Nous, les humains, sommes des êtres étranges, n’est-ce pas ? Depuis qu’ils existent, nous cherchons à duper nos frères pour en tirer un bénéfice personnel, et nous sommes devenus assez bons dans ce domaine. Bien sûr, cela ne signifie pas que toutes les personnes que vous rencontrez concoctent secrètement des plans diaboliques pour vous manipuler et vous faire révéler vos secrets. Mais ces acteurs malveillants existent bel et bien, et ils sont assez répandus sur l’internet. Cependant, ce qui rend l’ingénierie sociale particulièrement intéressante, c’est qu’elle est de nature psychologique et que les victimes sont amenées à partager volontairement des données sensibles avec un acteur de la menace.
Avec les progrès de l’IA, du clonage de voix et de la technologie deepfake, il sera de plus en plus difficile de distinguer ces attaques d’une communication légitime. Voici donc quatre conseils pour vous protéger contre des attaques d’ingénierie sociale de plus en plus convaincantes.
1. Mettre en œuvre des programmes de sensibilisation aux menaces
Étant donné que l’ingénierie sociale consiste toujours à manipuler quelqu’un pour qu’il donne volontairement des informations sensibles, il est essentiel de veiller à investir dans des programmes de formation obligatoires à l’échelle de l’organisation, dans le cadre desquels les membres de votre organisation sont formés aux différentes techniques utilisées par les acteurs de la menace pour mener à bien leurs attaques. Une sensibilisation élémentaire aux menaces peut faire la différence entre la sécurisation de vos données critiques et leur exposition potentielle à une violation ; il suffit d’un seul maillon faible, d’une seule erreur de jugement ou d’une confiance mal placée.
Les programmes de formation peuvent contribuer à éliminer tout maillon faible et à réduire considérablement le risque qu’un membre de votre organisation mette en péril vos données sensibles par ignorance.
2. Vérifiez toujours toute communication suspecte
Étant donné que les attaques d’ingénierie sociale impliquent un élément de manipulation psychologique, faire preuve de discernement et même de bon sens peut grandement vous aider à éviter d’en être victime. Assurez-vous de toujours remettre en question la validité de toute communication que vous recevez. Si vous avez l’impression que quelque chose ne va pas, c’est probablement le cas ; et même si ce n’est pas le cas, il n’y a pas de mal à revérifier.
Par exemple, aucun employé subalterne ne recevra jamais un message WhatsApp du PDG de l’organisation lui demandant de l’argent. Bien sûr, cet exemple est de toute évidence une tentative d’ingénierie sociale, mais l’argument reste valable.
Mais d’un autre côté, certaines de ces tentatives peuvent être très convaincantes. Il existe plusieurs cas où le clonage de voix et les messages d’hameçonnage ont été utilisés pour amener des personnes à révéler des informations sensibles ou à autoriser d’importants transferts financiers. L’un des premiers exemples bien documentés de ce type d’attaque est celui d’un fraudeur qui a utilisé un clone vocal d’IA pour escroquer un PDG et lui soutirer 243 000 USD.
3. Soyez sélectif quant aux données que vous partagez en ligne
Veillez à ne pas partager trop d’informations en ligne. Les données que vous partagez peuvent être utilisées contre vous. Plus vous en dites sur vous, plus il est facile pour un acteur malveillant de créer des stratagèmes plus convaincants, susceptibles de vous inciter à partager des informations sensibles.
4. Utiliser des outils d’intelligence artificielle pour détecter les activités suspectes
Nous avons vu comment l’IA est mise en œuvre pour rendre les tentatives d’ingénierie sociale plus convaincantes. Mais heureusement, d’un autre côté, les outils basés sur l’IA peuvent grandement vous aider à détecter les tentatives d’ingénierie sociale. Bien qu’ils ne soient pas totalement infaillibles, les organisations peuvent mettre en œuvre des algorithmes de ML qui sont formés pour analyser toute communication suspecte afin d’y déceler les signes révélateurs d’une ingénierie sociale.
La sensibilisation aux cybermenaces est la meilleure défense contre les attaques d’ingénierie sociale
Les récentes avancées en matière d’attaques d’ingénierie sociale illustrent parfaitement l’évolution des techniques de lutte contre les cybermenaces ; et à mesure que les outils d’IA deviennent plus accessibles, nous allons assister à une augmentation des tentatives d’ingénierie sociale qui sont également extrêmement convaincantes. Une meilleure sensibilisation aux cybermenaces est notre meilleure arme contre ces attaques et nous devons nous assurer que nous faisons tout ce qui est en notre pouvoir pour garder une longueur d’avance sur ces acteurs malveillants.
Source : Top tips: Four ways to protect your organization from increasingly advanced social engineering attacks by Eric Roshaan
