L’ingénierie sociale : le facteur humain
comme maillon faible de la sécurité des entreprises

La protection contre les cybermenaces passe nécessairement par une sécurisation des réseaux informatiques. Mais qu’en est-il du facteur humain ? Le personnel peut constituer un redoutable vecteur d’attaque, et les pirates l’ont bien compris. Aussi sournoises qu’efficaces, les tactiques d’ingénierie sociale exposent les organisations à des risques sérieux. En quoi consiste cette menace majeure pour les entreprises ? Comment les cybercriminels réussissent-ils à manipuler les employées et employés, ouvrant ainsi une brèche pour pénétrer les systèmes informatiques ? Décryptage.

Qu’est-ce que l’ingénierie sociale ?

Le concept d’ingénierie sociale désigne le fait d’exploiter la nature humaine pour perpétrer une attaque au sein d’une entreprise. Les pratiques malveillantes utilisées par les cybercriminelles et cybercriminels visent à tromper et à manipuler les personnes, afin d’obtenir des informations sensibles pouvant mettre en péril la sécurité des organisations. On parle également de « piratage humain », puisque les escrocs tirent parti des faiblesses des femmes et des hommes, plutôt que des vulnérabilités informatiques. 

À l’heure actuelle, l’ingénierie sociale représente la première cause de compromission des réseaux, d’après le rapport State of Cybersecurity 2023 de l’association ISACA. 

Quels sont les risques liés à la manipulation du personnel en entreprise ? 

L’être humain représente un point d’entrée idéal vers les réseaux des entreprises. Particulièrement rusés, les pirates informatiques savent comment s’engouffrer dans les failles de leurs proies. Ils usent d’artifices pour les inciter à délivrer des données confidentielles, ou à réaliser une action compromettante. Une personne salariée victime d’ingénierie sociale devient alors, à son insu, un dangereux cheval de Troie pour la société. Sans le savoir, elle expose l’entreprise à une potentielle cyberattaque. 

L’ingénierie sociale présente en effet de nombreux risques, tels que : 

• La fuite d’informations sensibles comme des mots de passe, des codes d’accès, des données financières ou des secrets commerciaux,
• Le chiffrage de données et la demande d’une rançon pour leur déverrouillage, 
• L’introduction d’un logiciel espion,
• La fraude par usurpation d’identité, 
• L’interruption des opérations et les coûts liés à la reprise de l’activité, notamment la réparation des systèmes compromis,
• L’atteinte à la réputation et la perte de clients. 

Les techniques de manipulation psychologique permettent ainsi aux malfaiteurs de s’enrichir aux dépens des organisations lorsque le stratagème déployé se révèle fructueux. Ce fléau peut entraîner de graves conséquences financières pour l’entreprise.  

L’ingénierie sociale est la principale forme de cyberattaque 

State of Cybersecurity 2023, ISACA

Comment déceler une tentative de tromperie malgré son caractère insidieux ?

Les auteurs de cybermenaces tissent patiemment leur toile afin de piéger leurs victimes. Elles ou ils prennent le temps de se renseigner sur leurs cibles, fouillent leurs profils sur les réseaux sociaux, étudient leurs habitudes, décryptent leurs goûts. Une fois la faille identifiée, les fraudeurs usent de ressorts psychologiques pour arriver à leurs fins, en jouant notamment sur les émotions. 

Par exemple, elles ou ils peuvent se faire passer pour une marque réputée qui inspire confiance, susciter la curiosité, ou faire valoir l’appât du gain. Autre tactique : générer un sentiment de peur ou d’urgence chez la personne pour la pousser à agir sans réfléchir. Les attaques par ingénierie sociale sont donc souvent bien rodées, et il peut être difficile de les détecter en raison de leur nature fallacieuse. 

Quelques bonnes habitudes permettent toutefois de limiter le risque de leurre : 

• Contrôler l’adresse de l’expéditeur, l’orthographe et l’authenticité du message pour chaque communication, afin de s’assurer de la légitimité des sources. Un coup de fil à l’entreprise émettrice pourra dissiper les doutes éventuels sur l’origine d’un e-mail.  
• Analyser en détail les URL pour éviter de cliquer sur un lien malveillant, en vérifiant notamment que les liens renvoient vers des noms de domaine réels. 
• Appliquer le principe du moindre privilège, c’est-à-dire accorder aux collaborateurs et collaboratrices le niveau d’accès minimum requis pour accomplir leurs missions. 
• S’abstenir de divulguer des informations personnelles, mêmes mineures. 
• Se méfier des contenus qui éveillent des émotions négatives, et ne pas se précipiter en cliquant sur des liens ou en téléchargeant des pièces jointes sans avoir préalablement effectué les vérifications de sécurité indispensables. 

Ces réflexes aident à identifier et à déjouer les stratégies d’ingénierie sociale.

Comment prévenir les attaques d’ingénierie sociale ? 

Au-delà de la sécurisation des systèmes, les organisations doivent impérativement intégrer le facteur humain dans leurs stratégies de cybersécurité pour éviter un « trou dans la raquette ». 

À ce titre, la sensibilisation et la formation du personnel constituent une étape essentielle. En effet, beaucoup d’employées et employés ne savent pas comment repérer les attaques d’ingénierie sociale, et sous-estiment la valeur des informations personnelles qu’ils partagent. 

En complément, les entreprises doivent renforcer leurs politiques de contrôle d’accès. L’authentification multifactorielle et le principe de zéro confiance, par exemple, sont des pratiques de sécurité intéressantes pour déjouer les tentatives des pirates, même lorsqu’ils ont réussi à soutirer des identifiants de connexion.   

Par ailleurs, les méthodes de management jouent un rôle clé dans la protection contre l’ingénierie sociale. Les collaborateurs et collaboratrices doivent pouvoir oser avouer leurs erreurs, s’ils ont cliqué par mégarde sur un lien frauduleux ou communiqué des informations confidentielles. Le signalement d’incidents potentiels est crucial, car il améliore la capacité de réponse de l’entreprise. 

Quels sont les types de mise en œuvre de l’ingénierie sociale les plus répandus ?

Selon l’édition 2023 Data Breach Investigation Report de Verizon, plus de la moitié des attaques par ingénierie sociale prennent la forme de compromissions de messagerie professionnelle (BEC – business email compromise). On parle aussi de pretexting : l’escroc invente une histoire qui sert de prétexte pour leurrer sa proie. Les cybercriminelles et cybercriminels plébiscitent également d’autres techniques de piratage humain : l’hameçonnage et ses variantes (spear phishing, chasse à la baleine), l’appâtage…