Sommaire
La plus grande faiblesse d’une stratégie de cybersécurité est le facteur humain, c’est pourquoi l’ingénierie sociale est une des cyberattaques les plus populaires, puisqu’elle tire parti de l’incapacité d’un utilisateur ciblé à détecter une attaque.
Dans une menace d’ingénierie sociale, un attaquant utilise les émotions humaines (généralement la peur et l’urgence) pour inciter la cible à effectuer une action, comme lui envoyer de l’argent, divulguer des informations sensibles sur un client ou divulguer des informations d’authentification.
La formation à la cybersécurité commence ici
Votre évaluation gratuite fonctionne comme suit :
- Prenez rendez-vous avec nos experts en cybersécurité afin qu'ils évaluent votre environnement et déterminent votre exposition aux menaces.
- Sous 24 heures et avec une configuration minimale, nous déployons nos solutions pour une durée de 30 jours.
- Découvrez nos technologies en action !
- Recevez un rapport mettant en évidence les vulnérabilités de votre dispositif de sécurité afin que vous puissiez prendre des mesures immédiates pour contrer les attaques de cybersécurité.
Remplissez ce formulaire pour demander un entretien avec nos experts en cybersécurité.
Un représentant de Proofpoint vous contactera sous peu.
Histoire de l’ingénierie sociale
Inciter les utilisateurs à divulguer des informations sensibles n’a rien de nouveau dans le monde de la cybersécurité. La seule chose qui a changé, c’est la méthode d’attaque, les histoires utilisées pour obtenir des informations et les attaques sophistiquées de groupes organisés intégrant d’autres menaces comme le phishing.
Le terme “ingénierie sociale” a été utilisé pour la première fois en 1894 par l’industriel néerlandais JC Van Marken, mais il s’agit d’une méthode de cyber-attaque depuis les années 1990.
Dans les années 1990, l’ingénierie sociale consistait à appeler les utilisateurs pour les inciter à divulguer leurs informations d’identification ou à fournir le numéro de téléphone fixe qui reliait un acteur de la menace à un serveur interne de l’entreprise.
Aujourd’hui, les attaquants utilisent l’ingénierie sociale pour inciter des utilisateurs ciblés à envoyer des millions de dollars sur des comptes bancaires offshore, ce qui coûte des millions de dollars de dommages aux organisations. Dans certains cas, les employés perdent leur emploi après les retombées et les dommages.
Définition de l’ingénierie sociale
Les frontières entre l’ingénierie sociale et le phishing sont floues, car les deux vont généralement de pair dans une attaque sophistiquée.
L’ingénierie sociale consiste généralement à se faire passer pour un employé légitime (par exemple, le directeur financier ou le PDG) ou à faire croire à un employé que l’attaquant est un client légitime dans le but d’amener l’employé à fournir à l’attaquant des informations sensibles ou à modifier les caractéristiques de son compte (par exemple, échange de cartes SIM).
Quels que soient les objectifs de l’attaquant, il existe des signes évidents que la communication relève de l’ingénierie sociale. L’un des principaux éléments de l’ingénierie sociale consiste à jouer sur les peurs et les émotions de l’utilisateur ciblé.
L’attaquant ne veut pas que l’utilisateur cible digère et réfléchisse à sa demande. L’ingénierie sociale va donc utiliser la peur et le sentiment d’urgence.
Qu’est-ce qu’une attaque d’ingénierie sociale ? Caractéristiques
Voici quelques caractéristiques communes à toutes les attaques d’ingénierie sociale :
- Des émotions exacerbées : Un attaquant urge la prévention de la perte d’un compte pour inciter les utilisateurs à fournir leurs informations d’identification, ou l’attaquant se fait passer pour un cadre exigeant de l’argent d’un utilisateur ciblé, en suscitant un sentiment d’urgence chez un employé craignant de perdre son emploi.
