L’ingénierie sociale, un risque majeur pour les entreprises samariennes
Les êtres humains sont imparfaits. Nos cerveaux sont régis par un mélange complexe d’émotions et de processus de pensées rationnelles, ce qui nous rend vulnérables à ceux qui veulent nous exploiter. Cela signifie que nous pouvons être piratés.
Modus operandi : l’ingénierie sociale est une stratégie de fraude non technique utilisée par les cybercriminels. Elle ne requiert aucune compétence informatique en matière de piratage puisqu’elle s’appuie sur les interactions sociales et la confiance humaine : il s’agit ici d’un piratage psychologique. Si l’erreur humaine est l’une des causes de la plupart des cyberattaques, cette faille est particulièrement exploitée dans le cas de l’ingénierie sociale. Pour le cybercriminel, un être humain est beaucoup plus facile à pirater que le réseau d’une entreprise.
Qui sont les pirates ? Espions, employés mécontents, escrocs, courtiers de l’information, gens ordinaires… Ils sont bons dans ce qu’ils font et maîtrisent l’art de recueillir des informations. Ils sont pleinement conscients que leurs victimes ne sont pas aussi bien informées qu’elles devraient l’être.
Plusieurs schémas types
La fraude au président : cette fraude passe par l’usurpation d’identité d’une figure d’autorité pour encourager la victime à céder et effectuer en urgence un virement important à un tiers pour obéir à un prétendu ordre du dirigeant, sous prétexte d’une dette à régler, de provision sur un contrat, etc.
La fraude au changement de RIB : appelée aussi « fraude au fournisseur », consiste pour les escrocs à s’adresser aux services de comptabilité d’une entreprise en se faisant passer pour un fournisseur. Le faux fournisseur demande le paiement de factures sur un compte bancaire autre que le compte habituel.
Le phishing : l’hameçonnage consiste à faire passer pour légitime un mail/appel/sms frauduleux afin de tromper la cible et déployer d’autres types d’attaque sur son système informatique. Les courriels d’hameçonnage en sont le meilleur exemple. Il est assez facile de concevoir un courriel qui semble légitime, porteur du logo de l’organisation usurpée. Le problème est que le lien ne vous renvoit pas sur la page web authentique de l’établissement que la victime perçoit, mais sur un « faux » site web imitant. Les pièces jointes accompagnant le courriel peuvent également contenir une charge malveillante.
Réseaux sociaux : les criminels se servent des réseaux sociaux pour collecter les informations nécessaires pour créer une histoire de toute pièce. La plupart des utilisateurs ne fait que très rarement attention aux types de données personnelles qu’ils partagent sur les réseaux sociaux : les personnes avec qui ils sont fréquemment en contact, leur lieu de vacances préféré, des informations spécifiques sur leur travail, leur niveau d’étude. Cependant, tous ces éléments peuvent donner des renseignements très précis sur un individu et en faire une cible facile.
Comment défendre votre entreprise contre l’ingénierie sociale ?
Sensibiliser vos collaborateurs : les entreprises se reposent trop souvent sur les technologies de sécurité et sous estiment l’impact qu’un « bouclier humain » peut avoir sur la sécurité. La prévention et la vigilance sont deux bons moyens pour se prémunir contre l’ingénierie sociale.
Instaurer des procédures : appliquez des procédures de vérification et des signatures multiples pour les paiements internationaux.
Lutter contre le phishing : vérifiez minutieusement l’adresse électronique (caractère par caractère) des courriels suspects. Les fautes d’orthographe dans les emails et les erreurs dans les noms et les postes doivent vous alarmer. En cas de demande particulière et/ou sensible, entrez l’adresse électronique habituelle du partenaire ou de l’expéditeur habituel de ce type de demande au lieu d’utiliser le bouton « Répondre ».
Sécurité Économique et Protection des Entreprises
Alerte sécurité entreprises, vendredi 19 mars 2021, Gendarmerie de la Somme
Focus cybersécurité
À l’initiative du Conseil régional, Hauts-de-France Innovation Développement propose un accompagnement à la cybersécurité. Il s’agit d’un diagnostic destiné aux PME implantées en Hauts-de-France qui s’interrogent sur leur vulnérabilité informatique et les mesures de sécurité à mettre en œuvre pour y répondre.
VOTRE CONTACT
Caroline WESTE
Référente performance
+33 (0)3 59 39 10 06