Les gens peuvent être manipulés. Certains plus facilement que d'autres. Pour les cybercriminels, l’ingénierie sociale est une pratique de manipulation. Ils veulent soutirer des informations confidentielles aux employés afin d'avoir accès aux systèmes pour voler des données, de l'argent et bien plus encore. Cette stratégie « sociale » et non technique est fréquemment utilisée par les cybercriminels pour mener des attaques ciblées et de grande envergure.
Types d’attaques par ingénierie sociale
Les attaquants ont mis au point différentes méthodes pour obtenir vos données. Nous avons répertorié les six plus importantes.
Le phishing (ou hameçonnage)
C'est la variante la plus courante de l'ingénierie sociale. Le phishing se produit lorsqu'un hacker communique frauduleusement avec une victime. Le message de communication semble tout à fait authentique. Par exemple, le message de communication encourage le destinataire à cliquer sur un lien dans un e-mail ou à télécharger une pièce jointe dans un e-mail. Cela induit le destinataire en erreur car le lien ou la pièce jointe infecte directement l'appareil avec un logiciel malveillant. Par ailleurs, les logiciels malveillants peuvent également partager des informations personnelles, financières ou commerciales avec le cybercriminel.
Le baiting (ou technique de l’appât)
Cette variante est similaire au phishing. Mais ce qui la rend différente, c'est la promesse d'un objet ou d'un produit que les attaquants utilisent pour séduire leurs victimes. Par exemple, ils utilisent l'offre de téléchargement gratuit de musique ou de films. Ils veulent ainsi séduire les utilisateurs pour qu'ils partagent leurs données de connexion. Une autre façon d'appâter est de laisser un dispositif contenant des logiciels malveillants, comme une clé USB, dans un endroit où quelqu'un a le plus de chances de le trouver. Cette technique fait appel à notre sens inné de la curiosité ; quelqu'un connecte la clé USB à l'ordinateur portable, et l'ordinateur est alors infecté par un logiciel malveillant, peut-être même sans que l'utilisateur ne s'en aperçoive.
Pretexting (ou prétexte)
Cette attaque utilise un prétexte pour attirer l’attention et inciter la victime à fournir l’accès à des données sensibles ou des systèmes protégés.
Quid pro quo
Cette attaque utilise un prétexte pour attirer l’attention et inciter la victime à fournir l’accès à des données sensibles ou des systèmes protégés.
Spear Phishing (ou harponnage)
Le spear phishing est une forme très ciblée d'attaque par hameçonnage. Le spear phishing se concentre sur une personne ou une organisation spécifique. Les attaques par spear phishing sont efficaces parce que l'expéditeur d'un e-mail ou d'un message privé sur les réseaux sociaux, par exemple, correspond à une personne connue, un collègue ou l'employeur. La confiance du destinataire est ainsi gagnée et l'expéditeur apparaît comme légitime. Les employés se font souvent avoir par des attaques de spear phishing lorsque la sécurité de messagerie électronique n’est pas à jour ou, par exemple, lorsque le directeur semble réellement être l’expéditeur de l’e-mail. Pour en savoir plus sur la sécurité de messagerie électronique, consultez notre blog d’experts « Décodage de la sécurité de messagerie électronique ».
Le tailgating (ou talonnage)
Le tailgating est une technique d'ingénierie sociale physique qui se produit lorsque quelqu'un, sans authentification appropriée, suit un employé autorisé jusqu'à un lieu sécurisé. Par exemple, la personne peut se faire passer pour un livreur et accompagner un employé pour livrer un colis. L'objectif du tailgating est d'obtenir une propriété (intellectuelle) de valeur, des informations commerciales confidentielles ou l'accès à un lieu sûr. Cela ne fonctionne pas dans toutes les entreprises. Dans les grandes organisations, l’utilisation de cartes d'accès est souvent nécessaire pour franchir les portes. Dans les entreprises de taille moyenne, les attaquants ont la possibilité de s'entretenir avec des employés et utilisent cette familiarité pour passer le comptoir d'accueil.
