Blog - Lockself

Fraude par ingénierie sociale : protéger son entreprise en 5 étapes

Rédigé par LockSelf | 26 octobre 2023

Qu’est-ce que la fraude par ingénierie sociale ?

 

La fraude par ingénierie sociale fait référence à des techniques de manipulation qui visent à inciter une personne à divulguer des informations confidentielles qui permettront de perpétrer une autre attaque.

 

Pour être plus précis, Interpol nous dit que 👇

 

Quel est le mode opératoire ?

 

Pour inciter ses victimes à divulguer leurs informations confidentielles, le cybercriminel va chercher à gagner leur confiance en s’appuyant sur des informations préalablement récoltées.

 

Afin de récolter ces informations il va utiliser différents canaux : 

  • Toutes les informations rendues publiques par sa victime via les réseaux sociaux notamment
  • Des fuites de données préalables disponibles sur le dark web

 

De cette façon, la prise de contact avec sa victime semblera légitime, ce qui entraînera une baisse de vigilance de celle-ci qui l’amènera à divulguer de son plein gré les informations confidentielles recherchées par le hacker.

 

Le but final pour l’acteur malveillant étant de récupérer ces informations afin de commettre des délits plus conséquents tels qu’accéder au réseau interne de votre entreprise ou directement au compte bancaire de celle-ci.

 

Cette fraude par ingénierie sociale peut prendre plusieurs formes, en voici les principales : 

  • Attaque par phishing ou Spear Phishing (Hameçonnage et harponnage en français)
  • Vishing (Hameçonnage vocal)
  • Smishing (Hameçonnage par SMS)
  • Baiting (Appâtage en français)
  • Scareware (Alarmiciel en français)
  • Etc…

 

Le ton employé lors de la prise de contact se veut le plus souvent pressant pour créer un sentiment d’urgence chez la victime et ne pas lui laisser le temps de véritablement analyser la situation.

 

Quels en sont les risques ?

 

La fraude par ingénierie sociale peut avoir de très lourdes conséquences sur les personnes et organisations qui en sont victimes : 

  • Pertes financières (voire fermeture définitive de l’entreprise)
  • Mise à mal de la réputation de l’organisation auprès de ses clients / partenaires / investisseurs / salariés
  • Perte de confiance et sentiment de honte pour la personne victime qui sera « tombée dans le panneau»
  • Fraude à l’identité

 

Au centre de ces techniques d’attaque cyber : l’humain et ses faiblesses.

 

 

Voyons dès lors, comment protéger au mieux votre entreprise et vos collaborateurs de ces tentatives de fraude avec 5 bonnes pratiques à mettre en place 👇

1. Utilisez un filtre anti-spams

 

La majeure partie des tentatives de fraudes par ingénierie sociale passe par des emails de phishing. Pour vous en prémunir et éviter que vos collaborateurs ne tombent dans le piège, vous pouvez mettre en place un filtre anti-spams au sein de votre organisation.

 

Ainsi, les emails identifiés comme « spams » selon plusieurs critères que vous aurez établis seront filtrés en amont et n’atteindront jamais la boîte mail de vos collaborateurs.

De cette façon, vous limitez drastiquement le risque qu’ils cliquent sur un lien frauduleux ou qu’ils ouvrent une pièce jointe vérolée.

 

 

2. Imposez l’utilisation de mots de passe fort et du MFA (Authentification multi-facteurs)

 

Grâce à votre gestionnaire de mots de passe dédié à votre entreprise vous pourrez forcer l’usage de mots de passe robustes et différents pour chaque compte pour l’ensemble de vos collaborateurs grâce aux politiques de mots de passe et bénéficier du MFA intégré. (Pour un outil adapté et certifié par l’ANSSI on vous invite à aller regarder notre outil LockPass).

 

En plus du gain global en sécurité, cela vous permet une protection sur plusieurs fronts : 

  • Fini le risque qu’un collaborateur utilise le même mot de passe pour ses services personnels et ses comptes professionnels. (Et avec le risque, en cas de piratage dans sa sphère personnelle, que celui-ci offre en prime au cybercriminel un accès direct à votre entreprise.).

