L’ingénierie sociale dans le contexte de la sécurité de l’information est la pratique de manipulation psychologique d’une cible qui a pour finalité de pousser celle-ci à divulguer des informations sensibles, ou à faire des actions qui mettent en péril un système d’information (SI), ou encore, qui mettent en péril les données personnelles d’une cible en se basant sur plusieurs caractères humains comme l’oubli, l’avidité, l’impatience ou bien sûr, la confiance.
Mais si l’ingénierie sociale est le piratage des humains, quel sera l’impact réel sur la sécurité des SI ?
Dans ce cas est ce qu’il existe des moyens de protection ? Des firewalls pour humain ?
L’ingénierie sociale ou le people hacking a toujours été un point d’entrée de choix pour les cybercriminels vu qu’elle ne demande pas forcément de compétences techniques pointues en informatique mais plutôt des connaissances en psychologie et même en sociologie.
Les attaques basées sur l’ingénierie sociale commencent généralement par un simple e-mail, un coup de fil ou un sms. Il existe aussi des méthodes plus avancées comme les « Bad USB » ou les clés USB malicieuses.
Certaines attaques se font même à travers un contact direct avec la victime. Ainsi, le pirate sélectionne ses victimes en se basant sur une liste de critéres préétablie. L’attaque se fait en créant un lien de confiance, un partage de gain avec la victime ou sous la menace et le chantage pour pousser celle-ci à divulguer des mots de passe ou des informations sur les solutions de sécurité utilisées. Il arrive aussi, dans certains cas, que la victime soit invitée à cliquer sur un lien ou une image qui contient un cheval de Troie ou autre malware.
La raison pour laquelle les attaques d’ingénierie sociale ont un tel impact sur la sécurité de l’information, est qu’elles font partie des attaques ciblées, qui sont souvent des crises silencieuses qui touchent directement à la confidentialité des données sans remettre en cause le fonctionnement visible du SI. Ces crises sont difficilement matérialisées et traitées de maniére définitive.
Dans ce genre de crise, l’être Human est le maillon faible du systéme dont aucun dispositif de sécurité ne prend en compte pour empêcher les attaques.
Maintenant qu’on connait ce qui risque de se passer, comment se protéger ?
D’un point de vue sécurité des SI, il n’y a rien de mieux que la vigilance ! Seules la formation et la sensibilisation des utilisateurs sont les clés du combat. Pour être efficaces, les actions doivent dépasser les affichages sur les murs de l’entreprise ou encore l’envoi de mails pour parler des enjeux de la sécurité numérique. Afin de toucher le plus grand nombre d’employés et de les sensibiliser sur ce sujet, le mieux est de prévoir des sessions de formations illustrant différents scénarii d’attaques, intégrant l’intervention de vrais pirates qui pourront donner une idée aux utilisateurs de l’état d’esprit des cybercriminels et de leur façon d’opérer mais surtout montrant aux utilisateurs les bonnes pratiques pour assurer la sécurité des données en général.
Plusieurs formations en ligne sont déjà disponibles à l’instar du MOOC SecNumacadémie qui a été réalisé par les experts de l’Agence nationale de la sécurité des systémes d’information (ANSSI). Il prévoit un dispositif de sensibilisation lié aux menaces de la cybercriminalité.
Par ailleurs, de nombreux organismes de formations, à l’instar de Numeryx University ont orienté leur cursus de formation autour de la cybersécurité.
Avec cette perspective, chaque entreprise aura une équipe de cyber défenseurs, toute une armée d’utilisateurs vigilants capables de détecter les attaques informatiques : soit une couche supplémentaire à sa politique de sécurité !
