Ingénierie sociale et sensibilisation

l'ingénierie sociale

L’ingénierie sociale est aujourd’hui un véritable fléau. Derrière ce terme académique se cache la volonté des pirates d’arnaquer, de voler, de tromper, de nuire, et de tirer profit de leurs crimes. Les cibles sont les entreprises, les gouvernements et aussi les individus. L’ingénierie sociale désigne une série de techniques au travers desquelles des escrocs dupent des collaborateurs dans le but final d’extorquer des informations ou de l’argent. Parmi ces attaques on peut notamment mentionner la tristement célèbre arnaque au président.


Votre entreprise a peut être déjà été victime d’’ingénierie sociale. Lorsqu’une attaque a réussi, des secrets ont été volés, de l’argent dérobé, laissant derrière elle une entreprise affaibli et des salariés traumatisés. Le récent cas de BRM Mobilier en est la triste illustration.

Ce type d’attaques dépasse largement le périmètre du système d’information seul. Quand un escroc, après avoir obtenu suffisamment d’informations, se fait passer pour le patron de l’entreprise et envoie une fausse facture par mail à la comptabilité fournisseur, et arrive ainsi à détourner de l’argent, ce n’est pas en agissant sur le système d’information qu’on résoudra le problème.

Il s’agit également d’une lutte sur laquelle salariés et entreprises peuvent faire cause commune, en effet les salariés sont en première ligne et l’impact peut être dramatique autant pour le collaborateur visé que pour son entreprise.

Ce phénomène prend une ampleur sans précédent et se sophistique de jour en jour. Il est donc urgent d’agir et d’y apporter une réponse globale.

Cette lutte ne peut être l’affaire des RSSI ou Responsable de la sureté seuls. Les Directions Générales et des Ressources Humaines doivent être également fortement impliqués.

« A lack of awareness is the main reason social engineering attacks are so successful. » Social Engineering – Christopher Hadnagy

Comme le dit Christopher Hadnagy, la sensibilisation des personnels est absolument essentielle contre l’ingénierie sociale.

Il devient vital que les collaborateurs sachent que cela existe, comment cela se passe, et quelles sont les défenses qu’ils peuvent opposer à ses attaques.

Parmi l’ensemble des informations et messages à faire passer dans cette sensibilisation, il nous semble importants de mettre en exergue 3 éléments importants :

  • Elément N°1 : Ce sont eux qui sont visés
    Dans ce type d’attaque, c’est le salarié qui est directement visé. On n’est pas dans le cas d’une attaque technique qui peut se perpétrer sans que quiconque, en dehors des équipes concernées, n’en ait conscience. Ici, la cible est l’individu. Les conséquences peuvent donc être dramatiques pour lui. Il doit donc prendre le sujet très au sérieux. Pour le comprendre, imaginez ce que doit être maintenant la vie de la responsable administrative et financière de la société BRM Mobilier. Elle a, en effet, été victime d’une arnaque au président qui a fait perdre à son entreprise 1,6 million d’euros et l’a conduite au redressement judiciaire. Cela doit être terrible pour elle. Les conséquences, notamment psychologiques, peuvent être très importantes. Il est donc indispensable de faire passer ce message afin que les collaborateurs comprennent bien l’enjeu pour leur entreprise mais aussi pour eux mêmes.
  • Elément N°2 : Ce n’est pas aussi compliqué qu’ils peuvent le croire
    L’une des objections fréquemment émises par les collaborateurs, lors d’une séance de sensibilisation sur l’ingénierie sociale, est que c’est compliqué. Ils se pensent très démunis avec leur niveau de compétences sur le sujet face à des escrocs bien armés et expert dans toutes les techniques d’arnaques et de piratage informatique. Il est donc important de leur faire comprendre que ce n’est pas aussi compliqué qu’ils peuvent le croire. En effet, l’objectif n’est pas qu’ils soient aussi doués que les pirates mais simplement qu’ils adoptent quelques comportements et règles simples de nature à les protéger dans pratiquement tous les cas. Pour ce faire nous utilisons l’analogie du renard et du hérisson. En effet, le renard, chassant le hérisson, est passé maître dans l’art de tendre différentes embuscades et tente d’user de ruses variées pour atteindre son objectif. Le hérisson, quant à lui, répond dans tous les cas par une réponse d’une simplicité extrême : quand il voit le renard et se sent menacé il se met en boule et dresse ses épines. Ainsi quelque soit la méthode employée par le renard, son attaque est déjouée par la même réponse, simple, du hérisson. Le message ainsi passé est qu’il ne s’agit pas d’atteindre le niveau du pirate, symbolisé par le renard, mais, qu’il suffit, comme le hérisson, de disposer de quelques épines, simples, à opposer à l’attaque.
  • Elément N°3 : Les réflexes et comportement à adopter
    Sans entrer ici dans les détails, parmi toute la matière fournie aux collaborateurs dans le cadre d’une sensibilisation à l’ingénierie sociale, il faut leur donner les quelques consignes qui leur permettront d’éviter les pièges dans une très grande majorité des cas.

En conclusion, vu l’ampleur du phénomène qu’est l’ingénierie sociale, il ne faut plus tarder. Faisons des collaborateurs de l’entreprise une force de lutte contre ces attaques. Aidons les se protéger et ainsi à protéger leur entreprise.