Le social engineering est un terme utilisé pour désigner un large éventail d'activités malveillantes réalisées par le biais d'interactions humaines. Elle utilise la manipulation psychologique pour inciter les utilisateurs à commettre des erreurs de sécurité ou à donner des informations sensibles.
En comprenant bien les attaques de social engineering et en reconnaissant que la véritable protection contre ces attaques passe par le côté humain ET technologique, vous pouvez protéger votre organisation des conséquences de ces types de pratiques.
Voici quelques-unes des techniques de social engineering les plus courantes :
Le Phishing, aussi appelé hameçonnage, est la tactique de social engineering la plus courante.
Celle-ci se fait par le biais d’un e-mail, un site Web, une publicité sur internet ou une vidéo pour inciter ses victimes à agir. Les personnes derrière l’attaque se passent pour une banque, un service de livraison ou une agence gouvernementale, ou bien elles peuvent être plus spécifiques et sembler provenir d'un département de l'entreprise de la victime (ressources humaines, IT, commercial...). Au fait, les e-mails d'hameçonnage, souvent à l’air innocent, comportent un appel à l'action. On va donc demander à la victime de cliquer sur une URL, qui le mènera ensuite à un site Web frauduleux contenant un logiciel malveillant.
Bien que les utilisateurs les moins avertis sont conscients de l’existence de cette pratique, elle continue de faire des ravages. D’autant plus que les cybercriminels font beaucoup plus d’efforts pour faire en sorte qu’elles soient bien conçues et insoupçonnables.
A noter qu’il existe des variantes du phishing comme le Spear Phishing qui cible un groupe démographique, comme les employés d'une certaine entreprise ou les directeurs financiers d'un certain secteur. Il y a également le Whaling qui vise les cadres ou les employés de haut niveau.
Le Baiting (traduit de l’anglais : l’appât) est également une forme assez courante de social engineering. Celle-ci consiste à attirer la victime avec une offre alléchante (musique ou jeux gratuits). L’attaquant espère que le mot de passe utilisé pour se connecter et obtenir les cadeaux numériques gratuits est un mot de passe qu'elle utilise sur des sites plus importants. Et s’il est unique, l'attaquant pourra quand même le vendre sur le dark web. En entreprise, une attaque de baiting est plus susceptible de consister en une clé USB laissée dans un endroit commun. Lorsque la personne la trouve et la branche sur le réseau de l'entreprise pour voir à qui elle appartient, elle télécharge un logiciel malveillant.
Comme son nom l’indique, le "pretexting" est une forme d'ingénierie sociale dans laquelle l'attaquant présente un prétexte pour gagner la confiance de la victime. Celui-ci peut se faire passer pour un investisseur, un représentant RH ou une autre source « légitime ». Le type de scénario joue sur généralement sur les émotions de la victime en utilisant un sentiment d'urgence ou l’effet de surprise.
Afin de venir à bout des menaces de social engineering, il est indispensable de se focaliser à la fois sur le côté humain et le côté matériel/logiciel.
Commençons d’abord par le côté humain qui représente le point d’attaque des cyber criminels spécialistes en social engineering ! Dans ce sens, la formation à la sécurité reste le meilleur moyen d'éviter d'être victime d'une attaque. Dans le cadre des programmes de sensibilisation à la sécurité, les organisations devraient continuer à rappeler à leurs employés les pratiques courantes suivantes :
Passons maintenant au côté technologique ! Il est impératif de :
Et surtout, restez à l'affût de toutes les nouveautés en termes de cybersécurité en devenant un lecteur régulier de notre blog 😉 !
Le partage de fichiers est un aspect essentiel de la collaboration en entreprise, permettant aux équipes de travailler ensemble de manière efficace et d'échanger des informations rapidement.
