Ingénierie sociale, l’arme absolue du hacker

Kevin MitnickSi vous n’êtes pas spécialisé dans la sécurité informatique, il y a de fortes chances pour que vous ne sachiez pas ce qu’est l’ingénierie sociale dans le domaine de la sécurité.

Plutôt que de débuter par une fastidieuse définition, expliquons par l’exemple.

Si un inconnu force le mot de passe de votre messagerie internet en testant, à distance, tous les mots de passe : c’est une attaque de type brute force, et donc, ce n’est pas de l’ingénierie sociale.

Si un inconnu accède à la même messagerie en déduisant votre mot de passe grâce à la question secrète, c’est de ingénierie sociale. Pourquoi ? Parce qu’il faut vous connaitre, vous, en tant que personne, pour trouver la bonne réponse à cette question secrète.

Vous commencez à comprendre : l’ingénierie sociale, c’est tout ce qui est relatif aux failles humaines en matière de sécurité informatique.

Humain, trop humain

Pour le moment, il n’y a pas vraiment à s’inquiéter. Alors passons aux chiffres, histoire de mesurer l’importance du phénomène.

Verizon, géant américain de l’Internet, produit tous les ans un rapport sur les attaques informatiques qu’on subi ses clients. Le Data Breach Incident report de 2015 nous donne une indication sur la part de l’ingénierie sociale dans le piratage informatique : 90%.

90% des attaques ont, de près ou de loin, un rapport avec l’ingénierie sociale.  En gros, il est rarissime que les pirates passent par la porte de devant.

Plusieurs agences de sécurité font par ailleurs des tests fréquents visant à vérifier l’efficacité des phishings (emails piégés). Le phishing est considéré comme le parent pauvre de l’ingénierie sociale. Toutefois, il progresse et à l’heure d’aujourd’hui, on sait que 1 email de phishing sur 250 touche sa cible.

En Nouvelle Zélande, une étude de grande envergure a déterminé que sur l’année 2015, 48% des sociétés avaient été confrontées, le plus souvent sans le savoir, à une attaque d’ingénierie sociale.

Quelle que soit la taille de votre entreprise, vous pouvez être confronté au problème [en savoir plus].

Le fait de disposer d’un service SI performant ne vous met pas à l’abri. L’ingénierie sociale est une composante essentiellement non technique du piratage informatique, et à moins d’être composées de hackers émules de Kevin Mitnick, il y a de fortes chances que vos équipes soient insuffisamment préparées à ce genre d’attaques [en savoir plus].

Aussi, nous sommes à votre disposition pour vous assister dans votre démarche de sécuritaire face à l’ingénierie sociale [en savoir plus].