  • Si l’un de vos collaborateurs vient à cliquer sur un lien frauduleux dans un mail, il sera redirigé sur une fausse page de connexion. Ainsi, les plugins navigateurs LockPass ne divulgueront pas les identifiants puisque l'URL ne correspondra pas à celle attendue. L’utilisateur se rendra alors compte que la demande n'était pas légitime et pourra signaler ce mail frauduleux à la DSI.

  • En cas d’accès compromis, le MFA viendra bloquer l’accès, vous invitant à confirmer la connexion. Si vous n’en êtes pas à l’origine, cela vous permettra d’être notifié de la fuite de vos accès.

3. Restez vigilants vis-à-vis de tous les expéditeurs

 

L’essence même de la fraude par ingénierie sociale est d’usurper l’identité d’une personne ou organisation légitime à vous contacter afin que vous baissiez votre garde. 

 

Ainsi, rester très vigilant lorsque vous recevez un mail, sms ou même un appel. Pensez à systématiquement vérifier l’adresse ou le numéro de l’expéditeur. En cas de message qui vous semblerait suspect, optez pour une double vérification via un deuxième moyen de communication avec la personne afin de confirmer que sa demande est bien légitime. En effet, il arrive fréquemment que des prestataires ou partenaires se soient fait pirater et que le pirate tente de pénétrer également dans votre SI afin de maximiser son gain. Ainsi, l’adresse mail utilisée ou même le numéro de téléphone est bien celui de votre partenaire mais sa demande est frauduleuse puisqu’initiée par le pirate.

 

Avec une double vérification vous pourrez confirmer le bien-fondé de la demande et ainsi informer également votre partenaire qu’un acteur malveillant usurpe son identité.

 

En cas de doute persistant, contactez votre service informatique.

 

4. Mettez en place une politique d'accès au moindre privilège

 

Mettre en place une politique d’accès au moindre privilège signifie donner accès au minimum d’informations et de documents possible à chaque collaborateur au sein de l’entreprise. Ainsi, chacun a accès aux données strictement nécessaires à sa fonction. De cette façon, vous limitez le risque qu’une donnée sensible soit compromise (Accès à vos serveurs, documents comptables etc…).

 

Avec la suite LockSelf, vous pourrez gérer finement les accès aux différents secrets de l’entreprise (mots de passe, fichiers, transferts) et garder une traçabilité grâce à l’historique des logs.

 

5. Rappelez les bonnes pratiques régulièrement !

 

Le propre de la fraude par ingénierie sociale est de cibler de façon la plus précise possible chaque individu. Ainsi, l’ensemble de vos collaborateurs sont concernés et doivent être informés des risques et des bonnes pratiques qu’ils peuvent appliquer dans votre entreprise (et même dans leur vie personnelle) afin de se protéger efficacement face à ce type d’attaque.

 

 

Les attaques par ingénierie sociale touchent particulièrement les organisations françaises, notamment via des tentatives de phishing ou spear phishing qui représentent le principal vecteur d’attaque avec 74% des organisations françaises victimes d’une attaque en 2022 qui ont été la cible de mails de phishing selon le baromètre 2023 du CESIN.

 

La fraude par ingénierie sociale est particulièrement vicieuse du fait que les demandes initiées par l’attaquant semblent légitimes. Les cybercriminels sont également de plus en plus inventifs pour trouver de nouvelles façons d’accéder aux données confidentielles des collaborateurs et dirigeants afin d’intégrer le système informatique d’une organisation et ainsi pouvoir perpétrer des attaques de plus grande ampleur, davantage rémunératrice pour eux. 

 

Ainsi, la vigilance doit toujours être de mise et s’accompagner des bons outils pour atténuer un maximum la menace.

 

Vigilance également sur les données que vous mettez (gracieusement) à la disposition des cybercriminels (notamment via les réseaux), qui leur permettent de personnaliser encore davantage leurs attaques pour les rendre quasi-indétectables.