- Adresse de l’expéditeur usurpée : La plupart des utilisateurs ignorent qu’une adresse électronique d’expéditeur peut être usurpée, mais une bonne sécurité de la messagerie empêche les expéditeurs usurpés d’accéder à la boîte de réception d’un utilisateur ciblé. Alors, au lieu de cela, un attaquant enregistre un domaine similaire à un domaine officiel en espérant que l’utilisateur ciblé ne remarquera pas la faute d’orthographe dans l’adresse mail.
- Demandes d’amis étranges : Il n’est pas rare qu’un attaquant compromette un compte de messagerie et envoie des messages malveillants à la liste de contacts de la victime. Les messages sont généralement courts et n’ont pas l’élément personnalisé des amis. Évitez donc de cliquer sur des liens provenant d’amis si le message ne ressemble pas à une communication personnalisée.
- Liens vers des sites Web non professionnels : Les liens de phishing sont parfois utilisés avec l’ingénierie sociale pour inciter les utilisateurs à divulguer des informations sensibles. Ne saisissez jamais d’informations d’identification dans un site web directement à partir d’un lien envoyé par courrier électronique, même s’il ressemble à un site officiel (par exemple, PayPal).
- Trop beau pour être vrai : les escrocs promettent souvent de l’argent en échange d’une compensation financière. Par exemple, un utilisateur ciblé pourrait recevoir un iPhone gratuit en échange du paiement des frais d’expédition. Si l’offre est trop belle pour être vraie, il s’agit probablement d’une escroquerie.
- Pièces jointes malveillantes : Au lieu d’inciter les utilisateurs ciblés à divulguer des informations privées, une attaque sophistiquée peut viser à installer un logiciel malveillant sur un ordinateur d’entreprise à l’aide de pièces jointes. Ne lancez jamais de macros ou d’exécutables sur une machine à partir d’un message électronique apparemment inoffensif.
- Refus de répondre aux questions : Si un message vous semble suspect, répondez au message et demandez à l’expéditeur de s’identifier. Un attaquant évitera de s’identifier et ignorera simplement la demande.
Techniques d’ingénierie sociale courantes
La technique générale utilisée en ingénierie sociale consiste à utiliser les émotions pour tromper les utilisateurs, mais les attaquants utilisent plusieurs méthodes standard pour pousser l’utilisateur à effectuer une action (par exemple, envoyer de l’argent sur un compte bancaire) et donner à l’attaque une apparence plus légitime.
En général, les techniques font appel à des emails ou à des messages texte, car ceux-ci peuvent être utilisés sans conversation vocale.
Voici quelques techniques courantes :
- Le phishing : avec l’ingénierie sociale, un attaquant se fait généralement passer pour un dirigeant d’entreprise pour inciter les utilisateurs à envoyer de l’argent sur un compte bancaire offshore.
- Vishing et smishing : les attaquants utilisent des messages texte et des logiciels de changement de voix pour envoyer des SMS ou appeler les utilisateurs par robot. Ces messages promettent généralement des cadeaux ou des services en échange d’un paiement. Ces types d’escroquerie sont appelés vishing (phishing vocal) et smishing (phishing par SMS).
- Fraude au PDG (cadre supérieur) : Les utilisateurs ressentent souvent un sentiment d’urgence lorsqu’un dirigeant demande une action, aussi un attaquant se fera-t-il passer pour le PDG ou un autre dirigeant afin d’instiller un sentiment d’urgence pour que l’employé ciblé effectue une action. C’est ce qu’on appelle la fraude au PDG.
- Appât : Il est courant que les attaquants promettent des prix ou de l’argent en échange d’un petit paiement. L’offre est souvent trop belle pour être vraie, et le paiement sert généralement à couvrir les frais d’expédition ou d’autres frais.
