Cybersécurité | Vecteurs d’attaque | Le facteur humain | Prévention
La plupart des gens ont déjà entendu le terme « ingénierie sociale ». Mais très peu de gens peuvent imaginer quelque chose de concret à ce sujet. Nous fournissons des informations !
En termes simples, l’ingénierie sociale signifie influencer ou tromper une personne. L’ingénierie sociale joue également un rôle majeur en sécurité informatique.
Mais pourquoi ?
Les hackers sont comme beaucoup de gens. Vous voulez obtenir le résultat maximal avec le moins d’efforts possible. Les attaques contre les ordinateurs, systèmes d’exploitation ou réseaux sont souvent complexes et très étendues. Si les cybercriminels ne peuvent pas exploiter les failles de sécurité existantes dans les logiciels et le matériel, ils doivent fournir beaucoup d’efforts pour mener une attaque efficace contre une entreprise. D’abord, il faut repérer une cible lucrative. Le pare-feu, le VPN et d’autres mécanismes de protection doivent alors être contournés. Il faut trouver des failles et des exploits et, au final, ils doivent fonctionner.
La protection technique que les entreprises appliquent aujourd’hui pour repousser les cyberattaques est relativement élevée. À cet égard, il est assez difficile pour les cybercriminels de surmonter les systèmes et de pénétrer l’intérieur de l’informatique de l’entreprise. Pour atteindre leur objectif, les hackers doivent utiliser des surfaces d’attaque alternatives. L’être humain est dans la ligne de mire et sert de porte d’entrée idéale. Comparé à la défense technique, il y a à peine d’investissement dans le facteur humain.
Les cybercriminels sont conscients de ce risque de sécurité. Ils en profitent et ciblent les employés de l’entreprise. Cela peut se faire directement par appel personnel ou indirectement par e-mail.
Autre chose intéressante : dans son étude récemment publiée, Bitkom confirme qu’un grand nombre d’attaques commencent par l’ingénierie sociale. 41 % des entreprises interrogées ont déclaré qu’il y avait eu de telles tentatives : 27 % des personnes interrogées les ont contactées par téléphone et 24 % par e-mail.
Mais l’objectif est toujours le même. Le pirate veut accéder à des données sensibles, des documents et des informations (par exemple, les identifiants ou les coordonnées bancaires) ou il souhaite entreprendre une action spécifique (par exemple, transférer une somme d’argent)*
C’est facile à expliquer. Les cybercriminels utilisent des méthodes familières pour manipuler les gens. L’ingénierie sociale est rencontrée presque tous les jours. Que ce soit pour gérer des amis, des membres de la famille ou même des inconnus. Par des moyens rhétoriques ou diverses approches psychologiques, les gens peuvent être guidés et motivés à se comporter d’une certaine manière. L’ingénierie sociale peut être décrite comme une arme psychologique.
Vous pouvez en savoir plus sur l’influence du comportement humain dans le cadre de l’ingénierie sociale ici .
Ce faisant, l’autre personne doit être spécifiquement adressée. Selon le personnage, il existe d’autres incitations qui peuvent séduire les hackers. Par exemple, un employé réagit particulièrement à la flatterie, un autre à une appréciation particulière et un autre encore à la pression. Avec les bons stimuli, il est possible pour les cybercriminels d’influencer les personnes afin d’obtenir le résultat souhaité.
En sécurité informatique, l’ingénierie sociale peut se manifester sous des formes très différentes qui ne pourraient pas être plus différentes. En plus du prétexte, du jeu de queue ou de la fraude au PDG, le phishing** est l’un des types les plus répandus.
Dans le phishing, les cybercriminels tentent d’obtenir des informations sensibles et confidentielles à l’aide d’e-mails, de faux sites web ou d’autres moyens. Le phishing touche aussi les employés plus ou moins de manière personnelle. Les campagnes de phishing sont particulièrement efficaces si le contenu de l’email de phishing est adapté à l’destinataire ou si le destinataire se sent interpellé. Selon une étude de la société américaine Proof Points, les crochets suivants ont particulièrement bien fonctionné en 2020/2021 :
Les derniers mois l’ont clairement montré. La menace des attaques de phishing ne cesse d’augmenter. Selon le rapport de l’ENISA, le nombre d’attaques de phishing par e-mail a augmenté de plus de 600 % en un mois au début de 2020. Perseus peut également confirmer que les attaques de phishing augmentent. Une étude publiée par Perseus à la fin de l’été 2020 montre que plus de la moitié des cyberattaques en 2020 étaient dues au phishing.
Vous pouvez télécharger gratuitement l’étude complète sur la cybersécurité au bureau central ici.
La protection durable contre l’ingénierie sociale et les attaques de phishing, entre autres, requiert, un concept de cybersécurité durable. Avec les mêmes ressources qu’une entreprise consacre à la défense technique, elle devrait aussi investir dans le « pare-feu humain ». Persée propose un tel programme de sensibilisation. Grâce à une formation en ligne approfondie, des astuces utiles et, surtout, des simulations automatisées d’emails de phishing, les employés sont spécifiquement sensibilisés aux schémas d’attaque, formés à la gestion des emails de phishing, ce qui augmente de manière notable le niveau de cybersécurité de l’entreprise.
