Glossaire

Ingénierie sociale

L'ingénierie sociale, qu'est-ce que c'est ?

L'ingénierie sociale se définit comme la manipulation psychologique des personnes dans l'espoir d'accéder à des informations ou à des systèmes confidentiels. Elle s'apparente à un abus de confiance perpétré dans le but de recueillir des informations, de commettre une fraude ou d'accéder à un système. Les attaques de type « ingénierie sociale » peuvent être utilisées pour voler des informations ou des données confidentielles des employés, et sont le plus souvent menées par téléphone ou par e-mail. Une attaque de type « ingénierie sociale » peut également, par exemple, être menée par des criminels se faisant passer pour des travailleurs du secteur ou des techniciens, ce qui leur permet d'accéder au site physique d'une entreprise sans se faire remarquer.

Les principes de l'ingénierie sociale

Les principales méthodes que les cybercriminels utilisent pour mener une attaque de type « ingénierie sociale » existent depuis longtemps. Elles reposent sur des principes psychologiques fondamentaux du comportement humain, et les pirates utilisent ces principes pour accéder à des données ou à des informations sensibles.

  • La réciprocité : les gens ont tendance à se rendre la pareille. Par exemple, si un pirate se montre sous un jour généreux ou gentil, la victime peut se sentir obligée de lui fournir un accès spécial ou encore de déroger à certaines règles essentielles.
  • L'engagement : lorsqu'une personne s'engage à faire quelque chose, que ce soit à l'oral ou à l'écrit, elle devient plus disposée à honorer son engagement parce qu'elle le considère alors comme une responsabilité qu'elle doit assumer personnellement. Par exemple, sur un site de ventes aux enchères, les gens se font piéger en faisant des enchères plus élevées que le montant qu'ils avaient initialement envisagé parce qu'ils souhaitent « remporter » l'article concerné, indépendamment de sa valeur réelle.
  • La preuve sociale : les gens feront des choses qu'ils ont vu faire par d'autres personnes. Par exemple, un logiciel plébiscité par une célébrité sera mieux perçu par les gens du fait de ce soutien, indépendamment de la qualité du logiciel.
  • L'autorité : les gens auront tendance à obéir à des figures d'autorité, même si on leur demande de commettre des actes répréhensibles. Lors d'une attaque d'ingénierie sociale, cela peut conduire un employé d'une entreprise cible à fournir des informations à une personne qui appelle en se faisant passer pour un agent des forces de l'ordre.
  • L'appréciation : les gens se laissent facilement convaincre par des personnes qu'ils apprécient. Le simple fait d'être agréable et sympathique suffit bien souvent à ce qu'un pirate se fasse accorder un accès spécial.

Les principaux types d'ingénierie sociale

Les cybercriminels utilisent l'ingénierie sociale pour mener efficacement différentes cyberattaques :

  • Le phishing : cette approche consiste à obtenir des informations privées en utilisant des techniques de manipulation. Généralement, le pirate souhaitant mener une attaque par phishing enverra un e-mail qui semble provenir d'une entreprise légitime pour demander l'authentification d'informations et avertir la victime de complications si ces informations ne sont pas fournies. Cette menace conduit la victime à dévoiler des informations sensibles.
  • La technique dite « du point d'eau » : il s'agit d'une stratégie d'ingénierie sociale ciblée qui tire profit de la confiance que les utilisateurs ont dans les sites Web qu'ils consultent régulièrement. La victime se sent en sécurité, alors qu'elle fait des choses qu'elle ne ferait pas dans une situation différente. Le pirate prépare alors un piège destiné à la victime, à un emplacement dans lequel elle a confiance.
  • L'attaque de type « quid pro quo » ou l'échange de bons procédés : un pirate contacte des personnes au hasard dans une entreprise, prétendant appeler pour une raison légitime. Il finira par trouver quelqu'un qui a un vrai problème et sera reconnaissant de l'aide proactive apportée. Le pirate tentera alors d'obtenir des informations sensibles de la victime tout en l'aidant à résoudre son problème.

Comment se protéger des attaques d’ingénierie sociale

Les entreprises disposent de nombreux moyens de défense pour se protéger contre des tentatives d'ingénierie sociale de grande ampleur menées auprès de leurs employés :

  • Créer un cadre de confiance standard : créer un cadre de confiance solide au niveau de chaque employé/collaborateur, en dispensant des formations sur la façon de gérer des informations sensibles.
  • Analyser minutieusement les informations : identifier les informations sensibles et évaluer leur risque d'être exposées à des attaques d'ingénierie sociale et à des défaillances des systèmes de sécurité.
  • Respecter les protocoles de sécurité : mettre en place des protocoles, des politiques et des procédures de sécurité pour gérer les informations sensibles. Former les employés : former les employés aux protocoles de sécurité en lien avec leur emploi.
  • Tests périodiques :créer un cadre est important, mais il est tout aussi essentiel de tester les employés pour s'assurer qu'ils ont bien assimilé les informations. Conduire des tests pour évaluer comment les employés réagissent face à des tentatives de type « ingénierie sociale » peut aider à faire évoluer les formations et les discussions dans le bon sens.

Pourquoi l'ingénierie sociale est importante

Les systèmes humains mis en place pour encadrer les technologies constituent toujours le maillon le plus faible dans la chaîne de sécurité. Porter attention aux détails lors de la création de l'infrastructure de formation et de sécurité peut aider à protéger les entreprises contre les cyberattaques et leurs conséquences.

En savoir plus sur l'ingénierie sociale

Termes associés

Lectures complémentaires

Découvrez comment Barracuda peut vous aider

Barracuda Phishline est l'outil de simulation et de formation le plus avancé au monde pour mesurer la vulnérabilité de votre entreprise face aux e-mails d'hameçonnage et aux attaques par ingénierie sociale (Social Engineering). En aidant vos utilisateurs à développer une compréhension profonde de ce type d'attaques et à devenir une partie de la solution, PhishLine contribue à affiner leurs compétences anti-hameçonnage à l'aide de tests, de rapports et de statistiques complètes.

Des questions sur l'ingénierie sociale ? Contactez-nous dès maintenant !