- Le “tailgating” ou “piggybacking” : Ce type d’attaque concerne les entreprises qui utilisent des scanners de sécurité pour bloquer l’accès non autorisé à leurs locaux. Un attaquant utilise le tailgating ou le piggybacking pour inciter les utilisateurs à utiliser leurs propres cartes d’accès afin de lui donner un accès physique aux locaux.
- Quid pro quo : Des employés mécontents peuvent être amenés à fournir des informations sensibles à un pirate en échange d’argent ou d’autres promesses.
Exemples d’attaques d’ingénierie sociale
Pour identifier une attaque par ingénierie sociale, il est important de savoir à quoi elle ressemble. Les attaques d’ingénierie sociale jouent sur les émotions de la victime ciblée, mais elles ont quelques éléments en commun, quels que soient les objectifs de l’acteur de la menace.
Les objectifs d’un attaquant consistent généralement à inciter les utilisateurs à envoyer de l’argent, mais certains veulent seulement tromper les utilisateurs.
Voici quelques scénarios d’ingénierie sociale courants :
- L’appât : L’attaquant propose une “carotte sur un bâton” où la victime doit payer de l’argent pour recevoir un gros paiement. Il peut s’agir de gains de loterie ou d’un prix gratuit en échange de frais d’envoi minimes. Un attaquant peut également demander des dons de charité pour une campagne qui n’existe pas.
- Réponse à une question jamais posée : La victime ciblée recevra un e-mail “répondant” à une question, mais la réponse demandera des détails personnels, contiendra un lien vers un site web malveillant ou inclura une pièce jointe malveillante.
- Menace de perte d’argent ou de comptes ou menace de poursuites judiciaires : La peur est un outil utile dans l’ingénierie sociale. Un moyen efficace de piéger les utilisateurs est de leur dire qu’ils vont subir une perte d’argent ou aller en prison s’ils ne se conforment pas à la demande de l’attaquant.
- Fraude du PDG : Se faisant passer pour un patron ou un cadre, l’attaquant transmet un sentiment d’urgence à la victime ciblée en la convainquant d’envoyer de l’argent sur un compte bancaire.
Comment ne pas être victime de l’ingénierie sociale ?
Le sentiment d’urgence déconcerte de nombreuses victimes potentielles, mais les utilisateurs avertis peuvent prendre les mesures nécessaires pour éviter d’en être victimes en suivant quelques règles.
Il est important de ralentir et de vérifier l’identité de l’expéditeur d’un email ou de poser des questions lorsque la communication se fait par téléphone.
Quelques règles à suivre :
- Faites des recherches avant de répondre : Si l’escroquerie est courante, vous trouverez d’autres personnes parlant de la méthode d’ingénierie sociale en ligne.
- N’interagissez pas avec une page Web à partir d’un lien : Si l’expéditeur d’un email prétend provenir d’une entreprise officielle, ne cliquez pas sur le lien et ne vous authentifiez pas. Tapez plutôt le domaine officiel dans le navigateur.
- Méfiez-vous du comportement étrange de vos amis : Les attaquants utilisent des comptes de messagerie volés pour tromper les utilisateurs. Soyez donc méfiant si un ami envoie un email contenant un lien vers un site Web sans autre communication.
- Ne téléchargez pas de fichiers : Si un email vous demande de télécharger des fichiers de toute urgence, ignorez la demande ou demandez de l’aide pour vous assurer que la demande est légitime.
Statistiques essentielles sur l’ingénierie sociale
L’ingénierie sociale est l’un des moyens les plus courants et les plus efficaces pour un attaquant d’accéder à des informations sensibles.
Les statistiques montrent que l’attaque de type ingénierie sociale combinée au phishing est très efficace et coûte aux organisations des millions de dollars de dommages.
Voici quelques statistiques sur l’ingénierie sociale :
- L’ingénierie sociale est responsable de 98 % des attaques.
- En 2020, 75 % des entreprises ont déclaré avoir été victimes de phishing.
- Le cyberincident le plus courant en 2020 était le phishing.
- Le coût moyen après une violation de données est de 150 dollars par dossier.
