L’ingénierie sociale et ses conséquences

Publié le : 29 septembre 2017

Dans la categorie - Analytics

Alors que l’actualité met en avant des attaques informatiques toujours plus sophistiquées, les décideurs en viendraient presque à oublier que l’humain est l’un des principaux  maillons faibles de la sécurité informatique. Ainsi, selon le dernier rapport IBM – Ponemon Institute publié en 2016, 25% des vols de données sont liés à des erreurs ou des négligences humaines.

L’ingénierie sociale consiste ainsi à exploiter la faiblesse humaine pour obtenir un bien, un service ou des informations clefs. L’ingénierie sociale existait avant l’ère digitale. A titre d’exemple, dans les années 2000, des escrocs en bande organisée ont utilisé les informations personnelles disponibles dans les annuaires d’Alumni pour se faire passer pour un ancien d’une prestigieuse université et ont ainsi soutiré de l’argent à ses camarades de promotion en usurpant son identité.

Nul besoin aujourd’hui de malware ou ransomware pour accéder à des informations personnelles : beaucoup sont déjà disponibles sur les réseaux sociaux comme Facebook ou LinkedIn. Un livre blanc publié par Alban Jarry en 2016 montre que 43% des personnes acceptent des inconnus sur leur réseau LinkedIn[1].

Le président d’une banque française nous a récemment montré un profil Facebook d’une personne indiquant travailler dans sa banque et cherchant à entrer en relation avec ses clients par ce biais ; faux profil, fausse identité évidemment… De la même manière comment êtes-vous bien certains de qui se cache derrière le profile Linkedin de toutes les personnes qui vous invitent ?

Ces techniques « simples » permettent aux escrocs d’obtenir de façon déloyale des informations clés sur un donneur d’ordre, un fournisseur… et par la suite d’usurper son identité afin d’initier des virements frauduleux.

Schéma de la fraude au président (source gendarmerie nationale)

Selon Grand Thorton, au moins 3 entreprises sur 4 ont été victimes de tentative de fraude au cours des deux dernières années. Si 80% des tentatives sont un échec, le préjudice en cas de succès peut monter jusqu’à 10M€. Selon le FBI, ce sont 2,3 milliards de dollars qui ont été dérobés aux entreprises entre 2013 et 2016 et une augmentation de 270% du nombre de victimes identifiées en 2015[1].

Le phénomène est donc de taille et les entreprises ont commencé à construire des premiers remparts pour l’endiguer : diffusion de mesures comportementales (par exemple : faire attention aux informations d’entreprise publiées sur les réseaux sociaux personnels, ne pas cliquer sur les e-mails douteux de personne inconnue…), mise en œuvre de processus d’entreprise pour un meilleur contrôle interne… Mais ces mesures ne sont pas suffisantes, même si elles sont correctement appliquées, car elles reposent encore trop sur le facteur humain. C’est la raison pour laquelle de nouvelles solutions émergent, basées sur les traitements big data et le machine learning. Elles permettent d’automatiser de façon de plus en plus efficace la détection des attaques et des fraudes, en complément des activités et des processus humains.

Vous en saurez plus en lisant notre prochain post !

[1] https://fr.slideshare.net/AlbanJarry/livre-blanc-612-rencontres-sur-les-reseaux-sociaux-partie-2-etude

[2] https://www.lesechos.fr/08/04/2016/lesechos.fr/021827593152_le-boom-inquietant-de-la—fraude-au-president—.htm