Ingénierie sociale — définition et protection en entreprise
L'ingénierie sociale (social engineering) désigne les techniques de manipulation psychologique utilisées par les cybercriminels pour obtenir des informations confidentielles ou des accès à des systèmes en exploitant le facteur humain plutôt que les failles techniques. C'est le vecteur d'attaque le plus difficile à contrer techniquement.
Techniques principales
Le pretexting : l'attaquant se crée une fausse identité crédible (fournisseur, DRH, service IT) pour extraire des informations. Le vishing : appel téléphonique frauduleux (fausse banque, faux support informatique). La fraude au président : l'attaquant se fait passer pour le dirigeant et demande un virement urgent à la comptabilité. Le baiting : laisser une clé USB infectée dans les locaux.
Protection et sensibilisation
La protection technique est limitée car l'ingénierie sociale exploite le facteur humain. La formation est l'arme principale : apprendre à vérifier les identités (rappeler le demandeur sur un numéro officiel), ne jamais communiquer d'identifiants par téléphone ou e-mail, appliquer la double validation pour les virements, et signaler les tentatives suspectes au responsable sécurité.
Questions fréquentes
Comment détecter une fraude au président ?
Les signaux d'alerte : demande urgente et confidentielle, procédure inhabituelle, pression pour ne pas vérifier, montant inhabituel, compte bénéficiaire jamais utilisé. La règle d'or : tout virement inhabituel doit être confirmé par un deuxième canal (appel téléphonique direct au dirigeant sur son numéro habituel, jamais celui fourni dans le mail).
Les simulations d'attaques d'ingénierie sociale sont-elles légales ?
Oui, si elles sont réalisées avec l'accord de la direction et dans un cadre professionnel de test de sécurité. Le salarié piégé ne doit pas être sanctionné mais accompagné. Ces simulations sont les outils de sensibilisation les plus efficaces car elles mettent en situation réelle sans risque réel.
Que faire si on a été victime d'une fraude au président ?
Agir immédiatement : contacter la banque pour tenter de bloquer le virement (les premières heures sont cruciales), déposer plainte auprès de la police ou gendarmerie, contacter Pharos (signalement en ligne), notifier l'assurance cyber si applicable, et mettre en place des contrôles pour éviter la récidive.