- Plus de 70 % des violations de données commencent par du phishing ou de l’ingénierie sociale.
- Google a enregistré plus de 2 millions de sites de phishing en 2021.
- Environ 43 % des courriels de phishing usurpent l’identité de grandes organisations comme Microsoft.
- 60 % des entreprises signalent une perte de données après une attaque de phishing réussie, et 18 % des utilisateurs ciblés sont victimes de phishing.
Prévention de l’ingénierie sociale
Les entreprises sont également des cibles pour l’ingénierie sociale. Les employés doivent donc être conscients des signes et prendre les mesures nécessaires pour mettre fin à l’attaque. Il incombe à l’organisation d’éduquer ses employés.
Suivez donc les étapes suivantes pour donner à vos employés les outils nécessaires pour identifier une attaque d’ingénierie sociale en cours :
- Soyez conscient des données qui sont diffusées : Qu’il s’agisse de réseaux sociaux ou d’e-mails, les employés doivent savoir si les données sont sensibles et doivent rester confidentielles.
- Identifiez les informations précieuses : Les informations personnellement identifiables (PII) ne doivent jamais être partagées avec un tiers, mais les employés doivent savoir quelles données sont considérées comme PII.
- Utilisez les politiques pour éduquer les utilisateurs : Une politique en place donne aux utilisateurs les informations nécessaires pour agir sur les demandes frauduleuses et signaler les attaques d’ingénierie sociale en cours.
- Maintenez un logiciel anti-malware à jour : si un employé télécharge un logiciel malveillant, un anti-malware le détectera et l’arrêtera dans la plupart des cas.
- Méfiez-vous des demandes de données : Toute demande de données doit être reçue avec prudence. Posez des questions et vérifiez l’identité de l’expéditeur avant d’accéder à la demande.
- Formez les employés : Les employés ne peuvent pas identifier les attaques s’ils n’ont pas l’éducation qui les aide, alors offrez une formation qui montre aux employés des exemples réels d’ingénierie sociale.
Comment Proofpoint peut aider à lutter contre l’ingénierie sociale
Proofpoint sait que les attaques de type ingénierie sociale sont très efficaces pour cibler les émotions et les erreurs humaines. Nous proposons des programmes de formation et d’éducation à la sécurité qui aident les employés à identifier l’ingénierie sociale et les e-mails de phishing qui accompagnent ces attaques.
Nous préparons les utilisateurs aux attaques les plus sophistiquées et leur donnons les outils nécessaires pour réagir. À l’aide d’exemples concrets, les employés seront préparés à identifier l’ingénierie sociale et à réagir conformément aux politiques de sécurité définies par l’organisation.
FAQ sur l’ingénierie sociale
Qu’est-ce que l’ingénierie sociale en quelques mots ? Définition
La plupart des gens pensent que les cybermenaces se limitent aux malwares ou aux pirates informatiques qui exploitent les vulnérabilités d’un logiciel. Cependant, l’ingénierie sociale est une menace populaire, par laquelle un attaquant incite un utilisateur ciblé à divulguer des informations sensibles en se faisant passer pour une personne ou un service familier.
L’attaquant peut inciter un utilisateur ciblé à divulguer son mot de passe ou à envoyer de l’argent en se faisant passer pour un cadre supérieur. Les objectifs des attaquants dans une campagne d’ingénierie sociale varient, mais en général, l’attaquant veut accéder à des comptes ou voler les informations privées de l’utilisateur.
Comment fonctionne l’ingénierie sociale ?
Un attaquant peut avoir une cible spécifique en tête ou ratisser large pour accéder à autant d’informations privées que possible. Avant qu’un acteur de la menace ne mène une attaque d’ingénierie sociale, sa première étape consiste à faire preuve de diligence raisonnable à l’égard de l’utilisateur ou de l’entreprise ciblée. Par exemple, l’attaquant pourrait recueillir les noms et les adresses électroniques du personnel du service financier sur la page LinkedIn d’une organisation afin d’identifier les victimes ciblées et les procédures opérationnelles standard.
