PME et cybermenaces : comment répondre aux nouveaux défis avec Fortinet ?

Cybermoi/s : comprendre la fraude par l’ingénérie sociale

Nous vous en parlions la semaine dernière : le mois d’octobre marque le lancement de cette édition 2023 du cybermoi/s. l’édition de cette année sera placée sous le thème de la fraude par l’ingénierie sociale : un sujet assez large, qui touche aussi bien les professionnels que les particuliers.  

Définition du terme 

L’ingénierie sociale désigne la pratique consistant à utiliser des techniques psychologiques pour manipuler le comportement de quelqu’un. L’ingénierie sociale exploite l’erreur humaine et encourage les victimes à agir contre leurs intérêts. Dans le domaine de la sécurité des informations, l’ingénierie sociale pousse les gens à divulguer des données privées en ligne, comme leurs identifiants de connexion ou leurs informations financières. 

Fraude à l’ingénierie sociale : les formes les plus courantes  

La fraude à l’ingénierie sociale peut prendre de nombreuses formes : en voici une sélection non exhaustive des plus courantes.  

Le phishing  

L’agresseur se fait passer pour une personne de confiance pour tromper l’utilisateur, en utilisant une adresse mail piratée ou un faux site web usurpant l’identité d’un proche ou d’une entreprise. Le but est d’inciter la victime à ouvrir le mail et cliquer sur un lien malveillant. Quand le phishing se fait par l’intermédiaire d’un SMS, on parle alors de smishing.  

Le spear phishing  

Cette variante du phishing vise des personnes dans une entreprise. Souvent, le cybercriminel usurpe l’identité d’une personne de l’entreprise, et cherche à récupérer des données sensibles sur l’entreprise.  Le spear phishing ou harponnage est plus complexe que le phishing classique, car il nécessite une recherche approfondie sur les cibles potentielles et leurs organisations. 

Le whaling 

Alors que les tentatives de phishing ciblent des individus au hasard et que le phishing ciblé s’en prend à des individus bien précis, le whaling va plus loin en ciblant des personnes importantes, de manière à ce que les communications frauduleuses qu’elles reçoivent semblent provenir d’une personne haut placée ou qui possède une grande influence dans l’entreprise. Ces personnes sont considérées comme de « gros poissons » ou des « baleines », comme le PDG ou le responsable financier. Cela ajoute un risque supplémentaire de piratage informatique, le personnel hésitant bien sûr à refuser une demande faite par un supérieur. 

Le vishing 

Les attaques de vishing reprennent les mêmes objectifs que les attaques de phishing, mais prennent la forme d’appels ou messages vocaux de la part d’entreprises prétendues légitimes pour solliciter des informations personnelles (nom, adresse, numéro de sécurité sociale, données de carte bancaire…).  

L’avis de Pérenne’IT 

 La fraude par l’ingénérie sociale peut prendre de nombreuses formes, et touche aussi bien les particuliers que les professionnels. Pour les entreprises, la parade passe la sensibilisation régulières des utilisateurs, en utilisant notamment des campagnes de simulation de phishing, comme Pérenne’IT le propose au quotidien à ses clients..