Une entreprise peut-elle empêcher les attaques d'ingénierie sociale ?

L'ingénierie sociale est une technique de manipulation utilisée pour inciter une personne à transmettre elle-même des données sensibles.

Ces informations peuvent être des renseignements personnels, voire confidentiels permettant d'accéder au réseau informatique d'une organisation. Les attaques d'ingénierie sociale, tel que le phishing (hameçonnage), sont des vecteurs importants de cybercriminalité.

Cette technique s’avère redoutable, car les cybercriminels exploitent l’instinct naturel d'entraide des collaborateurs. Aujourd’hui, ils utilisent aussi de nouvelles méthodes ciblant les vulnérabilités du travail hybride. Ces tactiques contournent les différentes couches de sécurité et sont très efficaces pour atteindre les collaborateurs.

Comprendre ce type d’attaque

Il est important de comprendre comment fonctionne cette pratique pour pouvoir la repérer et protéger les collaborateurs et l’entreprise. L'ingénierie sociale a pour vocation de tromper pour inciter les victimes à communiquer volontairement, et en toute confiance, des informations confidentielles. Par exemple, les criminels utilisent les réseaux sociaux tels que LinkedIn pour identifier des cibles et exploitent toutes les informations personnelles accessibles sur l’utilisateur pour élaborer des e-mails de phishing convaincants. L’usurpation d'identité est également une pratique populaire chez les cybercriminels. Ils profitent de l'anonymat qui accompagne les régimes de travail hybrides pour subtiliser l'identité de personnes : la technique du collaborateur du service informatique de l’entreprise fonctionne particulièrement bien. Dans l’entreprise, on ne connaît pas forcément tous les membres des équipes support.

Enfin, les acteurs malveillants ciblent également les appareils personnels utilisés dans un cadre professionnel. L’essor du travail hybride a atténué les frontières entre le travail et la vie privée, et les collaborateurs utilisent désormais des appareils professionnels pour des raisons personnelles et des appareils personnels pour travailler. Les attaquants profitent des ordinateurs ou téléphones personnels moins sécurisés pour infiltrer l’entreprise.

Repérer l'ingénierie sociale

Il est essentiel d’être en mesure de repérer l’ingénierie sociale pour lutter contre ce phénomène. Parmi les différentes techniques, la demande d’information de connexion (mail et mot de passe) est très populaire. L’utilisateur peut recevoir un message de la part d’une source paraissant fiable lui demandant des informations de connexion, alors qu’il n’y aucune raison pour qu’une personne tierce sollicite les identifiants de connexion d’un collaborateur.

Les demandes de vérification d’informations personnelles font partie des pratiques appréciées par les acteurs malveillants, elles sont souvent accompagnées de la promesse de gagner un prix ou de l’argent. La technique consiste à imiter une adresse email et les codes d’une entreprise légitime pour envoyer des requêtes frauduleuses.

Mettre fin aux attaques d'ingénierie sociale

Forrester recommande des défenses en couches pour prévenir les stratégies d'ingénierie sociale notamment pour lutter contre le phishing, car la plupart de ces attaques sont très efficaces pour outrepasser les couches de cyber protection. Il est donc conseillé de combiner la protection des terminaux, une protection DNS et la sécurité des emails. Les formations de sensibilisation à la sécurité auprès des collaborateurs sont également primordiales pour lutter contre l’ingénierie sociale car elles font des employés le meilleur rempart contre les menaces.