La phase de reconnaissance est essentielle au succès d’une attaque par ingénierie sociale. L’attaquant doit comprendre parfaitement l’organigramme de l’entreprise et cibler les personnes qui ont le pouvoir d’effectuer les actions nécessaires à la réussite. Dans la plupart des attaques, l’ingénierie sociale implique que l’acteur de la menace se fasse passer pour une personne que l’utilisateur ciblé connaît. Plus l’acteur de la menace collecte d’informations sur l’utilisateur ciblé, plus l’attaque par ingénierie sociale a de chances de réussir.
Une fois qu’il a recueilli suffisamment d’informations, l’attaquant peut passer aux étapes suivantes. Certaines attaques d’ingénierie sociale nécessitent de la patience pour gagner lentement la confiance de l’utilisateur ciblé. D’autres attaques sont rapides, l’acteur de la menace gagnant la confiance en un temps limité en donnant un sentiment d’urgence. Par exemple, l’attaquant peut appeler un utilisateur ciblé et se faire passer pour un membre du personnel de l’assistance informatique afin de l’inciter à divulguer son mot de passe.
Quelles sont les étapes d’une attaque de type ingénierie sociale réussie ?
Comme la plupart des cyber-attaques efficaces, l’ingénierie sociale implique une stratégie spécifique. Chaque étape exige de la minutie, car l’attaquant cherche à inciter l’utilisateur à effectuer une action particulière. L’ingénierie sociale comporte quatre étapes. Ces étapes sont les suivantes :
- La collecte d’informations : Cette première étape est essentielle au succès de l’ingénierie sociale. L’attaquant collecte des informations à partir de sources publiques telles que des coupures de presse, LinkedIn, les réseaux sociaux et le site Web de l’entreprise ciblée. Cette étape permet à l’attaquant de se familiariser avec le fonctionnement interne des départements et des procédures de l’entreprise.
- Établir la confiance : À ce stade, l’attaquant contacte l’utilisateur ciblé. Cette étape nécessite une conversation et de la conviction, l’attaquant doit donc être équipé pour répondre aux questions et persuader l’utilisateur ciblé d’effectuer une action. L’attaquant doit être amical et peut essayer d’entrer en contact avec l’utilisateur ciblé sur un plan personnel.
- Exploitation : Une fois que l’attaquant a amené l’utilisateur ciblé à divulguer des informations, l’exploitation commence. L’exploitation dépend des objectifs de l’attaquant, mais c’est à cette étape que l’attaquant obtient de l’argent, l’accès à un système, le vol de fichiers ou l’obtention de secrets commerciaux.
- Exécution : Avec les informations sensibles obtenues, l’attaquant peut maintenant réaliser son objectif final et sortir de l’escroquerie. La stratégie de sortie comprend des méthodes pour couvrir ses traces, y compris l’évitement de la détection des contrôles de cybersécurité de l’organisation ciblée qui pourrait avertir les administrateurs qu’un employé vient d’être trompé.
Quelle est la forme la plus courante d’ingénierie sociale ?
Le terme “ingénierie sociale” est un terme général qui recouvre de nombreuses stratégies cybercriminelles. L’ingénierie sociale implique l’erreur humaine, de sorte que les attaquants ciblent souvent les initiés. La forme la plus courante d’ingénierie sociale est le phishing, qui utilise des messages électroniques. Le phishing comprend également le vishing (voix) et le smishing (SMS). Dans une attaque typique de phishing, l’objectif est d’obtenir des informations pour un gain monétaire ou un vol de données.
