En France et depuis un an, les entreprises doivent faire face à une explosion des attaques de type ingénierie sociale.
51 %, c’est l’augmentation des incidents de cybersécurité enregistrés par les entreprises françaises au cours des 12 derniers mois. Concrètement, cela s’est traduit en 2015 par une moyenne de 21 incidents quotidiens subis par les PME.
Victimes de l’ingénierie sociale
Ces attaques de cybersécurité appartiennent principalement au genre de l’ingénierie sociale. Derrière cette expression se cache l’un des volets les plus obscures des pratiques qui visent à modifier à plus ou moins grande échelle le comportement de groupes sociaux. L’un des aspect de cette pratique porte sur la manipulation psychologique visant à obtenir des informations confidentielles.
En cybersécurité, cela se traduit par des manipulations qui exploitent la faille humaine du système d’information. L’internaute reçoit une information, généralement un email, dont le contenu est soit destiné à attirer son attention, soit se cache sous une identité usurpée, et l’invite à cliquer sur un lien… qui ouvre une porte vers le PC ou le smartphone que le pirate peut exploiter pour pénétrer le SI et y dérober des données.
Tromper la vigilance
Pour tromper la vigilance de l’internaute, l’ingénierie sociale peut prendre des formes diverses. L’une des plus efficaces est le courriel d’une banque ou d’un service financier, qui reprend les formats, logos et contenus d’un courriel qui pourrait être émis par le service, qui incite à se connecter au site de ce dernier, mais dont le lien conduit vers un faux site pirate.
Une autre forme d’ingénierie sociale est plus intrusive. Elle repose sur ce que l’on nomme aujourd’hui l’hameçonnage vocal. Profitant de l’accès quasi gratuit à la téléphonie sur IP, cumulée avec la facilité d’obtenir des noms et des adresses sur les réseaux sociaux, les pirates appellent les entreprises et obtiennent des contacts directs avec les employés. Un contact auquel nous sommes encore peu accoutumés pour imaginer qu’il cache des menaces. L’employé n’y est pas préparé, il cède facilement aux requêtes de son interlocuteur. C’est ainsi que se pratiquent de nombreuses arnaques dites ‘au Président’.
Ces ‘faux’ paraissent de plus en plus ‘vrais’. L’ingénierie sociale atteint aujourd’hui un niveau de réalisme tel qu’à moins d’être très attentif il pourrait tromper la plupart d’entre nous, même les mieux informés. C’est ainsi que l’ingénierie sociale représente aujourd’hui un risque majeur pour les internautes comme pour les entreprises.
Comment se prémunir de l’ingénierie sociale
L’armada classique des outils de protection, antivirus à jour, parefeu, certificats électroniques, ne permettent pas de se protéger de toutes les menaces liées à l’ingénierie sociale, qui savent pour les attaques les plus sophistiquées se rendre quasi indétectables.
Pour traiter le plus grand risque, l’humain, les organisations doivent donc se tourner vers la sensibilisation et l’éducation des utilisateurs. C’est un travail d’information et de formation continu, pour que l’internaute comprenne les méthodes utilisées par les pirates, et mesure les risques qu’il fait encourir à son entreprise comme à lui même. Reste un point faible à toute stratégie de cybersécurité, l'humain qui sera toujours le maillon faible...
Image d’entête 33668154 @ iStock artenot