L'ingénierie sociale, qu'est-ce que c'est ?
L'ingénierie sociale se définit comme la manipulation psychologique des personnes dans l'espoir d'accéder à des informations ou à des systèmes confidentiels. Elle s'apparente à un abus de confiance perpétré dans le but de recueillir des informations, de commettre une fraude ou d'accéder à un système. Les attaques de type « ingénierie sociale » peuvent être utilisées pour voler des informations ou des données confidentielles des employés, et sont le plus souvent menées par téléphone ou par e-mail. Une attaque de type « ingénierie sociale » peut également, par exemple, être menée par des criminels se faisant passer pour des travailleurs du secteur ou des techniciens, ce qui leur permet d'accéder au site physique d'une entreprise sans se faire remarquer.
Les principes de l'ingénierie sociale
Les principales méthodes que les cybercriminels utilisent pour mener une attaque de type « ingénierie sociale » existent depuis longtemps. Elles reposent sur des principes psychologiques fondamentaux du comportement humain, et les pirates utilisent ces principes pour accéder à des données ou à des informations sensibles.
- La réciprocité : les gens ont tendance à se rendre la pareille. Par exemple, si un pirate se montre sous un jour généreux ou gentil, la victime peut se sentir obligée de lui fournir un accès spécial ou encore de déroger à certaines règles essentielles.
- L'engagement : lorsqu'une personne s'engage à faire quelque chose, que ce soit à l'oral ou à l'écrit, elle devient plus disposée à honorer son engagement parce qu'elle le considère alors comme une responsabilité qu'elle doit assumer personnellement. Par exemple, sur un site de ventes aux enchères, les gens se font piéger en faisant des enchères plus élevées que le montant qu'ils avaient initialement envisagé parce qu'ils souhaitent « remporter » l'article concerné, indépendamment de sa valeur réelle.
- La preuve sociale : les gens feront des choses qu'ils ont vu faire par d'autres personnes. Par exemple, un logiciel plébiscité par une célébrité sera mieux perçu par les gens du fait de ce soutien, indépendamment de la qualité du logiciel.
- L'autorité : les gens auront tendance à obéir à des figures d'autorité, même si on leur demande de commettre des actes répréhensibles. Lors d'une attaque d'ingénierie sociale, cela peut conduire un employé d'une entreprise cible à fournir des informations à une personne qui appelle en se faisant passer pour un agent des forces de l'ordre.
- L'appréciation : les gens se laissent facilement convaincre par des personnes qu'ils apprécient. Le simple fait d'être agréable et sympathique suffit bien souvent à ce qu'un pirate se fasse accorder un accès spécial.
Les principaux types d'ingénierie sociale
Les cybercriminels utilisent l'ingénierie sociale pour mener efficacement différentes cyberattaques :
- Le phishing : cette approche consiste à obtenir des informations privées en utilisant des techniques de manipulation. Généralement, le pirate souhaitant mener une attaque par phishing enverra un e-mail qui semble provenir d'une entreprise légitime pour demander l'authentification d'informations et avertir la victime de complications si ces informations ne sont pas fournies. Cette menace conduit la victime à dévoiler des informations sensibles.
- La technique dite « du point d'eau » : il s'agit d'une stratégie d'ingénierie sociale ciblée qui tire profit de la confiance que les utilisateurs ont dans les sites Web qu'ils consultent régulièrement. La victime se sent en sécurité, alors qu'elle fait des choses qu'elle ne ferait pas dans une situation différente. Le pirate prépare alors un piège destiné à la victime, à un emplacement dans lequel elle a confiance.
- L'attaque de type « quid pro quo » ou l'échange de bons procédés : un pirate contacte des personnes au hasard dans une entreprise, prétendant appeler pour une raison légitime. Il finira par trouver quelqu'un qui a un vrai problème et sera reconnaissant de l'aide proactive apportée. Le pirate tentera alors d'obtenir des informations sensibles de la victime tout en l'aidant à résoudre son problème.
