< Back
Ingénierie-sociale-attaques

Tags:

Ercom Protect Secure mobility and collaboration Citadel Team Cryptobox
22 April 2025

Ingénierie sociale : Quelles sont les attaques qui s’appuient sur le facteur humain ?

Découvrez à travers cet article, quelles sont les attaques qui s’appuient sur le facteur humain

 

74 % des cyberattaques réussies sont facilitées par le facteur humain. L’ingénierie sociale désigne le procédé par lequel les criminels manipulent les individus afin de parvenir à leurs fins, souvent en leur soutirant des informations sensibles ou en les incitant à effectuer des actions compromettantes. Cette technique joue un rôle crucial dans la réussite des cyberattaques : en privilégiant l’exploitation des failles humaines, elle permet aux attaquants de contourner les dispositifs de sécurité les plus avancés. Comment les cybercriminels utilisent-ils l’ingénierie sociale ? Quelles sont les bonnes pratiques pour s’en prémunir ?


Les modes opératoires de l’ingénierie sociale

Les attaquants ont recours à des modes opératoires très variés pour cibler les entreprises. Voici quelques exemples d’attaques qui s’appuient sur l’ingénierie sociale : 

  • Le phishing / spear phishing : l’attaquant envoie un email frauduleux à un collaborateur pour l’inciter à cliquer sur un lien malveillant, à télécharger une pièce jointe frauduleuse ou encore à dévoiler des informations confidentielles comme ses identifiants. Dans le cas du spear phishing, le criminel identifie les collègues, les supérieurs hiérarchiques, les partenaires, ou encore les centres d’intérêt du collaborateur ciblé afin de rédiger des emails crédibles et personnalisés.
  • Le smishing : cette variante du phishing s’opère via l’envoi de SMS frauduleux comportant un lien malveillant. Un exemple classique consiste à se faire passer pour une société de livraison et à envoyer un SMS comportant un faux lien de suivi de colis.
  • Le vishing : il s’agit d’appels téléphoniques trompeurs émis par le criminel qui se fait passer pour le représentant d’un fournisseur ou d’une entreprise partenaire afin d’obtenir des informations sensibles.
  • L’arnaque au président : une personne malveillante se fait passer pour le président de l’entreprise et demande à un collaborateur de l’équipe financière de procéder à un virement bancaire, en insistant sur le caractère confidentiel et urgent de la transaction. En réalité, le virement est effectué vers un compte en banque appartenant à l’attaquant.
  • Les deepfakes : les cybercriminels peuvent imiter l’empreinte vocale d’un individu, comme celle du directeur de l’entreprise, ou créer une vidéo de lui afin de duper le collaborateur ciblé.

Par exemple, en 2024 certains cadres de l’entreprise Ferrari ont reçu sur WhatsApp des instructions financières de la part de leur DG, Benedetto Vigna. Ces instructions font l’objet d’une conversation vocale, où la voix du directeur de l’entreprise est reproduite par l’IA. Un des collaborateurs, soupçonneux, pose une question à laquelle seul son supérieur peut répondre : “quel est le titre du livre que vous m’avez recommandé l’autre jour ?”. L’attaquant coupe alors la communication, démasqué. 


Les risques de l’ingénierie sociale pour votre entreprise 


L’ingénierie sociale peut avoir de nombreuses conséquences sur votre entreprise : 

  • L’installation d’un ransomware, en cas de clic sur un lien malveillant ou de téléchargement d'un fichier infecté. Le ransomware chiffre alors l’ensemble de vos données, les rendant ainsi inaccessibles… ce qui peut perturber ou interrompre totalement vos activités. Les criminels exigent alors une rançon en échange de la restitution des données, en menaçant de les divulguer publiquement si l’entreprise n’obtempère pas. Le préjudice financier d’une telle attaque est souvent très important.
  • Le vol d’informations sensibles : en manipulant les collaborateurs, les attaquants peuvent obtenir des couples identifiant / mot de passe, des informations bancaires ou industrielles, etc.  Ces données peuvent être utilisées pour mener d’autres attaques, mais aussi être revendues à vos concurrents. Une fuite de données peut également affecter la réputation ainsi que la confiance des clients et des partenaires.
  • Un accès frauduleux à vos systèmes : les identifiants obtenus peuvent permettre aux criminels d’accéder frauduleusement à vos systèmes internes. Ceux-ci sont alors en mesure d’espionner vos activités, de voler des données sensibles, ou encore de mener des attaques de grande ampleur contre votre entreprise. 


Comment renforcer la vigilance des collaborateurs ?

 

  • Planifier régulièrement des formations : il est crucial de sensibiliser l’ensemble des collaborateurs aux modes opératoires et aux risques liés à l’ingénierie sociale à travers des programmes de formation. Ces formations doivent être mises à jour régulièrement pour tenir compte de l’évolution des cybermenaces, et dispensées à fréquence régulière pour que les nouveaux arrivants puissent en bénéficier et que les autres salariés restent bien informés et vigilants.
  • Organiser des exercices de mise en situation : en simulant des situations réelles, les employés peuvent apprendre à réagir de la bonne façon et à identifier les signes d’une tentative d’attaque. Ces exercices peuvent notamment prendre la forme de fausses campagnes de phishing.

Par exemple, un test grandeur nature a été mené sur un échantillon de 9 000 gendarmes et gendarmes adjoints d'Île-de-France, un personnel normalement sensible aux enjeux de la cybersécurité. Ils ont ainsi reçu un faux email de phishing intitulé “Dotation exclusive de places pour les épreuves des Jeux Olympiques 2024“

Résultat :  5 000 d’entre eux ont ouvert l’email, et 500 ont cliqué sur le lien qu’il contenait, soit 10 % de l’échantillon. Cela a permis de les sensibiliser aux dangers du phishing.

Dans certaines entreprises, ces mises en situation peuvent faire l’objet de récompenses pour les salariés qui adoptent les bons réflexes… ou de sanctions en cas de comportements à risque.

  • Mettre en place des procédures de sécurité : en cas de soupçon, chaque collaborateur doit pouvoir librement contacter l’équipe dédiée à la cybersécurité au sein de l’entreprise afin de pouvoir effectuer une levée de doute. Par ailleurs, votre politique de sécurité doit décrire des protocoles spécifiques pour le partage de données sensibles. Les collaborateurs doivent être informés des niveaux de classification des données et des mesures de sécurité adaptées à chaque niveau, en s’assurant que ces pratiques soient suivies de manière systématique. Il est recommandé de mettre en place des alertes pour détecter toute exfiltration suspecte de données, et d’adopter la politique du moindre privilège pour limiter l’exposition de vos données sensibles.


En tant que spécialiste de la cybersécurité et des communications sécurisées, Ercom lutte contre les conséquences de l’ingénierie sociale en renforçant la protection des échanges et des données sensibles. Notre solution Citadel Team propose une messagerie sécurisée pour vos échanges textuels, audio et vidéo. Certifiée par l’ANSSI*, notre solution Cryptobox protège le partage de fichiers et la collaboration à un niveau de sécurité sans égal. Vous gardez ainsi le contrôle sur vos communications et protégez efficacement vos données contre les manipulations et attaques visant le facteur humain.

 

*Renouvellement en cours

Discover more on this topic

cyberattaques-solution-messagerie bg

Des solutions de messagerie et de visioconférence toujours vulnérables aux cyberattaques
sécuriser-données-sensibles-attaques bg

Comment sécuriser vos données sensibles face aux attaques ciblées ?
phishing-communications-sécurisées bg

Lutter contre le phishing, pour des communications sécurisées