Comprendre et prévenir les attaques de Social Engineering : stratégies de protection et rôle de l'IA

Magazine
Marque
SysOps Pratique
Numéro
146
Mois de parution
novembre 2024
Auteurs
Par
Leveau Stanislas
Spécialité(s)
Société
Sécurité réseau
Cyber Intelligence
Tag(s)
social engineering
Cybercriminalité
phishing
règlementation


Résumé

Nous avons vu dans notre première partie [0] ce qu’est le social engineering, à savoir une façon d’utiliser l’être humain pour le pousser à faire certaines actions et obtenir de lui quelque chose. Cette méthode se repose sur toutes sortes de techniques (phishing, spearphishing…) plus ingénieuses les unes que les autres et plus ou moins ciblées selon l’objectif voulu. Elle s’appuie dans tous les cas sur des failles humaines comme la curiosité, la cupidité et bien d‘autres qui sont les points clefs de ces arnaques. Nous allons désormais nous intéresser aux victimes, aux conséquences de ce genre de scénario d’attaque sur les entreprises et aux solutions proposées par ces dernières pour sensibiliser leurs utilisateurs. Nous ferons un rappel des différents articles de la loi française qui punissent les fraudes d’ingénierie sociale et nous finirons sur le futur du SE avec notamment des logiciels comme WormGPT, FraudGPT issus du côté obscur de l’Intelligence Artificielle.


1. Exemple de scénario d’attaques basées sur l’ingénierie sociale

Un scénario d’attaque se fait en plusieurs étapes dont la première qui est primordiale et ne doit pas être négligée par le pirate est la prise d’informations sur l’entreprise pour ensuite cibler une personne qui sera le point d’entrée de l’attaque.

1.1 Phase 1 - Collecter les informations sur l’entreprise

La chance qu’un pirate peut avoir de nos jours, c’est cette source inépuisable d‘informations qu’est Internet dans laquelle il peut piocher à l’infini et préparer son attaque. Il va commencer par rechercher des éléments simples sur le site internet de l’entreprise comme l'organigramme (hiérarchie) qui va lui permettre de voir la composition des services, les personnels du pôle financier. Logiquement on devrait y trouver ses clients, ses partenaires, peut-être ses fournisseurs. Il va commencer à collecter les données, croiser les informations (entreprises, employés). Le pirate…

Cet article est réservé aux abonnés. Il vous reste 97% à découvrir.
S'abonner à Connect
  • Accédez à tous les contenus de Connect en illimité
  • Découvrez des listes de lecture et des contenus Premium
  • Consultez les nouveaux articles en avant-première
Je m'abonne


Article rédigé par

Leveau Stanislas
Leveau Stanislas
7 articles

Abonnez-vous maintenant

et profitez de tous les contenus en illimité

Je découvre les offres

Déjà abonné ? Connectez-vous