L’ingénierie sociale, bête noire des entreprises
L’ingénierie sociale, définition
Dans le jargon informatique, l’ingénierie sociale désigne un ensemble de techniques utilisées par les cybercriminels pour induire en erreur des internautes en les incitant à divulguer des données confidentielles.
Bien que les cyberattaquants aient couramment recours à cette méthode pour arriver à leurs fins et que celle-ci fasse régulièrement la une des grands media, la connaissance des risques et des bonnes pratiques au sein des différentes organisations est insuffisamment maitrisée.
La sensibilisation des collaborateurs passe précisément par la connaissance des risques encourus et des bonnes pratiques qui en découlent. La prévention recouvre un aspect pédagogique, didactique ; elle implique aussi une bonne gestion de sa communication. En amont, elle commence par l’évaluation du niveau de maturité cyber de l’entreprise et de ses employés dans leur ensemble et pris individuellement. Dans la plupart des cas, l’audit montre des lacunes importantes qui seront rectifiées par un apprentissage adapté. C’est par ailleurs ce que recommande la norme ISO 27001.
Exemples les plus courants d’ingénierie sociale
L’ingénierie sociale a 1001 façons d’être mise en place. Les techniques les plus courantes sont, dans l’ordre :
- l’hameçonnage : technique utilisée par les cybercriminels dans le but d’obtenir les données personnelles de la victime et de les exploiter de manière frauduleuse ;
- le harponnage, fraude du PDG ou spearphishing : technique d’attaque ciblée (entreprise ou individu) par phishing ;
- l’appâtage : technique visant à manipuler la victime en lui promettant une récompense ;
- le maliciel : infiltration d’un appareil par le biais d’un logiciel malveillant qui viendra endommager le système ;
- le faux-semblant ou pretexting : subterfuge basé sur la confiance, incitant la victime à donner ses informations personnelles en utilisant un prétexte ;
- le quiproquo : ou l’arnaque de la contrepartie qui consiste à un échange d’informations ou de service ;
- le talonnage : attaque physique qui consiste à extirper des informations relatives à l’accès d’un bâtiment ou d’une zone sécurisée ;
- l’hameçonnage vocal : attaque par messagerie vocale basé sur un sentiment d’urgence, poussant la victime à agir contre son grès et rapidement ;
- l’attaque par point d’eau : cette attaque exploite les failles de sécurité d’un site internet pour l’infiltrer et infecter à la fois la page et ses visiteurs.
Les chiffres clé de l’ingénierie
%
formés à la cybersécurité
%
des violations de données réussies sont la conséquence d’attaques d’ingénierie sociale
Un des moyens les plus efficaces pour limiter le risque passe par la sensibilisation et la formation. Vous pouvez non seulement réduire le nombre de personnes victimes de phishing d’environ 5 %, mais aussi créer un réseau humain qui sera plus efficace pour détecter les attaques de phishing que pratiquement n’importe quelle technologie.
De l’importance de sensibiliser vos collaborateurs aux risques de l’ingénierie sociale
COFENSE, la solution qui utilise l’ingénierie sociale pour parfaire votre arsenal de sécurité
COFENSE est un éditeur anglo-saxon spécialisé dans la sensibilisation des collaborateurs aux risques cyber. Grâce à sa couverture mondiale, il est aujourd’hui l’unique constructeur de l’écosystème à détenir un réseau international de 30 millions de personnes en capacité de signaler en live les phishings dont ils sont la victime. S’appuyer sur la philosophie et la technologie COFENSE, c’est ajouter une couche additionnelle à sa stratégie de sécurité. Se constituer une ligne de défense humaine, c’est jouer la carte de la complémentarité dans son artillerie de défense IT.
L’humain est la première cause de failles informatiques des entreprises. C’est donc en toute logique que COFENSE se positionne et décide d’agir. Grâce à un apprentissage ludique et engageant, la solution PHISHME réunit les équipes de salariés autour d’un seul et même objectif : assurer la sécurité des données de l’entreprise.
La valeur de la veille offerte par le réseau COFENSE est telle que les données servent à alimenter d’autres solutions de sécurité, SIEM, TIP et SOAR, aidant toutes les entreprises à avoir une vision toujours plus fine des menaces.
