Parmi les attaques les plus en vogue, on retrouve l’ingénierie sociale, ou social
engineering, qui peut prendre plusieurs formes, comme par exemple les célèbres cas
de « fraude au président » ou encore les « ransomware ». Les attaques par ingénierie
sociale ciblent un maillon qui est bien souvent négligé dans les stratégies de
sécurisation informatique : l’humain. Le but est de tromper la vigilance d’un
employé, en se faisant passer pour un prestataire ou une personne interne à
l’organisation, afin d’obtenir l’accès à des données confidentielles, un virement
bancaire, ou encore de pénétrer le réseau de l’entreprise pour crypter les données
et exiger une rançon. L’ingénierie sociale peut ainsi être utilisée seule, en
incitant par exemple un employé à effectuer une opération bancaire. Mais elle peut
aussi s’inscrire dans le cadre d’une attaque informatique plus globale. En se
faisant passer pour une personne interne, le pirate peut envoyer un email –
visiblement digne « de confiance » -contenant un lien de phishing, un cryptolocker
ou encore une pièce jointe frauduleuse afin d’infester le réseau.

Pour mener à bien ces attaques, les hackers regroupent des informations trouvées sur
les sites des entreprises mais aussi sur les différents réseaux sociaux afin de
pouvoir imiter au mieux l’employé ou le prestataire dont l’identité est usurpée.

Cela leur permet de tromper la vigilance des employés ciblés et de les rendre ainsi
complices d’actes frauduleux. Pour minimiser les risques, les entreprises peuvent
suivre trois règles d’or.

Règle n°1 : éduquer ses collaborateurs

Même avec les meilleures solutions de cyber-sécurité en place, si l’humain ne suit
pas, le réseau restera vulnérable. Chaque entreprise, doit donc avant toute chose
éduquer ses collaborateurs sur les différentes techniques utilisées par les pirates
informatiques. Connaître son ennemi permet d’adapter son comportement et de
reconnaître les premiers signes – aussi minimes soit-il.

Quelques consignes sont incontournables : vérifier l’adresse email de l’expéditeur,
s’assurer que tous les éléments corporate de l’entreprise y figurent, ne pas cliquer
sur un lien suspect, et, si un doute existe, appeler directement le collaborateur
pour confirmer qu’il s’agit bien d’une requête légitime.

Des ateliers peuvent être mis en place, en interne ou avec l’aide d’un prestataire
de sécurité, pour permettre aux employés d’effectuer des exercices ludiques autour
de cas simulés.

Règle n°2 : adopter des solutions de filtrage email efficaces

Les attaques par ingénierie sociale sont dans la grande majorité des cas réalisées
par email. Une bonne solution de filtrage peut donc permettre de neutraliser
certaines de ces attaques avant qu’elles n’atteignent les boites mails. De telles
solutions permettent de scanner le contenu, avant qu’il ne soit reçu par
l’utilisateur, afin de découvrir d’éventuels liens ou pièces jointes corrompus.

Règle n°3 : mettre en place une gouvernance des données

La gouvernance consiste à définir clairement les périmètres de chaque collaborateur,
afin de savoir à quelle donnée il aura ou non accès. Différents niveaux sont mis en
place, par exemple, l’accès aux données stratégiques et confidentielles de
l’entreprise n’est autorisé qu’aux personnes travaillant dessus.

L’ingénierie sociale a parfois pour vocation, non pas de propager une attaque
informatique mais simplement de pousser un des collaborateurs à effectuer une
action, comme par exemple un virement, l’envoi de fichiers confidentiels ou encore
des coordonnées bancaires. Dans ce type de scénario, une bonne gouvernance des
données peut protéger l’entreprise puisque le collaborateur ciblé n’aura pas
forcément accès aux données. Il devra donc passer par d’autres collaborateurs,
maximisant ainsi le risque que quelqu’un découvre la supercherie.

L’important, pour les PME comme pour les grands groupes, est donc de mettre en place
des solutions de cyber-sécurité efficaces, mais aussi de réfléchir à l’ensemble de
leur infrastructure afin de minimiser les risques d’attaques. Enfin, il faut – avant
toute chose – éduquer ses collaborateurs et instaurer une véritable culture de la
cyber-sécurité.