informations confidentielles à des fins frauduleuses. Pour les cybercriminels, l’ingénierie sociale est une pratique de manipulation. Cette stratégie « sociale » et non technique est fréquemment utilisée par les cybercriminels pour mener des attaques ciblées et de grande envergure, afin de dérober des données, de l'argent, et bien plus encore.

Types d’attaques par ingénierie sociale

Les attaquants ont mis au point différentes méthodes pour obtenir vos données. Nous avons répertorié ci-dessous les cinq méthodes les plus fréquentes.

Le phishing (ou hameçonnage)

C'est la variante la plus courante de l'ingénierie sociale. Le phishing se produit lorsqu'un hacker communique frauduleusement avec une victime. Lorsque cela est bien exécuté, le message de communication semble tout à fait authentique afin d'attirer l'attention et pousser le destinataire à l'action. Par exemple, le message de communication encourage le destinataire à cliquer sur un lien dans un e-mail ou à télécharger une pièce jointe. Cela induit le destinataire en erreur car le lien ou la pièce jointe infecte directement l'appareil avec un logiciel malveillant. Par ailleurs, les logiciels malveillants peuvent également partager des informations personnelles, financières ou stratégiques avec le cybercriminel.

Le baiting (ou technique de l’appât)

Cette variante est proche du phishing. Ce qui la rend différente, c'est la promesse d'un objet ou d'un produit que les attaquants utilisent pour séduire leurs victimes. Par exemple, ils utilisent l'offre de téléchargement gratuit de musiques ou de films. Ils veulent ainsi séduire les utilisateurs pour qu'ils partagent leurs données de connexion. Une autre façon d'appâter un individu est de laisser un dispositif contenant des logiciels malveillants, comme une clé USB, dans un lieu où il y a de forte chance que celui-ci soit trouvé. Cette technique fait appel à notre sens inné de la curiosité ; quelqu'un connecte la clé USB à son ordinateur pour voir ce qu'elle contient et/ou essayer de retrouver son propriétaire. L'ordinateur est alors infecté par un logiciel malveillant, peut-être même sans que l'utilisateur ne s'en aperçoive.

Pretexting (ou prétexte)

Cette attaque utilise un prétexte pour attirer l’attention et inciter la victime à fournir l’accès à des données sensibles ou des systèmes protégés. L'attaquant se fait généralement passer pour une personne d'autorité proposant son aide afin d'obtenir des données sensibles. Par exemple, se faire passer pour un employé d'une banque afin d'obtenir les coordonnées bancaires de la victime.

Spear Phishing (ou harponnage)

Le spear phishing est une forme très ciblée d'attaque par hameçonnage. Le spear phishing se concentre sur une personne ou une organisation spécifique. Les attaques par spear phishing sont efficaces parce que l'expéditeur d'un e-mail ou d'un message privé sur les réseaux sociaux, par exemple, correspond à une personne connue, un collègue ou l'employeur. La confiance du destinataire est ainsi gagnée et l'expéditeur apparaît comme légitime. Les employés se font souvent avoir par des attaques de spear phishing lorsque la sécurité de messagerie électronique n’est pas à jour ou, par exemple, lorsque le directeur semble réellement être l’expéditeur de l’e-mail.

Le tailgating (ou talonnage)

Le tailgating est une technique d'ingénierie sociale physique qui se produit lorsque quelqu'un, sans authentification appropriée, suit un employé autorisé jusqu'à un lieu sécurisé. Par exemple, la personne peut se faire passer pour un livreur et accompagner un employé pour livrer un colis. L'objectif du tailgating est d'obtenir une propriété (intellectuelle) de valeur, des informations commerciales confidentielles ou l'accès à un lieu sûr. Cela ne fonctionne pas dans toutes les entreprises. Dans les grandes organisations, l’utilisation de cartes d'accès est souvent nécessaire pour franchir les portes. Dans les entreprises de taille moyenne, les attaquants ont la possibilité de s'entretenir avec des employés et utilisent cette familiarité pour passer le comptoir d'accueil.

Placeholder for Two engineers laughing behind screenTwo engineers laughing behind screen

Comment se protéger contre l'ingénierie sociale

Renseignez-vous

L'ignorance est la plus grande faiblesse et est extrêmement facile à exploiter, ce qui fait des personnes non-renseignées les principales cibles des attaquants. Savoir ce qu'il faut rechercher et connaître les meilleures techniques d'ingénierie sociale est le premier et meilleur niveau de défense.

Soyez conscient des informations que vous divulguez

Cela englobe les moyens de communication verbale et les réseaux sociaux. Des sites comme Instagram, Facebook et Twitter sont d'abondantes sources d'informations et de ressources exploitables, allant des photos aux centres d'intérêt. Une simple recherche sur Google Maps de l'adresse de votre domicile ou de votre lieu de travail permet d'avoir une vue d'ensemble du bâtiment et de ses environs. Une personne qui possède des informations vous concernant aura une plus grande aisance à entrer en contact avec vous et vous faire faire ce qu'il veut.

Déterminez quels sont vos actifs les plus intéressants pour les criminels

Assurez-vous de protéger les bonnes choses ! Mais méfiance, lorsque vous êtes en mesure de déterminer quels sont les actifs qui ont le plus de valeur pour un attaquant, veillez à ne pas vous concentrer uniquement là-dessus. Les cyber attaquants s'intéressent à tout ce qu'ils peuvent monnayer, y compris des éléments que l'on ne soupçonne pas à première vue.

Appliquez et suivez les politiques de sécurité (principalement en entreprise)

Après avoir identifié les actifs les plus tentants pour les criminels, et les prétextes qu'ils sont susceptibles d'utiliser pour les cibler, renseignez-vous sur les politiques de sécurité en place et suivez-les ! Dans une entreprise, tous les employés doivent jouer leur rôle. Chacun est une porte d'entrée potentielle dans l'entreprise et ses actifs. Il suffit qu'une porte soit entrouverte pour qu'un attaquant réussisse à pénétrer l'ensemble de l'écosystème.

Maintenez vos logiciels à jour

Les attaquants qui utilisent des pratiques d'ingénierie sociale cherchent souvent à déterminer si vous utilisez un logiciel non patché et/ou obsolète. Le fait de se tenir au courant des correctifs et de maintenir vos logiciels à jour peut atténuer une grande partie des risques.

Les chiffres ne mentent pas

L'ingénierie sociale en chiffres

icon + 90 %
+ 90 %
+ de 90 % des cyberattaques relèvent de l’ingénierie sociale
icon 56 %
56 %
56 % des responsables informatiques déclarent que les attaques de phishing ciblées constituent leur plus grande menace pour la sécurité
icon 66%
66%
66 % des logiciels malveillants sont installés via des pièces jointes d’e-mails malveillants
icon 2,4 million $
2,4 million $
Le coût moyen d'une attaque de logiciel malveillant pour une organisation est de 2,4 millions de dollars.
icon Nouveaux employés
Nouveaux employés
Les nouveaux employés sont les plus sensibles aux attaques d'ingénierie sociale, 60 % des professionnels de l'informatique disent qu'ils sont à haut risque.
icon 3 %
3 %
Seuls 3 % des utilisateurs ciblés signalent les e-mails malveillants à la direction
Contactez nos experts

Vous voulez en savoir plus sur ce sujet ?

Notre équipe est prête pour vous. Appelez-nous ou laissez un message. Nous serions heureux de connaître votre projet de sécurité, vos défis en matière d'infrastructure ou toute autre demande.

À la une

Plus de nouveautés