12.10.2023 - Il est souvent question de pirates («hackers») dans le contexte des cyberattaques. On pourrait ainsi facilement penser que les cybercriminels s’introduisent dans les systèmes informatiques des entreprises surtout en tirant parti de failles techniques. C’est faux. Bien souvent, les programmes malveillants se répandent dans les entreprises par des méthodes d’ingénierie sociale. Il est donc important que les collaborateurs connaissent ces méthodes et sachent comment se comporter en cas d’attaque. Les entreprises font même parfois appel à des experts en ingénierie sociale, dans l’optique de sensibiliser leur personnel à ce problème.
Il ressort d’une étude de mai 2022, publiée conjointement par la Haute école de Lucerne, le groupe Mobilière et Economiesuisse, que les cyberrisques sont souvent traités comme un simple problème informatique. Or, les employés peuvent être vulnérables aux méthodes d’ingénierie sociale et constituent ainsi un risque pour la sécurité. Les criminels qui se livrent à cette pratique s’informent au préalable sur la structure de l’entreprise ou de l’organisation visée. Ils passent au crible les informations publiques comme le site Internet de l’entreprise. À partir de là, ils cherchent une cible qu’ils confronteront à un scénario sur mesure. La plupart des attaques sont lancées par courriel (hameçonnage ou phishing) ou par téléphone (vishing). Les escrocs cherchent à déstabiliser la victime en insistant sur l’urgence de la situation, en faisant référence à sa hiérarchie, ou encore en parlant des difficultés ou des inconvénients financiers à prévoir si la personne ne fait pas ce qu’ils demandent.
La pratique de l’ingénierie sociale ne s’observe toutefois pas qu’en ligne. Bien souvent, les cybercriminels s’introduisent physiquement dans le bâtiment et dans les zones d’accès limité en prenant en filature un employé et en se faisant passer, par exemple, pour des membres du personnel de maintenance ou pour des fournisseurs. Le fait d’entrer ainsi clandestinement quelque part, sur les talons d’une personne autorisée à accéder aux locaux protégés, porte le nom de talonnage («tailgaiting»). La plupart du temps, les attaques par talonnage tirent parti des réflexes de politesse tels que celui qui veut que l’on tienne la porte à un visiteur sans badge ou à un inconnu se faisant passer pour un collaborateur, un livreur ou un technicien.
Afin de sensibiliser leurs employés, certaines entreprises font appel à des experts en tests d’ingénierie sociale. Ces personnes agissent comme les escrocs, s’habillant par exemple en concierges ou en fournisseurs afin d’accéder au bâtiment visé. Pour faire mieux connaître l’activité passionnante qui est celle d’un professionnel des tests d’ingénierie sociale, le NCSC organise le 19 octobre 2023 un brown bag lunch avec Ivano Somaini.
Les personnes intéressées peuvent s’inscrire ici:
Remarque: le nombre de participants est limité.
Les présentations seront faites en allemand.
Les présentations seront faites en allemand.
Conseils:
- Ne faites pas confiance à n’importe quel interlocuteur, que ce soit à l’oral ou à l’écrit.
- Ne vous laissez pas intimider ou mettre sous pression.
- Ne communiquez jamais par téléphone ou par courriel un mot de passe ou un code PIN.
- Ne divulguez pas d’informations professionnelles à des inconnus.
- Mettez tout de suite un terme aux appels douteux et effacez les courriels au contenu obscur.
- Adressez la parole aux personnes inconnues qui se trouvent dans vos locaux.
Pour en savoir plus:
Dernière modification 12.10.2023
