La fraude par ingénierie sociale fait référence à des techniques de manipulation qui visent à inciter une personne à divulguer des informations confidentielles qui permettront de perpétrer une autre attaque.
Pour être plus précis, Interpol nous dit que 👇
Pour inciter ses victimes à divulguer leurs informations confidentielles, le cybercriminel va chercher à gagner leur confiance en s’appuyant sur des informations préalablement récoltées.
Afin de récolter ces informations il va utiliser différents canaux :
De cette façon, la prise de contact avec sa victime semblera légitime, ce qui entraînera une baisse de vigilance de celle-ci qui l’amènera à divulguer de son plein gré les informations confidentielles recherchées par le hacker.
Le but final pour l’acteur malveillant étant de récupérer ces informations afin de commettre des délits plus conséquents tels qu’accéder au réseau interne de votre entreprise ou directement au compte bancaire de celle-ci.
Cette fraude par ingénierie sociale peut prendre plusieurs formes, en voici les principales :
Le ton employé lors de la prise de contact se veut le plus souvent pressant pour créer un sentiment d’urgence chez la victime et ne pas lui laisser le temps de véritablement analyser la situation.
La fraude par ingénierie sociale peut avoir de très lourdes conséquences sur les personnes et organisations qui en sont victimes :
Au centre de ces techniques d’attaque cyber : l’humain et ses faiblesses.
Voyons dès lors, comment protéger au mieux votre entreprise et vos collaborateurs de ces tentatives de fraude avec 5 bonnes pratiques à mettre en place 👇
La majeure partie des tentatives de fraudes par ingénierie sociale passe par des emails de phishing. Pour vous en prémunir et éviter que vos collaborateurs ne tombent dans le piège, vous pouvez mettre en place un filtre anti-spams au sein de votre organisation.
Ainsi, les emails identifiés comme « spams » selon plusieurs critères que vous aurez établis seront filtrés en amont et n’atteindront jamais la boîte mail de vos collaborateurs.
De cette façon, vous limitez drastiquement le risque qu’ils cliquent sur un lien frauduleux ou qu’ils ouvrent une pièce jointe vérolée.
Grâce à votre gestionnaire de mots de passe dédié à votre entreprise vous pourrez forcer l’usage de mots de passe robustes et différents pour chaque compte pour l’ensemble de vos collaborateurs grâce aux politiques de mots de passe et bénéficier du MFA intégré. (Pour un outil adapté et certifié par l’ANSSI on vous invite à aller regarder notre outil LockPass).
En plus du gain global en sécurité, cela vous permet une protection sur plusieurs fronts :
L’essence même de la fraude par ingénierie sociale est d’usurper l’identité d’une personne ou organisation légitime à vous contacter afin que vous baissiez votre garde.
Ainsi, rester très vigilant lorsque vous recevez un mail, sms ou même un appel. Pensez à systématiquement vérifier l’adresse ou le numéro de l’expéditeur. En cas de message qui vous semblerait suspect, optez pour une double vérification via un deuxième moyen de communication avec la personne afin de confirmer que sa demande est bien légitime. En effet, il arrive fréquemment que des prestataires ou partenaires se soient fait pirater et que le pirate tente de pénétrer également dans votre SI afin de maximiser son gain. Ainsi, l’adresse mail utilisée ou même le numéro de téléphone est bien celui de votre partenaire mais sa demande est frauduleuse puisqu’initiée par le pirate.
Avec une double vérification vous pourrez confirmer le bien-fondé de la demande et ainsi informer également votre partenaire qu’un acteur malveillant usurpe son identité.
En cas de doute persistant, contactez votre service informatique.
Mettre en place une politique d’accès au moindre privilège signifie donner accès au minimum d’informations et de documents possible à chaque collaborateur au sein de l’entreprise. Ainsi, chacun a accès aux données strictement nécessaires à sa fonction. De cette façon, vous limitez le risque qu’une donnée sensible soit compromise (Accès à vos serveurs, documents comptables etc…).
Avec la suite LockSelf, vous pourrez gérer finement les accès aux différents secrets de l’entreprise (mots de passe, fichiers, transferts) et garder une traçabilité grâce à l’historique des logs.
Le propre de la fraude par ingénierie sociale est de cibler de façon la plus précise possible chaque individu. Ainsi, l’ensemble de vos collaborateurs sont concernés et doivent être informés des risques et des bonnes pratiques qu’ils peuvent appliquer dans votre entreprise (et même dans leur vie personnelle) afin de se protéger efficacement face à ce type d’attaque.
Les attaques par ingénierie sociale touchent particulièrement les organisations françaises, notamment via des tentatives de phishing ou spear phishing qui représentent le principal vecteur d’attaque avec 74% des organisations françaises victimes d’une attaque en 2022 qui ont été la cible de mails de phishing selon le baromètre 2023 du CESIN.
La fraude par ingénierie sociale est particulièrement vicieuse du fait que les demandes initiées par l’attaquant semblent légitimes. Les cybercriminels sont également de plus en plus inventifs pour trouver de nouvelles façons d’accéder aux données confidentielles des collaborateurs et dirigeants afin d’intégrer le système informatique d’une organisation et ainsi pouvoir perpétrer des attaques de plus grande ampleur, davantage rémunératrice pour eux.
Ainsi, la vigilance doit toujours être de mise et s’accompagner des bons outils pour atténuer un maximum la menace.
Vigilance également sur les données que vous mettez (gracieusement) à la disposition des cybercriminels (notamment via les réseaux), qui leur permettent de personnaliser encore davantage leurs attaques pour les rendre quasi-indétectables.