Ingénierie sociale : votre entreprise est menacée par des fautes humaines

Malgré l’émergence des technologies d’automatisation et d’intelligence artificielle, la grande majorité des activités commerciales reposent sur une forme d’interaction ou de connexion entre des personnes. Les employés représentent le plus grand atout des entreprises, mais restent également le maillon faible de chaque organisation en matière de défense contre les cyberattaques. Vous pouvez mettre en œuvre la technologie de pare-feu la plus récente et employer un directeur des systèmes d’information exceptionnel, si tous les membres du personnel ne sont pas au courant des types d’escroqueries que les cybercriminels tentent de mettre en œuvre, il est probable que votre organisation puisse être victime d’une attaque d'ingénierie sociale.

Qu'est-ce que l'ingénierie sociale?

En termes simples, l'ingénierie socialeest une forme de manipulation psychologique qui cible l'utilisateur plutôt que l'ordinateur lui-même - et qui s'avère très efficace pour les cybercriminels. Elle se sert de nos caractéristiques humaines universelles de peur, de confiance et de conformité pour accéder à l'information, le tout sans pirater de système ni déchiffrer de code ou de mot de passe.

Votre première ligne de défense peut consister à investir dans un logiciel antivirus et un pare-feu (matériel et logiciel) dotés de fonctionnalités de détection des intrusions - cela serait déjà un très bon début. Mais ces dispositifs ne vous protégeront pas des défaillances humaines, comme un manque d'attention porté aux détails ou une nature trop confiante.

Répercussions sur votre entreprise

Si les organisations ne prennent pas de mesures pour éduquer et former leurs employés sur les tactiques d'ingénierie sociale, il est plus probable qu'elles soient victimes d'escroquerie, qu'elles soient piratées, qu'elles subissent une atteinte aux données et qu'elles deviennent victimes de virements électroniques frauduleux. Ces événements peuvent être extrêmement coûteux et nuire à la réputation de l'entreprise. Et cela peut se répéter si les méchants trouvent la « bonne victime ». En plus des incidences financières, être victime d'une arnaque n'est pas agréable et peut affecter émotionnellement vos employés.

Tactiques d'hameçonnage

L'hameçonnage est une technique par laquelle les cybercriminels envoient de faux courriels, textes ou sites Web qui ressemblent à de la correspondance légitime pour manipuler les employés afin d'accéder aux systèmes ou aux informations de l'entreprise. Des tactiques d'ingénierie sociale sont utilisées pour exploiter les émotions des employés afin d'avoir accès à des renseignements ciblés.

Un hameçonnage se produit généralement lorsqu'un pirate informatique met la main sur la structure des adresses électroniques d'une organisation, pour ensuite générer une liste de noms d'employés de l'entreprise, généralement sur LinkedIn ou sur le site Web de l'entreprise.

De même, un cybercriminel pourrait obtenir les informations de connexion de l'adresse de messagerie d'un dirigeant de l'entreprise et envoyer des courriels aux employés directement à partir de ce compte. Il pourrait alors demander des renseignements confidentiels, ou encore leur demander d’envoyer des virements électroniques au nom de la société. Dans de nombreux cas, l’employé recevant ce message électronique estimera que la demande est légitime et fournira les renseignements confidentiels ou virera les fonds.

Une autre forme d'hameçonnage prend la forme de courriels envoyés par des pirates - qui semblent à nouveau provenir d’une adresse électronique légitime - contenant un lien ou une pièce jointe.

Ce lien peut avoir différentes fonctions : il peut rediriger vers une page Web comportant un formulaire leur demandant de fournir des renseignements personnels, il peut inclure des logiciels espions pour recueillir des renseignements sur la société (et ses employés et clients) ou comprendre un rançongiciel en pièce jointe qui s’active après le téléchargement. Ce fichier chiffrera les fichiers présents sur l'ordinateur de l'utilisateur et ne les déchiffrera que lorsqu'une rançon sera versée sur le compte bancaire du criminel.

Conseils pour protéger votre entreprise

L'ingénierie sociale peut être prévenue par le biais de la formation des employés. Votre première ligne de défense peut consister à investir dans un logiciel antivirus et un pare-feu (matériel et logiciel) dotés de fonctionnalités de détection des intrusions - cela serait déjà un très bon début. Mais ces dispositifs ne vous protégeront pas des défaillances humaines, comme un manque d'attention porté aux détails ou une nature trop confiante. C'est pourquoi il est si important de former les employés sur l'ingénierie sociale et l’hameçonnage, ainsi que sur les tactiques particulières auxquelles ils doivent porter attention. Cela peut aider à favoriser une culture dans laquelle les employés sont alertes et prudents avec les informations, tant en ligne qu'en personne.

Encouragez les employés à suivre la démarche ci-dessous pour réduire les risques d'ingénierie sociale au sein de votre organisation :

• Évitez d'ouvrir des courriels provenant d'adresses inconnues.
• Créez des mots de passe plus complexes et plus longs - et changez-les régulièrement.
• Évitez les sites Web ainsi que les applications Web et pour téléphones intelligents qui ne sont pas dignes de confiance.
• Réduisez le nombre de données biographiques que vous divulguez en ligne (par exemple, votre date de naissance sur les médias sociaux).
• En ligne, ne fréquentez que des sites de confiance.
• Ne cliquez pas sur les liens qui vous sont envoyés. Ouvrez plutôt la page Web manuellement en saisissant l'adresse pour vous assurer que vous vous rendez sur un site légitime et non sur un site d’hameçonnage.
• Déconnectez-vous de Facebook et des autres réseaux sociaux lorsque vous ne les utilisez pas et avant de fermer la fenêtre de votre navigateur.
• Ne choisissez pas « enregistrer mon mot de passe » ou « se souvenir de moi » lorsque vous vous connectez à n'importe quel type de compte, car ces données d'identification peuvent être volées par des pirates.
• Respectez le protocole de la société en cas de « nouveau fournisseur/changement de compte » pour vérifier l'identité des clients avant d'envoyer des virements électroniques dépassant un seuil prédéterminé. Cela pourrait impliquer d’imposer aux employés d'appeler les fournisseurs (en utilisant le numéro de téléphone inscrit dans vos dossiers et non celui qui est inscrit sur le courriel) avant de procéder au virement.