Social engineering : 3 règles d’or pour contrer les hackers

Les attaques informatiques sont nombreuses. Celles ciblant des grands groupes ou des gouvernements font régulièrement la une des journaux. Pourtant la cible privilégiée des hackers restent les PME.

Parmi les attaques les plus en vogue, on retrouve l’ingénierie sociale, ou social engineering, qui peut prendre plusieurs formes, comme par exemple les célèbres cas de « fraude au président » ou encore les « ransomware ». Les attaques par ingénierie sociale ciblent un maillon qui est bien souvent négligé dans les stratégies de sécurisation informatique : l’humain. Le but est de tromper la vigilance d’un employé, en se faisant passer pour un prestataire ou une personne interne à l’organisation, afin d’obtenir l’accès à des données confidentielles, un virement bancaire, ou encore de pénétrer le réseau de l’entreprise pour crypter les données et exiger une rançon. L’ingénierie sociale peut ainsi être utilisée seule, en incitant par exemple un employé à effectuer une opération bancaire. Mais elle peut aussi s’inscrire dans le cadre d’une attaque informatique plus globale. En se faisant passer pour une personne interne, le pirate peut envoyer un e-mail – visiblement digne « de confiance » -contenant un lien de phishing, un cryptolocker ou encore une pièce jointe frauduleuse afin d’infester le réseau.

Pour mener à bien ces attaques, les hackers regroupent des informations trouvées sur les sites des entreprises mais aussi sur les différents réseaux sociaux afin de pouvoir imiter au mieux l’employé ou le prestataire dont l’identité est usurpée.

Cela leur permet de tromper la vigilance des employés ciblés et de les rendre ainsi complices d’actes frauduleux. Pour minimiser les risques, les entreprises peuvent suivre trois règles d’or.

Règle n°1 : éduquer ses collaborateurs

Même avec les meilleures solutions de cyber-sécurité en place, si l’humain ne suit pas, le réseau restera vulnérable. Chaque entreprise, doit donc avant toute chose éduquer ses collaborateurs sur les différentes techniques utilisées par les pirates informatiques. Connaître son ennemi permet d’adapter son comportement et de reconnaître les premiers signes – aussi minimes soit-il.

Quelques consignes sont incontournables : vérifier l’adresse e-mail de l’expéditeur, s’assurer que tous les éléments corporate de l’entreprise y figurent, ne pas cliquer sur un lien suspect, et, si un doute existe, appeler directement le collaborateur pour confirmer qu’il s’agit bien d’une requête légitime.

Des ateliers peuvent être mis en place, en interne ou avec l’aide d’un prestataire de sécurité, pour permettre aux employés d’effectuer des exercices ludiques autour de cas simulés.  

Règle n°2 : adopter des solutions de filtrage e-mail efficaces

Les attaques par ingénierie sociale sont dans la grande majorité des cas réalisées par e-mail. Une bonne solution de filtrage peut donc permettre de neutraliser certaines de ces attaques avant qu’elles n’atteignent les boites mails. De telles solutions permettent de scanner le contenu, avant qu’il ne soit reçu par l’utilisateur, afin de découvrir d’éventuels liens ou pièces jointes corrompus.

Règle n°3 : mettre en place une gouvernance des données

La gouvernance consiste à définir clairement les périmètres de chaque collaborateur, afin de savoir à quelle donnée il aura ou non accès. Différents niveaux sont mis en place, par exemple, l’accès aux données stratégiques et confidentielles de l’entreprise n’est autorisé qu’aux personnes travaillant dessus.

L’ingénierie sociale a parfois pour vocation, non pas de propager une attaque informatique mais simplement de pousser un des collaborateurs à effectuer une action, comme par exemple un virement, l’envoi de fichiers confidentiels ou encore des coordonnées bancaires. Dans ce type de scénario, une bonne gouvernance des données peut protéger l’entreprise puisque le collaborateur ciblé n’aura pas forcément accès aux données. Il devra donc passer par d’autres collaborateurs, maximisant ainsi le risque que quelqu’un découvre la supercherie.  

L’important, pour les PME comme pour les grands groupes, est donc de mettre en place des solutions de cyber-sécurité efficaces, mais aussi de réfléchir à l’ensemble de leur infrastructure afin de minimiser les risques d’attaques. Enfin, il faut – avant toute chose – éduquer ses collaborateurs et instaurer une véritable culture de la cyber-sécurité.

Autour du même sujet