À la fois innovante et traditionnelle, cette solution permet une meilleure compréhension du système de sécurité de chaque entreprise et vient ébranler les attaques ciblées qui font chaque année, de plus en plus de victimes.
L’apprentissage par l’expérience : les campagnes de phishing pour apprendre les bons réflexes
L’évolution de la capacité des employés à détecter des emails suspects est rapide et durable. Le sujet de la formation des collaborateurs est un des sujets de cybersécurité présentant la plus forte croissance, surtout depuis le début de la crise sanitaire et la généralisation du télétravail.
Compte tenu des risques liés au phishing, il est essentiel de prendre des mesures. Tous les employés ayant accès au réseau de l’entreprise doivent être formés à la prévention des attaques par phishing. L’évolution de la capacité des employés à détecter des emails suspects est rapide et durable. Le sujet de la formation des collaborateurs est un des sujets de cybersécurité présentant la plus forte croissance, surtout depuis le début de la crise sanitaire et la généralisation du télétravail.
David Kolb a développé́ une théorie sous la forme d’un modèle d’apprentissage. Ce dernier met en avant un processus d’acquisition des savoirs inspiré par l’approche expérientielle (experiential learning) et constitue un des leviers possibles pour faire évoluer les comportements de publics. Il repose sur un processus d’adaptation de l’individu à l’environnement et son implication dans son propre processus d’apprentissage. Il vise notamment à déclencher son sens des responsabilités. Ce principe, exploité dans de nombreux secteurs, constitue la base de l’apprentissage par l’expérience sur le marché de la sécurité informatique et repose sur deux piliers fondamentaux : l’apprentissage par l’erreur puis l’apprentissage par la formation.
Les campagnes de phishing ont largement prouvé leur efficacité, principalement lorsqu’elles sont individualisées donc adaptées à la fois à l’organisation et à ses publics. L’élaboration de scénarios de phishing sur-mesure constitue des occasions qui reflètent la réalité du quotidien, permettant à chacun de jouer son propre rôle face aux menaces qui le guettent et d’apprendre à les déjouer.
COFENSE, la solution qui utilise l’ingénierie sociale pour parfaire votre arsenal de sécurité
COFENSE est un éditeur anglo-saxon spécialisé dans la sensibilisation des collaborateurs aux risques cyber. Grâce à sa couverture mondiale, il est aujourd’hui l’unique constructeur de l’écosystème à détenir un réseau international de 30 millions de personnes en capacité de signaler en live les phishings dont ils sont la victime. S’appuyer sur la philosophie et la technologie COFENSE, c’est ajouter une couche additionnelle à sa stratégie de sécurité. Se constituer une ligne de défense humaine, c’est jouer la carte de la complémentarité dans son artillerie de défense IT.
L’humain est la première cause de failles informatiques des entreprises. C’est donc en toute logique que COFENSE se positionne et décide d’agir. Grâce à un apprentissage ludique et engageant, la solution PHISHME réunit les équipes de salariés autour d’un seul et même objectif : assurer la sécurité des données de l’entreprise.
La valeur de la veille offerte par le réseau COFENSE est telle que les données servent à alimenter d’autres solutions de sécurité, SIEM, TIP et SOAR, aidant toutes les entreprises à avoir une vision toujours plus fine des menaces.
À la fois innovante et traditionnelle, cette solution permet une meilleure compréhension du système de sécurité de chaque entreprise et vient ébranler les attaques ciblées qui font chaque année, de plus en plus de victimes.
Retrouvez le replay de notre webinar du 9 mars.
Dans cette nouvelle conférence, nos experts vous présentent notre service interne dédié composé d’une équipe de dix ingénieurs spécialisés. Arnaud FROMAGER et Sébastien MIGUEL, respectivement Responsable commercial et Pentesteur SNS SECURITY abordent pour vous les bénéfices que vous êtes en droit d’attendre d’un test d’intrusion. Venez assister à une simulation d’attaque vous permettant de découvrir un échantillon du travail passionnant réalisé en backoffice par nos pentesteurs.
Soucieuse de vous apporter le meilleur service possible, SNS SECURITY propose des webconférences à destination des professionnels de l’IT ou futurs experts, qui souhaitent approfondir leurs connaissances de la cybersécurité. À la fin de chacune de nos webconférences, un temps est dédié aux questions avec l’objectif de pouvoir vous apporter les réponses concises et concrètes que vous attendez.