L’ingénierie sociale (ou le « social engineering » dans les pays anglo-saxons) consiste à identifier et exploiter des failles humaines lors d’une cyber-attaque. Complémentaire du volet technique du hacking, cette méthode révèle que le facteur humain est essentiel pour attaquer ou protéger une entreprise digitale.

Selon une étude Ponemon, les attaquants internes font partie des 3 types de cyber-menaces créant le plus de dégâts financiers pour les organisations.
Selon Christopher Hadnagy, spécialiste américain de la sécurité IT, les employés mécontents représentent un réel danger, hélas sous-estimé jusqu’à leur passage à l’acte. Mais les employés bien intentionnés peuvent aussi mettre leur entreprise en danger lorsqu’ils ne sont pas conscients des risques de hacking. En effet, plus les solutions IT deviennent sécurisées, et plus les hackers se tournent vers des attaques de type « ingénierie sociale » pour soutirer des informations à des salariés et parvenir à entrer dans un système ou une application.

Espion - social engineering

En tant que technique d’intrusion utilisée par les hackers, l’ingénierie sociale peut aussi être utilisée lors d’un audit de sécurité. Complémentaire d’un pentest, cette méthode permettra de détecter les risques humains, afin de préconiser des actions correctives au niveau organisationnel et/ou pédagogique.

Les travaux de Christopher Hadnagy et son équipe ont permis de théoriser les grands principes de l’ingénierie sociale, de proposer un framework prêt à l’emploi, et de formaliser le cycle de vie de ce type d’attaques.

Voici les piliers de ce framework :

  • recueil d’informations : l’étape primordiale pour réussir une attaque étant de recueillir le maximum d’information disponibles sur la « cible »
  • élicitation : l’art de poser les bonnes questions pour obtenir les informations recherchées
  • faux semblant : jouer un rôle et se faire passer pour quelqu’un d’autre afin d’avoir accès à des informations ou des accès protégés
  • tromperie : créer un rapport de confiance et utiliser des éléments tels que la PNL pour hacker le « mental » de ses interlocuteurs
  • persuasion : utiliser les meilleures techniques pour déployer son pouvoir de persuasion

Le cycle de vie d’une attaque étant le suivant :

  1. Recueil d’information
  2. Création d’un rapport de confiance
  3. Exploitation des failles et infiltration
  4. Exécution de l’attaque

L’ingénierie sociale n’est pas qu’une technique de hackers. Il s’agit d’une approche vieille comme le monde, au croisement entre art et science, utilisée par les espions et tous les professionnels dont le métier implique un degré de manipulation. Elle peut être utilisée à des fins bienveillantes ou malveillantes.

Dans le cadre d’un audit d’ingénierie sociale, il s’agit notamment de tester concrètement le niveau de sensibilisation du personnel aux enjeux de sécurité, à travers des situations à risques :

  • Réaction face à des emails de type phishing
  • Demande d’informations confidentielles par téléphone et/ou email
  • Accès aux outils internes dans les bureaux à la vue de tous
  • Tentatives d’accès à des espaces privés non autorisés

La prise en compte de ce type de risques implique une collaboration active entre les directions générales, les services RH et les managers opérationnels afin de corriger les faiblesses humaines, qui restent à l’heure actuelle le talon d’Achille des organisations au niveau de la cybersécurité.