Dans un email de phishing, l’attaquant se fait passer pour une personne d’une organisation légitime ou pour un membre de la famille. Le message peut demander une simple réponse ou contenir un lien vers un site web malveillant. Les campagnes de phishing peuvent cibler des personnes spécifiques au sein d’une organisation - spear phishing - ou l’attaquant peut envoyer des centaines d’e-mails à des utilisateurs aléatoires en espérant qu’au moins un d’entre eux se laissera prendre au message frauduleux. Les campagnes de phishing non ciblées ont un faible taux de réussite, mais il ne faut pas beaucoup de messages réussis pour qu’un attaquant obtienne les informations nécessaires à des fins lucratives.
Les deux variantes du phishing - smishing et vishing - ont les mêmes objectifs qu’une campagne de phishing générale, mais des méthodes différentes. Une attaque de “smishing” utilise des messages texte pour dire aux utilisateurs ciblés qu’ils ont gagné un prix et qu’ils doivent payer des frais d’expédition pour recevoir leurs cadeaux. Le phishing “vocal” nécessite un logiciel de changement de voix pour faire croire aux utilisateurs que l’attaquant est quelqu’un d’une organisation légitime.
Quel est le pourcentage de pirates qui utilisent l’ingénierie sociale ?
Les pirates utilisent fréquemment l’ingénierie sociale parce qu’elle fonctionne. L’ingénierie sociale et le phishing sont souvent combinés pour inciter les utilisateurs à envoyer de l’argent ou à divulguer leurs informations sensibles (identifiants de réseau et informations bancaires, par exemple). En fait, la plupart des emails reçus par les particuliers et les entreprises sont des spams ou des escroqueries, il est donc essentiel d’intégrer la cybersécurité à tout système de messagerie.
On estime que 91 % des cyberattaques commencent par un message électronique. Nombre d’entre elles exploitent le sentiment d’urgence afin que les victimes ciblées n’aient pas le temps de comprendre qu’il s’agit d’une escroquerie. Seuls 3 % des attaques utilisent des logiciels malveillants, laissant 97 % des attaques à l’ingénierie sociale. Dans certaines attaques sophistiquées, la victime visée reçoit un email, puis un appel ou un message de suivi.
L’ingénierie sociale est-elle illégale ?
L’ingénierie sociale est effectivement un crime, car elle utilise la tromperie pour amener les victimes ciblées à divulguer des informations sensibles. Les conséquences typiques de ces attaques donnent lieu à d’autres délits, comme l’accès frauduleux à un réseau privé, le vol d’argent ou de l’identité de l’utilisateur, puis la vente de données privées sur les marchés du darknet.
La fraude des consommateurs est courante dans les attaques d’ingénierie sociale. L’attaquant se fait passer pour une organisation légitime qui distribue des prix en échange de données financières ou d’un petit paiement. Après que la victime ciblée a fourni des données financières, l’attaquant vole l’argent directement sur le compte bancaire ou vend le numéro de carte de crédit sur les marchés du darknet. L’usurpation d’identité et le vol d’argent aux victimes ciblées sont des crimes graves.
Certains actes d’ingénierie sociale sont considérés comme des délits et ne sont passibles que d’amendes et de peines de prison de courte durée. Si les délits portent sur des sommes d’argent plus importantes ou visent plusieurs victimes, ils peuvent donner lieu à des peines plus lourdes et à des amendes plus élevées. Certains crimes donnent lieu à des poursuites civiles dans le cadre desquelles les victimes obtiennent des jugements contre les criminels et les personnes impliquées dans les escroqueries par ingénierie sociale.
Quelle est la fréquence de l’ingénierie sociale ?
Cela dépend, mais on estime que l’ingénierie sociale est utilisée dans 95 à 98 % des attaques ciblées sur des particuliers et des entreprises. Les comptes à haut niveau de privilèges sont une cible commune, et 43 % des administrateurs des services informatiques ont déclaré avoir été la cible d’attaques d’ingénierie sociale.
Les personnes récemment embauchées au sein des services informatiques sont encore plus susceptibles d’être ciblées. Les entreprises affirment que 60 % des nouvelles recrues sont des cibles plutôt que des membres du personnel en poste depuis longtemps.
