← Retour au blog Sécurité

Attaques par ingenierie sociale : pourquoi vos employes sont la cible

Envestis Team 15 min de lecture

L'attaque que les pare-feu ne peuvent pas arreter

Votre entreprise peut avoir le meilleur pare-feu, des communications chiffrees, l'authentification a deux facteurs sur chaque compte et un site web construit selon les meilleures pratiques de securite. Rien de tout cela n'a d'importance si un attaquant peut appeler votre receptionniste, se faire passer pour le departement IT et se faire communiquer un code de verification. Ou entrer dans votre bureau derriere un employe qui tient la porte ouverte. Ou laisser une cle USB etiquetee "Rapport Salaires T3" sur le parking.

L'ingenierie sociale est la pratique consistant a manipuler les gens pour leur faire reveler des informations confidentielles ou effectuer des actions qui compromettent la securite. Elle cible la psychologie humaine plutot que les vulnerabilites techniques. Et elle fonctionne avec une consistance alarmante, particulierement contre les petites et moyennes entreprises.

Selon le Data Breach Investigations Report de Verizon, l'element humain est implique dans 74% de toutes les violations de donnees. Les attaquants choisissent l'ingenierie sociale parce qu'elle est efficace, peu couteuse et scalable.

Ingenierie sociale vs phishing technique

Le phishing (que nous couvrons en detail dans notre article sur le phishing des emails d'entreprise) est un type specifique d'ingenierie sociale utilisant des emails frauduleux. L'ingenierie sociale au sens large inclut le phishing mais englobe aussi des attaques plus personnelles, plus ciblees, souvent menees en personne ou par telephone.

Un attaquant qui recherche votre entreprise sur LinkedIn, identifie le responsable financier par son nom, appelle le bureau en se faisant passer pour un fournisseur et convainc un employe de rediriger un paiement fait de l'ingenierie sociale. La sophistication technique est quasi nulle. La sophistication psychologique est elevee.

Les techniques principales

Pretexting

Le pretexting est la forme la plus sophistiquee d'ingenierie sociale. L'attaquant cree un scenario fabrique (un "pretexte") et assume une fausse identite pour extraire des informations de la cible.

Scenarios qui fonctionnent contre les entreprises :

  • L'appel du support IT : Un attaquant appelle un employe, pretend etre du fournisseur IT et demande d'installer un logiciel d'acces distant ou de partager des identifiants pour "resoudre un probleme urgent."
  • Le nouvel employe : Un attaquant appelle le service financier, pretend etre un employe recemment embauche qui n'a pas encore recu ses identifiants.
  • La verification fournisseur : Un attaquant envoie un email au service comptabilite, se faisant passer pour un fournisseur existant, et demande que les paiements futurs soient envoyes a de nouvelles coordonnees bancaires.
  • La demande du dirigeant : Un attaquant se fait passer pour le CEO et donne l'instruction d'effectuer un virement urgent.

Ce qui rend le pretexting efficace, c'est la preparation. Les attaquants font des recherches sur leurs cibles. Ils connaissent les noms, les titres, les structures organisationnelles. LinkedIn et les sites d'entreprise fournissent toutes les informations necessaires.

Baiting

Baiting physique : L'exemple classique est une cle USB laissee dans un espace public de l'entreprise, etiquetee "Confidentiel" ou "Plan de restructuration." Un experiment de l'Universite de l'Illinois a montre que 48% des cles USB trouvees sont branchees sur des ordinateurs.

Baiting numerique : Telecharments de logiciels gratuits ou outils pirates contenant des malwares.

Tailgating

Le tailgating est de l'ingenierie sociale physique. L'attaquant suit une personne autorisee a travers une porte securisee. Dans les petits bureaux, courants a Lugano et au Tessin, le tailgating est trivialement facile. Beaucoup de petites entreprises n'ont aucun controle d'acces electronique.

Une fois a l'interieur, l'attaquant a acces physique aux postes de travail, imprimantes, prises reseau et ordinateurs non verrouilles.

Vishing (hameconnage vocal)

Le vishing utilise des appels telephoniques au lieu d'emails. Il est efficace parce que les conversations telephoniques creent une pression psychologique que les emails ne creent pas. Quand quelqu'un vous parle en temps reel, il y a une pression sociale a repondre, a etre serviable.

Scenarios courants :

  • Verification bancaire : "C'est votre banque. Nous avons detecte une activite inhabituelle. Veuillez confirmer votre numero de compte."
  • Autorite fiscale : "C'est le bureau fiscal cantonal. Il y a un ecart dans votre declaration."
  • Support technique : "J'appelle de Microsoft. Votre ordinateur envoie du trafic suspect."

Le Caller ID peut etre usurpe. Le numero affiche sur votre telephone peut montrer le veritable numero de votre banque.

