Pourquoi l’ingénierie sociale reste la principale menace de cybersécurité - et que faire à ce sujet
octobre 2024 par Anna Collard, SVP Stratégie de contenu et Évangéliste chez KnowBe4 AFRICA
L’ingénierie sociale reste la forme la plus répandue de cyberattaque pour une raison : les humains sont plus faciles à pirater que la plupart des machines. En exploitant nos faiblesses psychologiques, de personnalité ou comportementales, les cybercriminels peuvent nous duper pour obtenir un accès non autorisé aux systèmes ou gagner des récompenses financières en trompant leurs victimes. Les attaques d’ingénierie sociale peuvent être menées par divers canaux, y compris les e-mails (hameçonnage), les appels téléphoniques, les SMS, les médias sociaux, les applications de chat, les plateformes de jeux et les vidéoconférences.
La principale raison pour laquelle l’ingénierie sociale est si efficace est qu’elle ne cesse d’évoluer. Il n’y a pas de schéma clair ou cohérent, ce qui signifie que, comme les attaques elles-mêmes, nous devons constamment nous adapter dans notre réponse. Nous ne pouvons pas compter uniquement sur la technologie pour nous aider en raison de l’élément humain impliqué dans l’ingénierie sociale. De plus, l’avancée rapide de l’intelligence artificielle a considérablement modifié le paysage numérique. L’essor des deepfakes, des images et vidéos artificiellement générées mais convaincamment réelles, a encore exacerbé le potentiel de désinformation et de manipulation.
Les outils du métier
Les escrocs excellent dans l’exploitation des émotions humaines et des biais cognitifs pour atteindre leurs objectifs. Ils utilisent souvent l’usurpation d’identité, où ils gagnent votre confiance en prétendant être quelqu’un de familier ou en instillant la peur, vous incitant à agir impulsivement. Cette tactique est particulièrement efficace, car elle peut vous amener à prendre des décisions rapides, comme cliquer sur un lien ou partager des informations sensibles. Une autre stratégie courante consiste à créer un sentiment d’urgence ou à utiliser le principe de rareté pour vous pousser à agir immédiatement. Enfin, ils peuvent également exploiter le concept d’autorité, se faisant passer pour une figure d’autorité pour vous manipuler et obtenir votre obéissance.
Si l’on analyse les données, certains types de personnalité et certaines données démographiques sont plus vulnérables aux menaces d’ingénierie sociale que d’autres. Par exemple, ceux qui sont facilement distraits et impulsifs peuvent être plus faciles à tromper que d’autres. Ceux qui manquent de sommeil, sont stressés et constamment en multitâche peuvent également tomber plus rapidement dans les pièges que ceux qui sont plus calmes, attentifs et en phase avec leur état intérieur.
Ces tactiques ont d’énormes implications pour les entreprises. La conséquence la plus évidente des attaques d’ingénierie sociale est la perte financière pour votre organisation, les violations de données où des informations sensibles sont volées, les violations de la vie privée et les perturbations potentielles de l’activité. L’effet d’une violation majeure de la sécurité peut être dévastateur pour la réputation d’une entreprise, érodant la confiance des clients et pouvant entraîner des responsabilités juridiques.
Défendre votre organisation
Étant donné que les enjeux sont si élevés, que peuvent faire les organisations pour se protéger contre les attaques d’ingénierie sociale ?
Tout d’abord, il y a des solutions technologiques à envisager, telles que les filtres de messagerie, qui peuvent détecter et bloquer les tentatives d’hameçonnage avant qu’elles n’atteignent les employés. L’authentification multifactorielle résistante à l’hameçonnage est également une bonne idée car elle ajoute une couche de sécurité, rendant plus difficile pour les attaquants d’obtenir un accès non autorisé. Les entreprises peuvent également mettre en œuvre des analyses du comportement des utilisateurs pour surveiller et analyser les activités des employés afin de détecter les anomalies qui pourraient indiquer un compte compromis.
Mais la technologie seule ne suffit pas. Les entreprises doivent investir dans la bonne formation à la cybersécurité, cultiver une culture de sécurité centrée sur l’humain et des pratiques de sécurité conscientes.
Dans mes recherches, j’ai démontré que les avantages validés de la pleine conscience peuvent avoir un impact positif sur 23 des 33 facteurs identifiés qui rendent les humains vulnérables à l’ingénierie sociale, y compris les facteurs cognitifs, psychologiques, comportementaux et situationnels. Une approche consciente favorise un niveau plus profond de sensibilisation, encourageant les employés à éviter le multitâche et à faire une pause pour remarquer leur environnement interne et externe avant de réagir. Elle développe également des attributs mentaux clés, tels que la concentration, la résilience, l’autorégulation et la clarté.
Pour que cela se produise, un changement transformateur dans la culture organisationnelle est nécessaire, favorisant un ralentissement intentionnel, avec un soutien exécutif promouvant le bien-être des employés plutôt que l’immédiateté. L’intégration de concepts de pleine conscience dans les programmes de formation, tels que la formation à la sensibilisation à l’hameçonnage émotionnel pour les cliqueurs fréquents et la promotion d’une mentalité de confiance zéro, peut aider à améliorer les campagnes de cybersécurité et les efforts de sensibilisation.