Bien entendu, vous disposez d’une SI compétente. Vous n’avez rien négligé pour protéger les accès à votre système d’information. Peut-être même l’avez-vous fait auditer par une agence de sécurité réputée. Vous avez aussi engagé un RSSI, bien formé et pratiquant une veille technologique de tous les instants.

Mais …

Vos collaborateurs utilisent quotidiennement votre système informatique. Ils partagent des données, échangent des emails, accèdent à votre ERP. Ils peuvent, de leur poste de travail, et parfois même à distance via un VPN, utiliser tous ces outils que vous mettez à leur disposition. Ils seront la cible d’un hacker déterminé à vous soutirer des informations.

Il faudrait un annuaire pour lister, rien que sur les dernières années, les dommages énormes subis par des systèmes informatiques pourtant très sécurisés. En 2013, un simple coup de téléphone à permis à des inconnus de pirater le fichier des contraventions (le STIC), parce que les utilisateurs n’étaient pas suffisamment formés et la chaîne de commandement était incorrecte. D’autres affaires plus récentes ont vu des sites Internet entiers se faire siphonner leur base de données. On a même retrouvé sur le darknet un fichier de 120 000 fonctionnaires de police qui se révèle être une extraction issue d’une société d’assurance spécialisée.

Votre Système d’information est performant. Vos collaborateurs le sont aussi, mais quiconque exploite leur méconnaissance ou leur imprudence disposera de toutes les données que vous mettez à leur service. Les techniques d’ingénierie sociale se basent sur le comportement humain. Ce ne sont plus quelques failles parfaitement documentée dans la littérature technique spécialisée auxquelles il faut faire face, mais à l’arsenal de l’espionnage, de la manipulation, de l’abus de confiance ou de la séduction alliés, bien sûr, à une bonne base technique.

C’est pourquoi 90% des piratages réussis contiennent une part ingénierie sociale. C’est pourquoi c’est l’enjeu majeur de la sécurité informatique aujourd’hui. C’est pourquoi vous devez vous protéger efficacement contre ce fléau avant d’être, vous aussi, à la une des journaux, dans la rubrique “victime de hackers”.