INHESJ

Les fragilités humaines : L'ingénierie sociale

fiche 37

Persuasion ou manipulation ?

L'ANSSI définit l'ingénierie sociale comme une « manipulation consistant à obtenir un bien ou une information, en exploitant la confiance, l'ignorance ou la crédulité de tierces personnes ». Approche à la fois psychologique et systémique, l'ingénierie sociale permet à des personnes malintentionnées de manipuler un individu, en vue d'obtenir de sa part des informations stratégiques ou des comportements inadaptés. Constituant l'un des moyens les plus exploités par les auteurs d'escroqueries économiques et financières pour parvenir à leurs fins, sociale fragilise chaque année de nombreuses entreprises, quand elle tout simplement leur perte. Les personnes physiques qui en sont victimes subissent un réel traumatisme qu'elles ont beaucoup de mal à surmonter.

Des atouts pour convaincre

Technique de communication par nature intrusive, l'ingénierie sociale n'est pas pour autant illégale. Dans la plupart des cas, elle s'appuie sur une étude préalable des environnements personnel et professionnel de la future victime. La personne malintentionnée cherchera alors à établir dans un premier temps une relation de confiance avant d'entrer ensuite en contact direct avec son interlocuteur, soit par médias sociaux interposés, soit par courrier électronique, soit par téléphone. Même si elle expose son auteur à davantage de risques, la recherche d'une relation directe par contact physique ne doit pas être écartée.

Dans son rapport sur l'état de la menace lié au numérique pour l'année 2018, le délégué ministériel aux industries de sécurité et à la lutte contre les cybermenaces (DMISC) rappelle que les techniques d'ingénierie sociale et les vulnérabilités résiduelles touchent une entreprise sur deux !

Faux président, faux virement, mais vraie escroquerie !

L'ingénierie sociale permet, à ceux qui en exploitent les ressorts et les ressources, de commettre des escroqueries toujours plus sophistiquées. Pourtant, dans la majeure partie des cas, les fraudeurs exploitent une faille humaine et des faiblesses organisationnelles.

A titre d'exemple, l'escroquerie dite des faux ordres de virement internationaux ou du faux président, vise à obtenir par des moyens frauduleux (faux nom ou fausse qualité, mise en scène, etc.) la remise de fonds par virement bancaire.

Quelques mesures simples suffisent parfois à réduire les risques :

  • Toujours vérifier l'identité de son interlocuteur par un rappel sur des coordonnées identifiées,
  • Vérifier systématiquement l'adresse courriel de son correspondant,
  • Instaurer une procédure de séparation des pouvoirs en matière de saisie et de validation,
  • Exclure les paiements de fin de semaine afin être en mesure de réagir rapidement auprès des banques en cas d'atteinte avérée, etc.
  • N'hésitez pas à suivre les conseils de la fédération bancaire française.
  • Par ailleurs, l'ANSSI et CPME mettent à disposition un guide de bonne pratique des plus utiles.

Réagir face à une atteinte à la sécurité économique

Parce qu'elles ne sont pas nécessairement liées à l'existence d'une infraction à la loi pénale, les atteintes à la sécurité économique se révèlent parfois difficiles à comprendre ou à identifier pour le dirigeant d'une petite ou moyenne entreprise ou par des salariés.

Pour limiter les risques de fraude liée à l'ingénierie sociale, vous devez en interne :

  • Limiter la perte de données sensibles en rappelant à chaque salarié et collaborateur de l'entreprise la nécessité de conserver un usage prudent des réseaux sociaux,
  • Préserver les bases clients et fournisseurs en instaurant des procédures de sécurité des systèmes d'information rigoureuses,
  • Sensibiliser sur les indices qui peuvent alerter (demande de changement de compte, changement de coordonnées, incitation à faire un test de virement, demande de prise de contrôle à distance, etc.), et renouveler régulièrement ces séances de sensibilisation,
  • Former les équipes en charge de la trésorerie et des opérations de comptabilité,
  • Pour toute autre question, la brigade numérique de la gendarmerie se tient à votre disposition sur www.gendarmerie.interieur.gouv.fr

> Télécharger la fiche au format pdf

> Retour au sommaire des fiches thématiques des atteintes à la sécurité économique