Les cybercriminels utilisent de plus en plus le « facteur humain », c’est-à-dire l’ingénierie sociale, pour mener à bien leurs cyberattaques. Plusieurs études montrent qu’il ne s’agit pas de simples rumeurs et que l’ingénierie sociale est une technique de cyberattaque efficace : les données de l’étude de sécurité de PurpleSec, par exemple, ont révélé que 98 % des cyberattaques sont basées sur l’ingénierie sociale.

Les cybercriminels ont fait de nos employés la première ligne des cyberattaques : ils les ciblent en utilisant des courriels malveillants, en les trompant avec des appels téléphoniques frauduleux et en manipulant généralement leur comportement.

En formant ses employés aux tactiques et techniques d’ingénierie sociale, une entreprise leur donne les moyens de lutter contre les fraudeurs. Mais certaines bonnes pratiques doivent être suivies pour garantir la réussite d’un programme de formation à l’ingénierie sociale.

Voici le guide de MetaCompliance pour sensibiliser les employés à l’ingénierie sociale :

Qu’est-ce que l’ingénierie sociale ?

L’ingénierie sociale, dans le contexte de la cybersécurité, est une technique ou une série de techniques utilisées pour manipuler un être humain afin qu’il fasse quelque chose de bénéfique pour un cybercriminel.

Les astuces de l’ingénieur social sont nombreuses et peuvent évoluer au fil du temps, les cybercriminels optimisant leurs tactiques. Le but de l’ingénierie sociale est d’inciter les employés (ou le public) à transmettre des données sensibles, telles que des identifiants de connexion, ou à virer de l’argent à un fraudeur, ou encore à commettre une erreur en cliquant sur un lien d’hameçonnage, par exemple.

L’ingénierie sociale est typiquement une technique progressive qui implique :

  • Surveillance: La collecte d’informations est un élément clé d’une cyberattaque par ingénierie sociale. Des informations personnelles et professionnelles sur les employés ciblés sont collectées. Les cibles sont généralement celles qui travaillent dans des domaines tels que la comptabilité ou l’administration informatique.

  • Préparer la cible : Les informations recueillies au cours de la surveillance sont utilisées pour établir des relations avec l’employé cible. Certains fraudeurs vont même jusqu’à appeler l’employé pour créer un lien amical avec lui, le préparant ainsi à l’exploitation.

  • Exploiter la marque: Il s’agit d’un élément clé de la cyberattaque par ingénierie sociale, qui s’appuie sur la relation établie à l’aide des informations recueillies. Cette relation est exploitée pour exécuter l’attaque, par exemple en recevant un nom d’utilisateur et un mot de passe par téléphone ou en ouvrant une pièce jointe infectée.

  • Mener le piratage à son terme: L’étape de l’exploitation prépare le terrain pour mener à bien la partie centrale de la cyberattaque. Un ingénieur social expérimenté sera en mesure de s’éloigner de la cyberattaque en sachant qu’il faudra un certain temps pour que l’employé ou l’entreprise se rende compte qu’ils ont été exploités.

Exemples d’ingénierie sociale

L’ingénierie sociale se présente sous de nombreuses formes qui incluent à la fois la basse technologie, la haute technologie et souvent des hybrides des deux. Quelques exemples illustrent les différentes manières dont nos employés sont manipulés socialement :

Attaque massive d’ingénierie sociale contre Google et Facebook

Le Business Email Compromise (BEC) est une escroquerie qui utilise l’ingénierie sociale pour inciter un employé à envoyer un paiement de l’entreprise au fraudeur, ce qui implique souvent de grosses sommes d’argent.

En 2019, une vaste escroquerie de type BEC a dérobé environ 100 millions de dollars à des entreprises, dont Google et Facebook. Les escrocs ont créé une fausse entreprise avec un nom similaire à celui d’une entreprise légitime avec laquelle les entreprises ciblées traitaient. À partir de là, ils ont envoyé des courriels de spear-phishing à certains employés et agents des entreprises victimes.

Pour savoir quels employés cibler, les fraudeurs utilisent généralement des techniques de surveillance afin de comprendre comment manipuler au mieux le comportement de l’employé ciblé.

Arnaque Microsoft 365

Des marques telles que Microsoft 365 sont souvent utilisées pour manipuler les employés et les piéger.

