Qu'est-ce que l'ingénierie sociale ? Exemples, techniques d'attaque et moyens de s'en prémunir

avril 22, 2022
Kaseya
Ingénierie sociale

L'ingénierie sociale consiste, pour les cybercriminels, à exploiter la psychologie humaine afin d'obtenir un résultat qui leur est favorable, par exemple en amenant des personnes à leur communiquer leur mot de passe. Il est plus facile pour les criminels d'exploiter la tendance instinctive des gens à faire confiance qu'à trouver des moyens de pirater des appareils ou des réseaux.

Qu'est-ce que l'ingénierie sociale ?

Le terme « ingénierie sociale », utilisé pour la première fois par l'industriel français JC Van Marken en 1894, désigne le fait d'influencer les gens afin qu'ils agissent d'une manière qui pourrait aller à l'encontre de leurs propres intérêts. Il s'agit de l'art et de la science consistant à contrôler les masses pour qu'elles se plient à la volonté de quelqu'un.

Quels sont les exemples d'ingénierie sociale ?

Un cybercriminel peut recourir à l'ingénierie sociale pour inciter un employé à télécharger un fichier malveillant en le convainquant qu'il s'agit d'un document important et inoffensif. Pendant la pandémie de COVID-19, les cybercriminels incitaient les gens à ouvrir des fichiers malveillants en les présentant comme des directives d'entreprise liées à la COVID-19. 

L'ingénierie sociale peut également servir à inciter un employé à divulguer son mot de passe : les cybercriminels usurpent l'identité de marques connues telles que Microsoft pour envoyer des messages indiquant à la victime qu'elle doit changer son mot de passe, car les communications provenant de grandes marques sont souvent perçues comme fiables.

L'ingénierie sociale est utilisée dans les attaques de type « Business Email Compromise » (BEC) et de détournement de communications pour convaincre la victime que l'expéditeur est une personne avec laquelle elle entretient déjà une relation professionnelle. Cette technique peut servir à persuader la victime de transférer de l'argent pour régler une facture ou de communiquer des données sensibles aux malfaiteurs.

Qu'est-ce qu'une attaque par ingénierie sociale ?

Les attaques par ingénierie sociale désignent toute cyberattaque reposant sur des manœuvres psychologiques. Ce sont les aspects psychologiques, bien plus que les aspects techniques de l'attaque, qui ouvrent la voie à des dommages considérables : ouvrir des e-mails douteux, divulguer des mots de passe ou cliquer sur un lien suspect, pour n'en citer que quelques-uns. L'ingénierie sociale est à l'origine de 93 % des violations de données qui aboutissent.

Types d'attaques d'ingénierie sociale

Les attaques d'ingénierie sociale peuvent prendre différentes formes. Voici quelques-unes des tactiques les plus courantes :

Hameçonnage

Le phishing est la forme la plus courante d'attaque par ingénierie sociale. Un message de phishing vise à persuader le destinataire d'effectuer une action spécifique qui servira les objectifs du cybercriminel, comme le téléchargement d'un document contenant un ransomware. Les cybercriminels privilégient le phishing car cette technique est peu coûteuse, simple, polyvalente et efficace : 97 % des utilisateurs ne sont pas en mesure de repérer un message de phishing sophistiqué.

Hameçonnage ciblé

Dans le cadre du spear phishing, l'auteur de l'attaque conçoit son message de manière à ce qu'il soit extrêmement convaincant pour un groupe spécifique de victimes. Les messages sont personnalisés en fonction de critères tels que le niveau d'études, les fonctions occupées et les coordonnées. Un scénario typique peut impliquer un cybercriminel qui se fait passer pour un consultant informatique travaillant pour l'entreprise de la victime et qui demande un changement de mot de passe, amenant ainsi l'employé à croire qu'il s'agit d'un message authentique.

La chasse à la baleine

Tout comme le phishing et le spear phishing, le whaling est une forme de fraude numérique qui utilise des techniques d'ingénierie sociale pour créer des messages de phishing destinés à cibler les cadres supérieurs ou les employés occupant des postes à haute responsabilité au sein d'une organisation. Cette technique incite souvent la victime à effectuer des actions supplémentaires, telles qu'un virement bancaire.

Logiciel de peur

Les scarewares présentent les mêmes caractéristiques que les logiciels malveillants et recourent à des techniques d'ingénierie sociale pour semer la confusion, provoquer un choc et susciter l'angoisse, dans le but de manipuler les utilisateurs afin qu'ils achètent ou installent des logiciels malveillants. Un scénario typique d'attaque par scareware consiste à faire croire à l'utilisateur que son ordinateur est infecté par un virus, puis à lui suggérer d'acheter ou de payer un logiciel antivirus pour le supprimer.

Signaux d'alerte en matière d'ingénierie sociale

Les attaques d'ingénierie sociale se multiplient, et les équipes de sécurité doivent rester vigilantes face à ces menaces potentielles, les utilisateurs constituant la dernière ligne de défense. Cependant, il incombe aux utilisateurs finaux de surveiller leurs propres actions. Voici quelques signaux d'alerte à surveiller.

