Qu’est-ce que le social engineering ?
Publié le 26 janvier 2023
Le social engineering – ingénierie sociale – est un type de cyberattaque qui vise à influencer l’opinion de la victime pour la piéger.
Présente dans la sphère personnelle et professionnelle, le social engineering représente 70 % des cyberattaques qui ont eu lieu en 2022.
Qu’est-ce qu’une attaque par social engineering ?
Ce type de cyberattaque repose sur la faille humaine. En effet, le hacker va dans un premier temps étudier sa cible à l’aide d’information le plus souvent disponible publiquement sur internet.
Puis, une fois qu’il a toutes les informations en main, il va prendre contact et établir un lien de confiance avec elle. Ceci en vue de la pousser à divulguer des informations confidentielles ou à effectuer des transferts de fonds.
Enfin, une fois son but atteint, le hacker va disparaitre sans laisser de trace.
Les attaques par social engineering reposent essentiellement sur la création d’un lien de confiance et la manipulation des émotions de la victime permettant au hacker d’obtenir ce qu’il souhaite. Plus la victime se sentira en confiance, plus l’attaque aura des chances d’aboutir rapidement.
Ce type d’attaque est très répandue. Elle est aussi facilitée par l’essor des outils numériques et du télétravail.
En effet, aujourd’hui de nombreux échanges sont dématérialisés notamment dans la sphère professionnelle. Il est donc plus difficile de savoir si la personne derrière son ordinateur est véritablement celle qu’elle prétend être.
Quelles sont les attaques de social engineering les plus répandues ?
On distingue différents types de cyberattaques et voici les plus connues.
Le phishing
Le hacker usurpe l’identité d’une entité de confiance et pousse la victime à cliquer sur un lien ou à télécharger une pièce jointe. Cette manœuvre est souvent utilisée dans le but de récupérer des informations personnelles ou d’installer un malware sur la machine de la victime.
→ Vérifier l’expéditeur du mail
→ Se connecter directement sur le site en question sans cliquer sur le lien
→ Inspecter la pièce jointe du mail à l’aide des outils de détection fournis par votre entreprise.
La fraude au président
Utilisée dans la sphère professionnelle, le hacker se fait passer pour un responsable auprès du service administratif ou comptable dans le but de lui faire réaliser des transferts de fonds. Ce type d’opération a en général un caractère urgent et confidentiel.
→ Les critères d’urgence et de discrétion doivent être un signal fort d’alerte.
→ mettre en place des process permettant de vérifier l’identité de la personne effectuant la demande.
Le vishing
Intervient généralement à la suite d’une attaque de type phishing au travers d’un appel téléphonique. Par exemple, un lien reçu par mail de « EDF » (phishing) sera suivi de l’appel d’un faux conseiller dès lors que vous avez cliqué dessus. Le but de la manœuvre est d’amener la victime à communiquer des informations personnelles (coordonnées bancaires, téléphone, etc.) au faux conseiller.
→ Eviter de communiquer des informations personnelles par téléphone
→ Vérifier l’identité de la personne qui vous appelle
→ Vérifier le bien-fondé de l’appel
Le baiting
Baiting signifie “appâter” et comme son nom l’indique, le but est d’appâter la cible avec des offres alléchantes comme des téléchargements gratuits ou le gain d’un ordinateur. Mais en général, ce qui se cache derrière n’est autre que du code malveillant qui va infecter le système informatique.
→ Vérifier la provenance des offres et cadeaux, il est impossible de gagner quelque chose sans avoir participé à un concours
→ Les offres trop attractives sont souvent synonymes d’arnaque
Comment se prémunir d’une cyberattaque par social engineering
Former les collaborateurs
Le social engineering repose sur la faille humaine, il est donc primordial de former les collaborateurs à la cybersécurité. L’idéal serait de mettre en place une formation de quelques heures pour chaque nouvelle embauche reprenant les bases : gestion des mots de passe, confidentialité des données, double authentification, etc. Puis, d’effectuer des sensibilisations en interne pour continuer à former les équipes.
Mettre en place une procédure d’authentification multi-facteurs
Ce type de procédure permet d’assurer une sécurité supplémentaire notamment dans le cadre d’une attaque par fraude au président.
L’authentification multi-facteurs peut avoir différentes formes :
- Logiciel → Mettre en œuvre systématiquement la double authentification lorsque la plateforme utilisée le permet
- Humaine → Appliquer les procédures définies lorsqu’une action sensible le nécessite. Ces procédures doivent faire intervenir à minima deux personnes pour réaliser l’action.
Avoir une solution de sauvegarde externalisée
Mettre en place une solution de sauvegarde externalisée permet à l’entreprise de placer ses données en lieu sûr. En cas de cyberattaque, cette solution permettra de restaurer tout ou partie des données perdues et donc de limiter les conséquences liées à celle-ci.