L’ingénierie sociale est une technique de manipulation utilisée par les cybercriminels pour inciter les gens à partager des informations confidentielles.
Elle mise sur l’instinct fondamental de l’être humain à faire confiance pour voler des informations personnelles et corporatives qui peuvent ensuite être utilisées pour commettre d’autres cybercrimes.
Par exemple, un cybercriminel peut utiliser le harponnage pour convaincre un employé de divulguer des mots de passe de l’entreprise. Ceux-ci sont ensuite utilisés pour accéder aux réseaux de l’entreprise, voler des données et installer un maliciel.
Pour que le cybercriminel gagne la partie, il suffit d’un courriel, d’un appel téléphonique ou d’un message texte semblant provenir d’un collègue, d’un ami ou d’une compagnie connue. Dans son message, le cybercriminel peut utiliser un ton pressant pour convaincre sa victime de mettre à jour ses informations bancaires. Ou préciser que pour réclamer son prix, elle doit fournir ses informations de carte de crédit.
Il est difficile de se défendre contre l’ingénierie sociale, car la nature humaine est imprévisible. Il est impossible de savoir qui tombera dans le piège d’une attaque d’ingénierie sociale. Les cybercriminels espèrent prendre leurs victimes au dépourvu, au moment où elles relâchent leur vigilance face aux cyberattaques.
Livre blanc
Comment protéger vos données contre l’ingénierie sociale
Apprenez à détecter les tactiques et les menaces courantes d’ingénierie sociale (social engineering) et à protéger les données confidentielles contre les cybercriminels.
Pourquoi l’ingénierie sociale est-elle si dangereuse?
L’ingénierie sociale est dangereuse parce que les gens font des erreurs. Même si les victimes savent qu’elles doivent se méfier des courriels qui promettent des rabais ou des appels téléphoniques qui les menacent d’être incarcérés sur-le-champ s’ils ne fournissent pas leurs données fiscales – il arrive d’être pris au dépourvu.
Le succès de l’ingénierie sociale repose sur la nature humaine – être occupé, ne pas faire attention, être trop confiant, complaisant et simplement oublier les bases de la sensibilisation à la cybersécurité. Il n’est pas rare qu’une personne soit victime à plus d’une reprise d’une attaque d’ingénierie sociale.
Pour un cybercriminel, un être humain est beaucoup plus facile à pirater que le réseau d’une entreprise. C’est pour cette raison qu’il est important de miser sur une formation en sensibilisation à la cybersécurité axée sur les personnes. En mettant l’accent sur vos employés, vous pouvez leur offrir l’éducation, les ressources et les outils nécessaires pour maintenir leur vigilance face à l’ingénierie sociale.
Comment l’ingénierie sociale se produit-elle?
Il existe 10 techniques communes d’attaques d’ingénierie sociale :
1. Hameçonnage
L’hameçonnage exploite des tactiques incluant des courriels, des sites Web et des messages textes trompeurs pour voler des informations personnelles et corporatives confidentielles. Le succès des criminels utilisant ces tactiques réside dans le fait qu’ils prennent soin de se dissimuler derrière des courriels et des sites Web qui semblent familiers à la victime visée.
2. Harponnage
Le harponnage est un cybercrime qui utilise les courriels pour mener des attaques ciblées contre des individus et des entreprises. Les criminels mettent en place des tactiques ingénieuses pour recueillir des données personnelles sur leurs cibles pour ensuite envoyer des courriels qui semblent familiers et dignes de confiance.
3. Appâtage
L’appâtage se base sur le désir humain de récompense. Il s’agit d’un type d’attaque d’ingénierie sociale qui peut survenir en ligne et en personne et qui promet quelque chose à la victime en échange d’une action. Par exemple, brancher une clé USB ou télécharger une pièce jointe en échange d’un accès à vie à des films gratuits. L’ordinateur, et potentiellement le réseau, est ensuite infecté par un logiciel qui peut capturer les données d’accès ou envoyer de faux courriels.