Une attaque récente impliquant Microsoft 365 a été créée pour voler les identifiants de connexion des employés. Dans cette cyberattaque, les fraudeurs ont utilisé des techniques pour contourner les passerelles de messagerie, de sorte que les courriels de phishing ont pu se retrouver dans la boîte de réception d’un employé cible, sous la forme d’un courriel Microsoft 365 apparemment légitime. L’e-mail de phishing avait pour objet une « révision de prix » et contenait en pièce jointe une feuille de calcul Excel. L’astuce réside dans le fait que la « feuille de calcul » est en fait un fichier .html déguisé. Le fichier redirigeait les personnes qui l’ouvraient vers un site web qui leur demandait d’entrer leurs identifiants de connexion à Microsoft 365.

5 bonnes pratiques pour sensibiliser les employés à l’ingénierie sociale

Une fois que vous êtes prêt à sensibiliser vos employés à l’ingénierie sociale, il est utile d’utiliser ces cinq bonnes pratiques :

Première meilleure pratique : comprendre le réseau complexe de l’ingénierie sociale

Construisez une base de connaissances sur les tactiques et les techniques d’ingénierie sociale. Cela constituera la base de votre programme de formation. L’ingénierie sociale repose sur la psychologie humaine. Il est donc essentiel de comprendre comment les fraudeurs manipulent le comportement humain pour empêcher une cyberattaque réussie basée sur cette méthode.

Par conséquent, il est plus complexe de former les employés à reconnaître une tentative d’ingénierie sociale que de les sensibiliser à l’hameçonnage ; toutefois, les simulations d’hameçonnage devraient faire partie d’un programme plus large de formation à l’ingénierie sociale.

Un programme complet de formation à l’ingénierie sociale devrait également inclure le fonctionnement de ces escroqueries et les types de comportements ou de situations qu’elles manipulent, par exemple la confiance, l’urgence, les relations, etc.

Deuxième meilleure pratique : formation à la sensibilisation à la sécurité +SEE

Les programmes de formation à la sensibilisation générale à la sécurité devraient toujours inclure une formation à l’ingénierie sociale. L’hygiène de sécurité et la sensibilisation générale à l’hameçonnage sont autant d’éléments qui permettent d’atténuer les effets d’une tentative d’ingénierie sociale réussie. Ajoutez une formation à l’ingénierie sociale (SEE) à votre programme général de sensibilisation à la sécurité afin de rendre les astuces d’ingénierie sociale visibles pour tous.

Troisième meilleure pratique : Apprentissage intelligent

Les êtres humains ont tendance à mieux apprendre lorsqu’ils sont formés à l’aide de techniques interactives. La recherche a identifié certains critères pour un apprentissage efficace :

  1. Faites en sorte que les leçons soient brèves mais informatives : développez-les et répétez-les régulièrement pour un apprentissage optimal.
  2. Le fait d’intercaler ou de passer d’une idée à l’autre au fur et à mesure de l’apprentissage crée des pauses naturelles entre les sessions, ce qui contribue à renforcer les idées. Veillez également à mettre en évidence les liens entre les différents domaines de la cybersécurité et les tactiques d’ingénierie sociale afin d’aider les employés à comprendre la complexité de ces types d’attaques.
  3. Utilisez des « exemples concrets » pour que l’apprentissage reste dans l’esprit de l’employé.

Quatrième meilleure pratique : Rincer et répéter

L’ingénierie sociale, comme d’autres méthodes d’attaque en matière de cybersécurité, est constamment optimisée par les cybercriminels. Veillez à organiser régulièrement des sessions de formation sur l’ingénierie sociale dans le cadre de votre programme de sensibilisation à la sécurité. Automatisez votre campagne de sensibilisation à la sécurité pour améliorer et optimiser la formation.

Cinquième meilleure pratique : Faites de votre lieu de travail une zone de tolérance zéro en matière d’ingénierie sociale

En renforçant la confiance de votre personnel dans la détection et la prévention d’une cyberattaque par ingénierie sociale, votre organisation développera une culture de sensibilisation à la sécurité.

Cette culture renforcera votre personnel contre les cyberattaques, même si l’ingénierie sociale est complexe et joue sur les peurs, le comportement, l’urgence et les relations des employés. Cette culture s’étendra également à leur vie privée, ce qui améliorera leur sécurité générale et contribuera à réduire les risques dans les environnements de travail à domicile.

Dans les cyberattaques qui utilisent des techniques d’ingénierie sociale, l’être humain est la vulnérabilité de la sécurité. En donnant à votre personnel les moyens de détecter les tentatives d’ingénierie sociale, vous renforcez votre entreprise et vos employés.

Risque de ransomware