Comment se protéger des attaques d’ingénierie sociale
Les entreprises disposent de nombreux moyens de défense pour se protéger contre des tentatives d'ingénierie sociale de grande ampleur menées auprès de leurs employés :
- Créer un cadre de confiance standard : créer un cadre de confiance solide au niveau de chaque employé/collaborateur, en dispensant des formations sur la façon de gérer des informations sensibles.
- Analyser minutieusement les informations : identifier les informations sensibles et évaluer leur risque d'être exposées à des attaques d'ingénierie sociale et à des défaillances des systèmes de sécurité.
- Respecter les protocoles de sécurité : mettre en place des protocoles, des politiques et des procédures de sécurité pour gérer les informations sensibles. Former les employés : former les employés aux protocoles de sécurité en lien avec leur emploi.
- Tests périodiques :créer un cadre est important, mais il est tout aussi essentiel de tester les employés pour s'assurer qu'ils ont bien assimilé les informations. Conduire des tests pour évaluer comment les employés réagissent face à des tentatives de type « ingénierie sociale » peut aider à faire évoluer les formations et les discussions dans le bon sens.
Pourquoi l'ingénierie sociale est importante
Les systèmes humains mis en place pour encadrer les technologies constituent toujours le maillon le plus faible dans la chaîne de sécurité. Porter attention aux détails lors de la création de l'infrastructure de formation et de sécurité peut aider à protéger les entreprises contre les cyberattaques et leurs conséquences.
En savoir plus sur l'ingénierie sociale
Termes associés
- Phishing (hameçonnage)
- Spear phishing
- Malware
- Ransomware
- L’usurpation de nom de domaine
- Usurpation d'e-mails
Lectures complémentaires
- Blog : N'ayez pas peur des réseaux sociaux au travail
- Blog : Un spécialiste de l'ingénierie sociale peut-il s'emparer de vos données ?
- Fiche technique : Barracuda PhishLine
Découvrez comment Barracuda peut vous aider
Barracuda Email Protection est une solution complète et facile à utiliser. Elle comprend une passerelle sécurisée, une solution API pour la protection contre l'usurpation d'identité et le phishing, la réponse aux incidents, la protection des données, la conformité et des formations pour les utilisateurs. Ses capacités peuvent empêcher les attaques d'ingénierie sociale :
Barracuda Impersonation Protection est une solution API de protection des boîtes de réception qui empêche la compromission de votre boîte de messagerie professionnelle, le piratage de comptes, le spear phishing et les autres formes de cyberfraude. Elle combine l'intelligence artificielle et une intégration étroite avec Microsoft Office 365 dans une solution cloud complète.
Son architecture API unique permet à son moteur IA d'étudier l'historique des e-mails et d'en déduire les modèles de communication propres aux différents utilisateurs. La solution bloque ainsi les attaques par phishing, dont le but est d'obtenir vos identifiants afin de pirater votre compte. De plus, elle permet une résolution en temps réel.
La formation de sensibilisation à la sécurité Barracuda est une solution de sensibilisation à la sécurité des e-mails et de simulation conçue pour protéger votre entreprise contre les attaques de phishing ciblées. Elle forme les employés aux techniques de phishing par ingénierie sociale les plus récentes, à reconnaître les indices subtils de phishing et à prévenir la fraude par e-mail, la perte de données et les préjudices pour la marque. Avec la formation de sensibilisation à la sécurité Barracuda, vos employés passent de vulnérabilité humaine à ligne de défense contre les attaques par phishing.
Barracuda Incident Response prend automatiquement la situation en main en cas d'incident par le biais de mesures correctives qui vous permettent de traiter les problèmes plus rapidement et plus efficacement. Les administrateurs peuvent envoyer des alertes aux utilisateurs affectés et mettre en quarantaine les e-mails malveillants de leur boîte de réception en seulement quelques clics. Les informations sur les menaces fournies par la plateforme Incident Response permettent d'identifier les anomalies dans les e-mails reçus et de détecter les menaces de manière plus proactive.
Des questions sur l'ingénierie sociale ? Contactez-nous dès maintenant !