4. Talonnage
Le talonnage est une technique d’ingénierie sociale qui mise sur la confiance pour accéder physiquement à un bâtiment ou à la zone sécurisée d’un bâtiment. Le criminel peut simplement entrer par une porte ouverte en suivant quelqu’un de près ou demander l’accès en prétendant avoir oublié sa carte magnétique. Cette arnaque met l’emphase sur le besoin de prêter attention aux gens qui traînent près de la porte et de ne pas hésiter à demander une identification.
5. Appâtage
L’appâtage se base sur le désir humain de récompense. Il s’agit d’un type d’attaque d’ingénierie sociale qui peut survenir en ligne et en personne et qui promet quelque chose à la victime en échange d’une action. Par exemple, brancher une clé USB ou télécharger une pièce jointe en échange d’un accès à vie à des films gratuits. L’ordinateur, et potentiellement le réseau, est ensuite infecté par un logiciel qui peut capturer les données d’accès ou envoyer de faux courriels.
6. Attaque de point d’eau
L’attaque de point d’eau (Water-holing) cible un groupe d’utilisateurs ainsi que les sites Web qu’ils visitent fréquemment. Le cybercriminel explore ces sites Web à la recherche d’une faille de sécurité puis l’infecte avec un maliciel. L’un des membres du groupe ciblé est éventuellement contaminé par le maliciel. Cette technique d’ingénierie sociale est très spécifique et difficile à détecter.
7. Hameçonnage vocal
L’hameçonnage vocal utilise la messagerie vocale pour convaincre les victimes qu’elles doivent agir rapidement si elles ne veulent pas avoir de problèmes avec la justice ou courir un risque. Par exemple, un criminel pourrait laisser un message vocal incitant la victime à réinitialiser ses informations bancaires parce que son compte a été piraté.
8. Prétexter
Il s’agit d’une technique d’ingénierie sociale qui utilise une fausse identité pour amener les victimes à partager des informations. Par exemple, le cybercriminel peut savoir que la victime a récemment acheté un article chez Apple. Il lui enverra donc un courriel en prétextant être un représentant du service à la clientèle d’Apple qui a besoin de confirmer ses informations de carte de crédit.
9. Contrepartie
L’arnaque de la contrepartie (ou quid pro quo) compte sur un échange d’information pour convaincre la victime d’agir. Cette technique d’ingénierie sociale offre un service à la victime en échange d’un bénéfice. Une technique commune implique que le criminel se fasse passer pour un employé du soutien informatique. Il appelle les victimes ayant ouvert des tickets d’assistance technique et leur promet une solution rapide si elles désactivent leur logiciel antivirus ou confirment leurs données d’accès.
10. Maliciel
Le maliciel est utilisé pour amener les victimes à payer pour éliminer un maliciel, un virus ou un autre logiciel contaminé de leur ordinateur. On leur fait croire qu’il y a un virus ou un maliciel sur leur ordinateur et qu’il sera retiré en échange d’une somme d’argent. Selon l’arnaque, le criminel s’en tient à voler les informations de carte de crédit de la victime ou en profite pour installer également un vrai maliciel ou rançongiciel sur l’ordinateur.
Pour réussir, les attaques d’ingénierie sociale ont besoin d’une seule chose : la confiance. Il est essentiel que vos employés sachent reconnaître les techniques d’ingénierie sociale.
Comment prévenir les attaques d’ingénierie sociale
Investissez dans votre personnel. Mettez l’emphase sur la sensibilisation à la cybersécurité pour réduire le risque humain. Profitez des outils disponibles gratuitement comme les simulations d’hameçonnage, les simulations de rançongiciel et l’évaluation de la cybersécurité pour renforcer votre organisation.
Investissez dans votre personnel. Mettez l’emphase sur la sensibilisation à la cybersécurité pour réduire le risque humain. Profitez des outils disponibles gratuitement comme les simulations d’hameçonnage, les simulations de rançongiciel et l’évaluation de la cybersécurité pour renforcer votre organisation.
