Les 6 types d’attaques par ingénierie sociale les plus courantes en entreprise

DANS CET ARTICLE
Table des matières
Like it? Share it

L’ingénierie sociale est une technique de fraude qui consiste à manipuler la victime pour l’inciter à divulguer des informations confidentielles. On estime qu’elle est responsable de 98% des cyber attaques ! Quels sont les types d’attaques utilisant l’ingénierie sociale ? Comment protéger son entreprise des attaques par ingénierie sociale ?

Trustpair bloque les effets néfastes des attaques par ingénierie sociale en bloquant les paiements vers des tiers suspicieux et en auditant en continu les données tiers. Contactez un expert pour en savoir plus.

Nouveau call-to-action

Quels sont les types d’attaque par ingénierie sociale les plus courants en entreprise ?

Voici une liste des principales techniques d’attaques par ingénierie sociale. Ces attaques fréquentes sont autant de menaces sur la sécurité des entreprises et de risques de vols de données ou de pertes financières.

Le hameçonnage ou phishing

L’hameçonnage (ou phishing) est une technique frauduleuse qui vise à tromper un internaute via un piratage informatique. L’objectif des hackers est de dérober des informations sensibles, comme des mots de passe ou des données financières.

Pour arriver à leurs fins, les pirates se font généralement passer pour un tiers de confiance : partenaire commercial, banque, administration, etc. Le phishing peut prendre plusieurs formes : email, SMS, appel téléphonique… Tous les employés d’une entreprise sont vulnérables et peuvent être victimes d’une attaque de ce type.

Le spearphishing

On parle également d’attaque par hameçonnage ciblé (spear signifiant lance en anglais). Ce type de fraude fonctionne de la même façon que le phishing, à cette différence près qu’il vise une seule personne. Par exemple, l’email frauduleux reçu par la victime contiendra son nom et son prénom pour donner une impression de proximité et inciter à la confiance.

Ces attaques sophistiquées ont malheureusement un taux de réussite élevé et permettent aux criminels de dérober des données ou des fonds sans être détectés.

Le malware et ransomware

Un ransomware est un type de malware qui bloque l’ordinateur de la victime et l’empêche d’y accéder tant qu’elle n’aura pas payé de rançon. C’est un moyen efficace pour les pirates informatiques de soutirer de l’argent.

Le vishing

Le vishing (mot valise issu de la contraction entre voice et phishing) est un type de fraude effectué par téléphone ou message vocal. Ici, le fraudeur va se présenter comme un conseiller bancaire (par exemple) et demander les informations personnelles de sa victime, sous un prétexte fallacieux.

Les incidents liés au vishing sont en augmentation constante. A la fin de l’année 2021, une attaque sur quatre reposait sur le hameçonnage vocal. A noter que les particuliers ne sont pas les seuls concernés : les entreprises aussi peuvent être victimes d’attaques de vishing.

Le tailgating ou prétexte

Aussi appelée attaque par filature, il s’agit d’une forme d’ingénierie sociale par intrusion physique. Par exemple, le fraudeur va entrer dans un bâtiment ou une zone sécurisée en se faisant passer pour un salarié ou un visiteur autorisé.

Le tailgating est une forme de phishing, appliqué au monde physique. Il représente une menace pour la sécurité des entreprises. Pour se protéger contre le tailgating, celles-ci peuvent adopter des mesures de sécurité comme l’utilisation de caméras de surveillance ou la mise en place de badges et de codes d’accès.

Le whaling

Le whaling (qu’on pourrait traduire par pêche à la baleine) est un type d’attaque utilisé par les cybercriminels dans le but de se faire passer pour un cadre supérieur au sein d’une entreprise. Concrètement, cela prend parfois la forme de la fraude au président.

L’objectif est simple : soutirer des informations sensibles (notamment financières) ou des fonds à la direction. Généralement, le whaling fonctionne par l’envoi d’un email usurpant l’identité d’un cadre supérieur, adressé à l’un ou plusieurs de ses collègues. Les experts prédisent que les attaques par whaling vont s’intensifier car les hackers peuvent désormais utiliser des informations personnelles partagées en ligne pour piéger leurs victimes.

L’ampleur des attaques de whaling peut être conséquent : en février 2023, un promoteur immobilier s’est ainsi vu dérober 38 millions d’euros via une fraude au président.

Vous souhaitez en apprendre plus sur la fraude en entreprise et comment s’en prémunir ? Téléchargez notre dernière étude sur la fraude !

Etude Fraude 2023 - SAP Trustpair

Comment se protéger des attaques par ingénierie sociale ?

Si les attaques utilisant l’ingénierie sociale se multiplient, elles ne sont pas une fatalité. Voici les bonnes pratiques pour protéger votre entreprise et contenir les attaques.

