Avez- vous déjà entendu parler du « social engineering » ? Même si le terme sonne plutôt positif, le phénomène qui se cache derrière l’est généralement beaucoup moins, car il s’agit là d’une nouvelle forme de hacking. De quoi parle-t-on exactement et comment en tant qu’ entrepreneurs pouvez-vous vous en protéger ? Maxime Rapaille, conseiller en cybersécurité et risques chez Cyber Security Management, fait le point dans cet article.

La nouvelle faille : l’esprit humain

: Il y a quelques années, quand on parlait de hacker, on s’imaginait une personne cloitrée entre quatre murs et assise devant un écran d’ordinateur pour pirater différents systèmes informatiques. Aujourd’hui, le hacker a évolué. Il peut entrer de différentes façons en contact avec ses victimes pour leur soustraire des informations ou leur extorquer de l’argent. Le social engineering fait partie de ces méthodes.

« Le social engineering, c’est exploiter la façon dont fonctionne l’esprit humain pour obtenir des informations ou des actions de la part d’une personne » explique M. Rapaille. « Pour cela, on la met dans des conditions de facilité car on sait que l’esprit humain va essayer d’agir dans le sens qui lui demande le moins d’effort. On peut également mettre l’esprit humain sous pression en le trompant pour qu’il agisse de la façon souhaitée sans réfléchir : nos réflexes reptiliens nous poussant à trouver une situation de sécurité d’abord ».

On pense souvent qu’il n’y a que les grosses entreprises qui peuvent être prises pour cibles de social engineering, car elles ont les moyens financiers, mais c’est faux ! Les PME et les entrepreneurs sont régulièrement visés par les hackers, car ils disposent, en règle générale, de moins de ressources pour se défendre. De plus, les plus petites structures et les entrepreneurs se méfient moins, car ils pensent que par leur petite taille, ils n’intéressent pas les hackers. Bien entendu, cela est également incorrect.  

Une technique pas si récente que ça

Le fait de jouer sur la psychologie du comportement humain n’est pas quelque chose de nouveau. « On retrouve certains aspects du social engineering dans les techniques utilisées depuis des centaines d’années par les vendeurs. Ces techniques de vente cherchent à accéder aux automatismes de l’esprit humain, ainsi qu’à ses biais cognitifs pour qu’il réponde beaucoup plus rapidement et facilement à la demande et ce, à des fins commerciales. Dans sa définition actuelle, le social engineering exploite également l’esprit de l’Homme, mais pour chercher à escroquer la personne et à lui soustraire des informations qui serviront à mettre en place d’autres attaques ».

Une méthode non-définie

Le social engineering n’est pas une méthode définie. Pour obtenir des informations confidentielles ou des paiements de votre part ou d’un de vos collaborateurs, le hacker peut agir de deux différentes manières :

  • la méthode passive : le hacker va collecter des informations en allant sur les réseaux sociaux, en écoutant les conversations des gens à proximité de lui, en lisant ce que vous écrivez sur votre ordinateur quand vous travaillez dans un lieu public, etc. Il va donc vous espionner. 

  • la méthode active : le hacker va utiliser des techniques telles que le « CEO-attack » (il se fait passer par téléphone pour le CEO de l’organisation et va mettre la pression sur une personne du service de comptabilité, par exemple, pour qu’elle fasse un virement sur le compte frauduleux), le mailing, etc. Il peut également trouver des techniques pour pénétrer physiquement les lieux de votre entreprise et y déposer des mouchards, installer un logiciel espion ou encore placer des points d’accès wifi sur votre réseau pour pouvoir y accéder facilement depuis l’extérieur. Si vous êtes un entrepreneur, les techniques sont similaires. Le hacker peut également vous contacter via mail, téléphone, et autres pour vous arnaquer. 

Comment vous protéger ?

Les techniques du social engineering peuvent aussi bien toucher les grandes entreprises que les PME et les indépendants. Il est donc important que chacun sache se protéger face à une éventuelle attaque. M. Rapaille nous donne pour cela les conseils suivants : 

  • Faire du « security awareness » auprès de votre personnel : le social engineering joue avec le fonctionnement de l’esprit humain, c’est pourquoi il faut éduquer les gens afin qu’ils adoptent les bons réflexes. Votre personnel doit comprendre et connaître les risques potentiels. Pour cela vous pouvez organiser pour votre personnel et vous-même, des formations, des séminaires, ou encore des conférences qui feront prendre conscience des risques potentiels.  Le but est qu’ils réfléchissent avant d’agir.

  • Mettre en places des systèmes et des procédures de protection via l’installation de logiciels qui permettent de bloquer les e-mails de phishing, de systèmes d’intelligence artificielle qui vont détecter les actions inhabituelles, ou encore de backups testés (et qui ne sont pas forcément chers), des systèmes d’authentification forte, etc.

  • N’hésitez pas à faire appel à des consultants spécialisés afin de vous faire aider dans vos démarches.

Mieux vaut prévenir que guérir

Vous pouvez limiter les dégâts d’une attaque, si vous vous préparez à l’avance. « La question qui se pose n’est pas ‘est-ce que je vais me faire attaquer ?’, mais plutôt ‘quand est-ce que je vais me faire attaquer ?’, car on sait que cela peut arriver à tout le monde » explique M. Rapaille, « C’est la raison pour laquelle, en cas d’incident, il faut être prêt et mettre en place des procédures non seulement techniques, mais également communicatives. En cas de crise , il est important de pouvoir communiquer correctement auprès des différentes parties comme votre personnel, les décodeurs, mais aussi les autorités. Chacun doit connaître son rôle et savoir comment réagir. Un autre élément essentiel est de disposer d’un plan d’action défini. Bien entendu, il n’existe pas de plan d’action magique et universel pour chaque attaque, mais il est important de s’en constituer un en fonction des risques possibles pour votre entreprises et de toujours être prêt à réagir. Prendre des précautions peut limiter les coûts liés à une attaque ».  

Maxime rapaille

Maxime Rapaille

Maxime Rapaille a un background en ICT et compte 20 ans d’expérience en cybersécurité et Risk Management. En tant que consultant en risque, sécurité et vie privée, il a travaillé pour de nombreuses entreprises telles que la STIB, HSBC, Euroclear, Belgacom, la BNB ainsi que BNP Paribas Fortis. Il est aujourd’hui consultant en sécurité pour de nombreuses entreprises de toutes tailles et dirige la division services de la société Cyber Security Management.