Informez votre équipe des différents types d’arnaques d’ingénierie sociale. Utilisez des exemples réels pour montrer à quel point il est facile d’être pris au dépourvu par l’ingénierie sociale.
Informez votre équipe des différents types d’arnaques d’ingénierie sociale. Utilisez des exemples réels pour montrer à quel point il est facile d’être pris au dépourvu par l’ingénierie sociale.
Dans le but d’encourager vos employés à changer leurs comportements, formez des cyber héros dédiés à garder votre entreprise en cybersécurité.
Dans le but d’encourager vos employés à changer leurs comportements, formez des cyber héros dédiés à garder votre entreprise en cybersécurité.
Créez et favorisez un environnement propice au changement de comportement. Créez un environnement de travail qui facilite l’apprentissage et encourage la sensibilisation à la sécurité.
Créez et favorisez un environnement propice au changement de comportement. Créez un environnement de travail qui facilite l’apprentissage et encourage la sensibilisation à la sécurité.
Consultez The Human Fix to Human Risk pour découvrir les étapes qui vous permettront de développer un programme de sensibilisation à la sécurité efficace et favoriser la proactivité chez vos employés.
Consultez The Human Fix to Human Risk pour découvrir les étapes qui vous permettront de développer un programme de sensibilisation à la sécurité efficace et favoriser la proactivité chez vos employés.
Tirez avantage d’un modèle flexible de formation en sensibilisation à l’ingénierie sociale qui propose des animations vidéos, de la formation interactive en ligne, des services de sécurité gérés, des modules de microlearning et des simulations d’hameçonnage pour offrir un support en continu.
Tirez avantage d’un modèle flexible de formation en sensibilisation à l’ingénierie sociale qui propose des animations vidéos, de la formation interactive en ligne, des services de sécurité gérés, des modules de microlearning et des simulations d’hameçonnage pour offrir un support en continu.
Effectuez des communications et des campagnes en continu sur l’ingénierie sociale, la cybersécurité, l’hameçonnage, et les risques inhérents aux courriels, aux URL, aux pièces jointes, aux appels téléphoniques et aux êtres humains.
Effectuez des communications et des campagnes en continu sur l’ingénierie sociale, la cybersécurité, l’hameçonnage, et les risques inhérents aux courriels, aux URL, aux pièces jointes, aux appels téléphoniques et aux êtres humains.
Utilisez des formations de sensibilisation à la sécurité et des plateformes de simulation éprouvées pour fournir un enseignement stimulant et efficace.
Utilisez des formations de sensibilisation à la sécurité et des plateformes de simulation éprouvées pour fournir un enseignement stimulant et efficace.
Livre blanc
Le guide de la sensibilisation à la sécurité centrée sue les personnes
La formation sur la sensibilisation à la cybersécurité centrée sur les personnes est votre meilleure ligne de défense contre les attaques d’ingénierie sociale.
Qu’est-ce que la simulation d’hameçonnage?
Une simulation d’hameçonnage est la meilleure façon de sensibiliser les utilisateurs sur les risques posés par l’hameçonnage et l’ingénierie sociale. Elle permet d’identifier les employés les plus vulnérables aux cybercrimes commis à l’aide des techniques d’ingénierie sociale.
Il s’agit d’une composante essentielle d’un programme complet de formation en sensibilisation à la cybersécurité.
Les simulations d’hameçonnage en temps réel constituent une façon rapide et efficace d’éduquer les gens et d’accroître la vigilance face aux menaces de cybersécurité. Les participants constatent d’eux-mêmes comment l’hameçonnage, le harponnage, les maliciels, les faux sites Web, les courriels et les pièces jointes peuvent être utilisés pour voler des données personnelles et corporatives.
Comment les simulations d’hameçonnage peuvent aider à prévenir les attaques d’ingénierie sociale?
Les simulations d’hameçonnage vous permettent de démontrer à vos employés à quel point il est facile de tomber dans le piège de l’ingénierie sociale.