En raison du succès de l’ingénierie sociale, les attaques basées sur le phishing et le vol d’identité ont augmenté de 500 % ces dernières années. Le vol d’identité n’est pas le seul objectif d’un attaquant. Voici quelques autres raisons pour lesquelles l’ingénierie sociale est un vecteur d’attaque primaire :
- Accès frauduleux à un compte pour un vol de données ou d’argent
- Accès financier à des comptes bancaires ou de cartes de crédit
- Simples raisons de nuisance
L’ingénierie sociale est-elle éthique ?
L’ingénierie sociale étant un crime, les menaces malveillantes ne tiennent pas compte de l’éthique lorsqu’elles visent des particuliers ou des entreprises. Tout le monde est une cible pour un attaquant, c’est pourquoi les particuliers et les employés doivent être conscients de la manière dont l’ingénierie sociale est menée. Un attaquant doit connaître sa cible et effectuer une reconnaissance avant de mener une campagne d’ingénierie sociale. Les utilisateurs doivent donc également comprendre le fonctionnement de l’ingénierie sociale.
Le premier “red flag” qui indique que vous êtes la cible de l’ingénierie sociale est que l’appelant ou l’expéditeur de l’e-mail ne répond à aucune question et vous décourage de poser des questions pour clarifier la raison de sa demande urgente. Leurs demandes peuvent sembler subtiles, mais ils demandent des informations sensibles sans répondre à aucune de vos questions. Dans une transaction financière légitime, une organisation ou une banque répond à autant de questions que nécessaire jusqu’à ce que vous vous sentiez à l’aise avec les actions qu’elle vous demande de prendre.
Un autre red flag contraire à l’éthique est que la plupart des attaquants utilisent le phishing sans conversation vocale. Si vous demandez à avoir une conversation vocale avec le demandeur, l’attaquant refusera. Cela n’est pas systématique, mais cette demande de votre part devrait vous aider à comprendre si l’expéditeur de l’email provient d’une organisation légitime ou pas. En cas de doute, il vous suffit de cesser toute communication avec l’expéditeur douteux et appeler directement le numéro de téléphone figurant sur le site Web de l’entreprise concernée.
Certaines formes d’ingénierie sociale sont éthiques. Lorsque vous engagez des pirates blancs pour tester la cybersécurité, ils testent la capacité de tous les employés à détecter les attaques d’ingénierie sociale. Lors d’un test de pénétration, un pirate éthique certifié appelle les employés pour déterminer s’ils vont divulguer leurs informations d’identification sur le réseau ou envoyer des emails de phishing contenant un lien vers un site web malveillant. Il enregistre chaque utilisateur qui clique sur le lien et prend note des utilisateurs qui saisissent leurs informations d’identification sur le réseau privé. Cette activité aide les organisations à déterminer quels sont les employés vulnérables à l’ingénierie sociale et à les former davantage aux protocoles de cybersécurité.
Quel est le coût d’une attaque par ingénierie sociale ?
Selon le Federal Bureau of Investigations, l’ingénierie sociale coûte aux organisations 1,6 milliard de dollars dans le monde. Les organisations paient en moyenne 11,7 millions de dollars par an pour les crimes de cybersécurité.
Le temps qu’il faut aux organisations pour détecter une violation de données, soit 146 jours en moyenne, est un élément important de ce coût. Lors d’une attaque par ingénierie sociale, il est beaucoup plus difficile pour les administrateurs et l’infrastructure de cybersécurité de déterminer quand un employé est victime d’une attaque.
Tout employé disposant d’un accès légitime peut rendre l’environnement vulnérable aux attaquants lorsqu’il se laisse prendre au piège d’une campagne d’ingénierie sociale et installe un logiciel malveillant, fournit des informations d’identification aux attaquants ou divulgue des informations sensibles.