Savoir reconnaître les signaux d’une attaque par ingénierie sociale

Les attaques utilisant l’ingénierie sociale sont généralement reconnaissables à plusieurs signes distincts :

  • Une demande inhabituelle : par exemple, une demande d’envoi de données personnelles, un message informant d’un changement soudain de coordonnées bancaires, l’envoi d’une pièce jointe sans véritable justification… Si une demande vous semble sortir de l’ordinaire, procédez systématiquement à des vérifications.
  • Une demande urgente : c’est un excellent moyen de reconnaître une attaque par ingénierie sociale. En effet, ce type d’attaque repose sur la manipulation émotionnelle des victimes et la pression psychologique. Prétexter une urgence est un moyen pour les fraudeurs de parvenir à leurs fins.
  • Une demande de mise en relation avec une personne inconnue : sur les réseaux sociaux comme LinkedIn, les fraudeurs peuvent se créer des faux profils et chercher à établir des contacts avec leurs victimes. Avant tout échange, vérifiez le profil de votre interlocuteur : quels sont ses antécédents professionnels ? A-t-il des recommandations ? Peut-il justifier de son identité ? Etc.

Former et tester en continu les employés de l’entreprise

Les attaques par ingénierie sociale fonctionnent en raison de la vulnérabilité des victimes, mais aussi de leur manque de connaissances. Ils sont la première faille de sécurité de l’entreprise !

C’est pourquoi il est essentiel de former les salariés à la fraude via des campagnes de sensibilisation, et de communiquer régulièrement sur le sujet. Pour vérifier l’assimilation de leurs connaissances, il est également recommandé de réaliser régulièrement des tests.

Mettre en place des mesures de sécurité suffisantes

Un grand nombre d’attaques ont pour origine un usage personnel ou incorrect du réseau informatique de l’entreprise. Ce risque peut être réduit en limitant l’accès à certains sites comme les réseaux sociaux ou les sites de streaming. Par ailleurs, le contrôle de l’accès aux données de l’entreprise permet de limiter les types de fraude utilisant l’ingénierie sociale.

Cela implique par exemple de mettre en place une politique de gestion des mots de passe et de renforcer la sécurité des systèmes informatiques. Les salariés doivent également être formés à procéder à des vérifications strictes avant toute divulgation de données sensibles.

Implémenter une solution de lutte contre la fraude

Les logiciels ou plateformes anti-fraude sont un excellent moyen de se protéger efficacement. Il s’agit de solutions collaboratives qui se déploient au sein des différents services de l’entreprise, et qui permettent de contrôler et de vérifier l’authenticité des données tiers.

Par exemple, dans le cas de Trustpair, lorsqu’un paiement vers un tiers malveillant ou suspicieux est constaté, une alerte se déclenche et le paiement est bloqué. Ainsi, en cas de tentative de fraude au président ou d’attaque externe par phishing, le logiciel bloque la demande de virement et empêche l’attaque de se déployer. Contactez l’un de nos experts pour en savoir plus !

 

Pour conclure…

Il existe de nombreux types d’attaques utilisant l’ingénierie sociale. Ces attaques par ingénierie sociale sont de plus en plus courantes et sophistiquées, il existe des moyens simples et efficaces de s’en prémunir. Par exemple, l’utilisation d’une plateforme anti-fraude comme Trustpair permet aux entreprises de contrôler et de sécuriser l’ensemble de la chaîne de paiement. A ce titre, elle offre la possibilité de contrer automatiquement les attaques par ingénierie sociale. C’est donc un excellent rempart contre tous les types de menaces pour la sécurité de l’entreprise.

Autres articles

FAQ
Questions les plus courantes

Parcourez les différentes sections et trouvez les réponses à vos questions

Une attaque d’ingénierie sociale est une technique de piratage qui repose sur la manipulation psychologique. Elle vise à tromper les victimes et les amener à divulguer des informations personnelles ou à effectuer des actions contraires à leur intérêt. Elle implique souvent l’utilisation de l’ingéniosité et de la persuasion.

Il existe plusieurs types de phishing. Le plus commun est le phishing par email, suivi par le spearphishing (attaque ciblée) et le phishing par téléphone (dit vishing). Tous impliquent l’utilisation de techniques visant à inciter les victimes à diffuser des informations sensibles (identifiants de connexion, mots de passe, données financières, etc).

Le phishing est une technique frauduleuse utilisée pour inciter les victimes à divulguer des informations personnelles, telles que des mots de passe, des identifiants de connexion ou des données bancaires. Elle peut prendre plusieurs formes : sites web frauduleux, faux mails, faux appels téléphoniques…