  • Demande de mot de passe– Les e-mails non sollicités visant à obtenir des informations personnelles, telles que des mots de passe, doivent être ignorés et signalés immédiatement à l'équipe de sécurité.
  • Aide immédiate– Les pirates informatiques peuvent se faire passer pour le service d'assistance technique d'une organisation. Si vous n'avez sollicité aucune aide, considérez toute offre ou demande de ce type comme une arnaque. 
  • Courriels indésirables— L'envoi massif de courriels non sollicités peut augmenter le risque de saturer la boîte de réception des employés avec des liens malveillants, ce qui pourrait déboucher sur une attaque de phishing de grande ampleur.
  • SMS— Ne vous laissez pas piéger par les SMS demandant aux utilisateurs de répondre en indiquant les mots de passe temporaires reçus sur leur appareil.

Prévention contre l'ingénierie sociale

  • Réglez le filtre anti-spam sur « élevé »– Dans votre client de messagerie, réglez le filtre anti-spam sur « élevé » ; cela permettra de bloquer davantage de messages suspects, mais pourra entraîner un retard dans les communications.
  • En cas de doute, changez votre mot de passe– Si un employé a potentiellement divulgué son mot de passe à une personne malveillante, le fait de le changer immédiatement peut contribuer à limiter les dégâts.
  • Mettez en place l'authentification à deux facteurs ou multifactorielle– L'authentification à deux facteurs (2FA) ou multifactorielle (MFA) permet de prévenir 99,9 % des cyberattaques.
  • Restez vigilant face aux messages inattendus.En cas de doute, signalez tout message suspect à votre administrateur ou à votre supérieur.
  • Utilisez une solution de sécurité des e-mails de haute qualité.En optant pour des outils avancés qui exploitent l'apprentissage automatique et l'intelligence artificielle pour détecter les activités suspectes, vous empêcherez les messages dangereux d'atteindre les boîtes de réception de vos employés.

Prévenez les attaques d'ingénierie sociale avec Graphus

Pour les entreprises, il peut être difficile de suivre l'évolution du paysage de l'ingénierie sociale dans le domaine informatique. De nouvelles formes d'attaques sophistiquées peuvent facilement déjouer les filtres anti-hameçonnage traditionnels. Les outils de sécurité classiques comparent les messages entrants à une liste de signes avant-coureurs potentiels.

Grâce à une technologie d'IA avancée Graphus détecter et Graphus mettre en quarantaine les tentatives potentielles d'hameçonnage en apprenant les schémas de communication propres à chaque utilisateur, sans interrompre le flux de trafic, tout en interceptant 40 % de messages d'hameçonnage en plus qu'un SEG ou une solution de sécurité de messagerie traditionnelle intégrée. 

Les attaques par ingénierie sociale peuvent mener une entreprise à la faillite : 60 % des entreprises ne s'en remettent jamais après une cyberattaque. Nos experts peuvent vous expliquer pourquoi Graphus la solution idéale pour protéger les entreprises contre l'ingénierie sociale et d'autres cyberattaques sophistiquées.

Une plateforme complète pour la gestion informatique et de la sécurité

Kaseya 365 la solution tout-en-un pour la gestion, la sécurisation et l'automatisation de l'informatique. Grâce à des intégrations transparentes entre les fonctions informatiques essentielles, elle simplifie les opérations, renforce la sécurité et améliore l'efficacité.

Demander une démonstration Découvrez Kaseya 365

Une seule plateforme. Tout l'informatique.

Kaseya 365 bénéficient des avantages des meilleurs outils de gestion informatique et de sécurité, le tout dans une solution unique.

Découvrez Kaseya 365

Votre succès est notre priorité absolue.

Partner First, c'est l'engagement d'offrir des conditions flexibles, un partage des risques et un accompagnement dédié à votre entreprise.

Découvrez Partner First Pledge »

Rapport Kaseya 2026 sur la situation des MSP

Kaseya - Rapport 2026 sur la situation des MSP - Image web - 1200 x 800 - MISE À JOUR

Découvrez les perspectives 2026 sur le MSP, issues des témoignages de plus de 1 000 prestataires, et apprenez comment augmenter votre chiffre d'affaires, vous adapter aux pressions du marché et rester compétitif.

Télécharger maintenant

Explorer les catégories

Les techniques courantes de hameçonnage qui mettent les entreprises en danger

Découvrez les attaques de phishing les plus courantes, telles que le « Business Email Compromise », le spear phishing et l'usurpation d'identité de marque, et apprenez à vous en protéger.

Lire l'article de blog

Le phishing est-il une attaque d'ingénierie sociale ?

Découvrez pourquoi le phishing est, par définition, une attaque d'ingénierie sociale, comment les techniques d'ingénierie sociale sont utilisées dans le cadre du phishing, et quel est le lien entre les deux.

Lire l'article de blog

10 choses à savoir sur l'ingénierie sociale

Ces 10 faits sur l'ingénierie sociale illustrent le danger que cette technique de cybercriminalité représente pour votre entreprise.

Lire l'article de blog