Selon le pays, le secteur d’activité et les personnes visées, l’ingénierie sociale représente entre 70% et 90% des cyber-attaques. C’est pourquoi nous souhaitons vous rappeler de quoi il s’agit exactement, afin que vous puissiez vous préparer et reconnaître à temps toute communication frauduleuse.
Qu’est-ce que l’ingénierie sociale?
Il s’agit d’un ensemble de techniques et de méthodes de cyber-attaque utilisées par les cybercriminels pour tromper les utilisateurs. La plus courante est l’usurpation de l’identité d’un contact ou d’une entité de confiance (par exemple un directeur, une banque, une entité publique ou toute autre personne de confiance). Il est alors plus facile de se tromper et de lui fournir des informations confidentielles, des données personnelles ou même des voies d’accès (liens vers des ressources ou des plateformes internes, mots de passe, documentation, etc.)
De plus, comme le cybercriminel parvient à contacter directement l’utilisateur (tant dans la sphère professionnelle que personnelle), il évite d’être détecté par certains logiciels de sécurité qui protègent les systèmes informatiques des organisations (antivirus et pare-feu).
Le cybercriminel socialement conçu peut être motivé par divers intérêts:
- Obtenir facilement les mots de passe pour accéder aux plates-formes, applications, boîtes aux lettres et autres technologies utilisées.
- Réussir à installer un virus ou un logiciel malveillant par le biais de liens ou de pièces jointes infectés, sur lesquels l’utilisateur doit cliquer ou qu’il doit télécharger.
- Faire chanter l’entreprise, en envoyant une communication menaçante et en demandant une somme d’argent en échange de la reprise du contrôle des informations, de la prévention des fuites de données volées ou de l’empêchement du cybercriminel d’endommager les systèmes ou d’en effacer les données.
Comment éviter cela? Nous nous pencherons sur cette question dans les semaines à venir, en expliquant les différentes techniques utilisées (Phishing, Vishing, Smishing) et en vous donnant des recommandations spécifiques pour chacune d’entre elles.
En attendant, la règle générale est de se méfier de toute communication inhabituelle et de procéder à une « double vérification », c’est-à-dire d’interrompre la conversation et de contacter l’expéditeur présumé par d’autres moyens officiels pour lui demander si ce qu’il demande est réel.
NOTE IMPORTANTE: Si vous avez le moindre soupçon concernant une communication ou si vous pensez avoir été victime d’une cyberattaque, n’hésitez pas à le signaler à votre supérieur hiérarchique, au responsable de la sécurité du CISO et au service informatique, afin qu’ils puissent vous conseiller de manière appropriée. Sur le plan personnel, signalez la cyberattaque aux autorités policières.
*Date d’envoi : 17 mars 2025