Pourquoi les petites entreprises sont particulierement vulnerables

  • Culture de confiance : Dans une petite entreprise, tout le monde se connait. Un inconnu sympathique qui demande le directeur par son prenom n'est pas suspect. Cet environnement de haute confiance est merveilleux pour les affaires et terrible pour la securite.
  • Pas de processus visiteurs formel : Beaucoup de petits bureaux n'ont pas de reception, de registre visiteurs ou d'exigence de badge.
  • Employes multi-roles : La personne qui gere la comptabilite gere aussi le site web et les fournisseurs. Elle est occupee et distraite.
  • Pas de formation a la securite : La plupart des PME ne font pas de formation formelle. La premiere fois que les employes rencontrent une attaque est la vraie.
  • Culture basee sur l'autorite : Les employes sont conditionnes a suivre les instructions de la direction sans questionner.

Scenarios reels du contexte suisse

Une societe de negoce tessinoise a recu un appel de quelqu'un pretendant etre de leur banque. L'appelant connaissait le nom de l'entreprise, le nom du charge de compte et les montants des transactions recentes. Le responsable financier a fourni un code de verification que l'attaquant a utilise pour autoriser un virement frauduleux.

Un cabinet d'architectes dans un immeuble de bureaux partages n'avait aucun controle d'acces. Un attaquant est entre pendant la pause dejeuner et a passe quinze minutes a photographier des documents et copier des fichiers.

Une entreprise manufacturiere a recu un email d'un domaine qui differait du domaine reel du fournisseur d'un seul caractere. Elle a envoye deux mois de paiements au compte frauduleux avant de decouvrir la tromperie.

Construire un pare-feu humain

Formation a la sensibilisation

  • Reconnaissance : Quels sont les signes ? Urgence, pression d'autorite, demandes inhabituelles.
  • Verification : Comment verifier l'identite d'un appelant. Ne jamais utiliser les coordonnees fournies par l'appelant.
  • Signalement : Que faire quand vous suspectez une tentative.
  • Pratique : Exercices simules. Des simulations de vishing, des emails de phishing simules, des tests de tailgating.

La formation doit etre reguliere, pas annuelle. Des sessions trimestrielles de 20-30 minutes sont bien plus efficaces.

Procedures claires

  • Verification des changements de paiement : Toute demande doit etre verifiee par un canal de communication separe.
  • Politique de partage d'information : Definissez ce qui peut et ne peut pas etre partage par telephone.
  • Gestion des visiteurs : Meme dans un petit bureau, implementez un processus de base.
  • Politique USB : Les cles USB trouvees ne doivent jamais etre branchees sur les ordinateurs de travail.
  • Chemin d'escalade : Les employes doivent savoir exactement qui contacter.

Culture de securite

  • Le leadership donne l'exemple
  • Pas de blame pour les signalements
  • Recompenser la vigilance
  • Communication reguliere

Checklist de defense pratique

  1. Organisez une session de formation de 30 minutes.
  2. Etablissez une procedure de verification des changements de paiement.
  3. Definissez une politique de partage d'information.
  4. Implementez un processus visiteurs.
  5. Testez votre equipe avec des tentatives simulees.
  6. Mettez en place un canal de signalement.
  7. Lancez un test de phishing simule.
  8. Planifiez des sessions trimestrielles de rappel.

Si vous avez besoin d'aide pour concevoir un programme de sensibilisation, contactez notre equipe a Lugano. Nous travaillons avec des entreprises au Tessin et en Suisse. Pour une vue plus large, consultez notre guide complet cybersecurite pour PME.

Vous voulez savoir si votre site est sécurisé ?

Demandez un audit de sécurité gratuit. En 48 heures vous recevez un rapport complet.

Demander un Audit Gratuit

Articles Connexes

Sécurité

Vulnerabilites WordPress en 2025 : Pourquoi Votre Site Est Encore en Danger

WordPress propulse plus de 40% du web, mais sa popularite en fait la cible numero un des attaquants. Nous analysons les classes de vulnerabilites les plus courantes, des CVE reels et les mesures concretes pour securiser votre installation.

· 18 min de lecture
Sécurité

SPF, DKIM et DMARC : Protegez Votre Entreprise Contre le Spoofing Email

Le spoofing email coute des milliards aux entreprises chaque annee via les fraudes BEC et le phishing. SPF, DKIM et DMARC sont trois protocoles qui, correctement configures, rendent l'usurpation de votre domaine quasi impossible.

· 15 min de lecture
Sécurité

Pages d'Administration Exposees : Un Cadeau pour les Hackers

Vos pages /wp-admin, /admin ou /login sont visibles par tout internet. Les bots les scannent en ce moment. Le CAPTCHA seul ne vous sauvera pas. Voici comment les attaquants exploitent les panneaux admin exposes.

· 13 min de lecture

Contact Rapide