Comment se protéger contre l'ingénierie sociale
Renseignez-vous
L'ignorance est la plus grande faiblesse et est extrêmement facile à exploiter, ce qui fait des personnes ignorantes la principale cible des attaquants. Savoir ce qu'il faut rechercher et connaître les meilleures techniques est le premier et le meilleur niveau de défense.
Soyez conscient des informations que vous divulguez
Cela englobe les moyens de communication verbale et les réseaux sociaux. Des sites comme Instagram, Facebook et Twitter sont d'abondantes sources d'informations et de ressources exploitables, allant des photos aux centres d'intérêt. Une simple recherche sur Google Maps de l'adresse de votre domicile ou de votre lieu de travail permet d'avoir une vue d'ensemble du bâtiment et de ses environs.
Déterminez quels sont vos actifs les plus intéressants pour les criminels
Make sure you are protecting the right thing! When deciding which assets are most valuable to an attacker be sure not to focus solely on what you or the business find to be most valuable. Cyber attackers are interested in anything they can monetise.
Appliquez et suivez les politiques
Après avoir identifié les actifs les plus tentants pour les criminels, et le prétexte qu'ils sont susceptibles d'utiliser pour les cibler, rédigez une politique de sécurité - et suivez-la ! Dans une entreprise, tous les employés doivent jouer leur rôle. Chacun est une porte d'entrée potentielle dans l'entreprise et ses actifs. Il suffit qu'une porte soit entrouverte pour qu'un attaquant réussisse à pénétrer.
Maintenez vos logiciels à jour
Les attaquants qui utilisent des pratiques d'ingénierie sociale cherchent souvent à déterminer si vous utilisez un logiciel non patché et obsolète. Le fait de se tenir au courant des correctifs et de maintenir vos logiciels à jour peut atténuer une grande partie de ce risque.
Ne soyez pas le maillon faible... Soyez intelligent, soyez vigilant, soyez au top de la cybersécurité !
Pratique continue
Le contexte actuel des menaces pose un risque réel pour vos données sensibles, votre rentabilité et votre réputation. La cybersécurité doit être une pratique continue qui nécessite de connaître parfaitement la façon dont les utilisateurs, les clients et les applications ont accès aux données et la façon dont les dispositifs sont configurés.
Nomios Belgique se spécialise depuis plus de 15 ans dans l’évaluation, la construction et la gestion de la sécurité des systèmes d'information à l’échelle de l’entreprise. Notre vaste expérience en matière d’ingénierie nous donne la possibilité de développer des stratégies et solutions de sécurité qui répondent à vos défis commerciaux en constante évolution.
Notre équipe d’experts en sécurité informatique vous aide à limiter le risque lié aux menaces d’aujourd'hui.
L'ingénierie sociale en chiffres
- 98 %
- 98 % des cyberattaques relèvent de l’ingénierie sociale
- 56 %
- 56 % des responsables informatiques déclarent que les attaques de phishing ciblées constituent leur plus grande menace pour la sécurité
- 66%
- 66 % des logiciels malveillants sont installés via des pièces jointes d’e-mails malveillants
- 2,4 million $
- Le coût moyen d'une attaque de logiciel malveillant pour une organisation est de 2,4 millions de dollars.
- Nouveaux employés
- Les nouveaux employés sont les plus sensibles aux attaques d'ingénierie sociale, 60 % des professionnels de l'informatique disent qu'ils sont à haut risque.
- 3 %
- Seuls 3 % des utilisateurs ciblés signalent les e-mails malveillants à la direction
Notre équipe est à votre entière disposition
Vous voulez en savoir plus sur ce sujet ? Laissez un message ou votre numéro de téléphone et nous vous rappellerons. Nous nous réjouissons de pouvoir vous aider davantage.