Qu’est-ce que l’ingénierie sociale et comment s’en protéger ?
Meta description : Qu’entend-on par ingénierie sociale ? Quelles sont les méthodes les plus courantes ? De quels moyens dispose l’entreprise pour se préserver ? 3S2I fait le point.
Comprendre l’ingénierie sociale et protéger son entreprise
Contrairement aux attaques informatiques qui exploitent des failles techniques, l’ingénierie sociale repose sur l’intervention de l’humain. Elle s’appuie sur la psychologie pour accéder à des systèmes sécurisés au vu d’obtenir des données sensibles, et/ou d’effectuer des actions préjudiciables. Pour les mener à bien, les cybercriminels usent de stratagèmes plus ou moins sophistiqués selon les objectifs, allant du simple envoi d’emails jusqu’à l’usurpation d’identité !
Aucune entreprise n’est épargnée. Les hackers ciblent aussi bien les grandes structures pour leur potentiel, que les plus petites pour leur vulnérabilité supposée. Tout dépend de l’enjeu et du temps à y allouer. Mais in fine, les conséquences sont aussi désastreuses pour les organisations touchées, quelle qu’en soit l’envergure. En comprenant ces techniques et en étant vigilant, il est possible de s’en protéger efficacement. Faisons le point !
Qu’est-ce l’ingénierie sociale ?
Les attaques d’ingénierie sociale usent de tactiques de manipulation qui jouent sur la confiance, l’excès de zèle, l’empathie, la peur ou la curiosité. Comme elles sont basées sur l’interaction humaine, leurs mises en œuvre ne nécessitent généralement pas de compétences techniques avancées. Elles peuvent être menées par email, au téléphone, par SMS ou même en personne !
L’attaque d’ingénierie sociale est souvent déguisée sous une apparence de légitimité. Les attaquants se font passer pour des personnes de confiance, comme des collègues, des supérieurs, des RH, une banque, l’administration fiscale, des techniciens de support technique, et pourquoi pas, des membres du gouvernement. Tout est envisageable !
Quelles sont les techniques d’ingénierie sociale les plus courantes ?
Derrière ces termes aux consonnances anglophones, se cachent des pratiques très répandues en France. Leur sonorités « exotiques » ne doivent pas vous laisser penser que votre entreprise est épargnée.
Les spear phishing, vishing et smishing
Le spear pishing (ou harponnage) correspond à une version plus ciblée du phishing (ou hameçonnage). Le message est personnalisé, pour une personne ou une organisation en particulier, dans le but d’inciter les destinataires à divulguer des informations sensibles. Le vishing, ou voice phishing, est sa version vocale. Le malfrat appelle la victime en se faisant passer pour une « personne de confiance ». Le smishing est sa variante par SMS.
Le Pretexting (prétexte)
L’hacker monte un scénario plausible pour tromper un salarié de l’entreprise, en se faisant généralement passer pour une personne en position d’autorité. Les réseaux sociaux professionnels constituent une source d’informations intarissable sur la hiérarchie et les fonctions de chacun.
Le Baiting (Appât)
Ici la technique peut s’opérer en ligne ou « physiquement ». Dans ce second cas, elle peut mettre en scène de faux appâts, comme des dispositifs USB infectés laissés dans des lieux publics ou des espaces de travail partagés. L’objectif est d’inciter les cibles à les utiliser (poussées par la curiosité) et ainsi infecter leurs systèmes.
Le Quid Pro Quo
Il est question ici de jeu de rôle. L’une des méthodes les plus simples à mettre en place est l’appel d’un supposé technicien réseau. Ayant détecté une anomalie (fictive), et au vu de l’urgence, demande les codes de sécurité pour la résoudre. On voit également le même stratagème avec le faux banquier très renseigné (technique ici apparentée à celle du vishing vue plus haut).
Le Water Hole (ou point d’eau)
La technique du point d’eau vise à compromettre un site Web, régulièrement visité par les collaborateurs d’une entreprise, en y injectant un malware dans le but d’infecter le SI.
Comment protéger l’entreprise ?
Au même titre que les cyberattaques les plus répandues, la première arme de défense reste la vigilance. Sensibiliser à ces techniques ne doit pas se limiter à la direction et au pôle informatique. Tous les collaborateurs, tous métiers et tous niveaux hiérarchiques confondus, sont concernés !
Pour complexifier l’accès aux données dans le cas échéant, il est recommandé de compartimenter les accès selon les rôles et de renforcer la politique des mots de passe. Cette dernière repose sur l’utilisation de mots de passe uniques, suivis d’une double, voire d’une triple authentification.
Pour protéger votre entreprise des dommages causés par une cyberattaque, indépendamment de l’origine, 3S2I vous accompagne dans la mise en œuvre de la sécurité informatique du SI et de la sécurisation des données. Nous appliquons des mesures préventives et correctives, incluant un audit des risques auxquels est exposée toute votre infrastructure et la définition de
stratégies de récupération (y compris pour le télétravail). Pour toute information, contactez notre équipe dédiée.
Sources :
L’ANSII, l’Agence Nationale de la Sécurité des Systèmes d’Information
3S2I, spécialiste de la sécurité informatique à Nice et Monaco