Comment résister aux attaques d 'ingénierie sociale : quelques conseils pour les entreprises et leurs employés

Conseils à l’intention des employeurs prévoyants : que faire pour éviter que le personnel ne soit victime d’ingénierie sociale

• L’employeur doit  veiller à ce que tous les employés soient formés, régulièrement par un consultant spécialisé en sécurité, dans le domaine des brèches de sécurité de données et des nouvelles techniques d’ingénierie sociale. 
• L’accès aux données sensibles doit être organisé en fonction des besoins réels de chaque salarié. 
• L’accès à l’entreprise devrait être restreint et contrôlé par du personnel de sécurité qualifié. 
• Les employés ne doivent pas divulguer d’informations confidentielles par téléphone. De nombreuses personnes malintentionnées prétendent travailler pour une certaine entreprise. Elles sont de plus susceptibles d’employer un jargon familier à leur interlocuteur car elles connaissent la structure de l’entreprise et ses points faibles. 
• Dans les grandes entreprises, où il est impossible de connaître tous les employés, un appel provenant d’une personne affirmant travailler pour un certain service peut suffire à tromper son interlocuteur. Mieux vaut vérifier le numéro de l’appel entrant avant de divulguer des informations, l’idéal étant de proposer à la personne de la rappeler. Les règles s’appliquent souvent différemment entre collègues, et c’est pourquoi vouloir aider un collègue ayant besoin de renseignements peut finalement se conclure par une fuite de données. 
• Souvent, les attaques d’ingénierie sociale exploitent des histoires « émouvantes » pour susciter l’empathie des victimes et leur tendance à considérer leurs collègues comme étant de bonne foi. Leurs auteurs peuvent passer beaucoup de temps à apprendre à connaître leurs victimes, et étudier leurs habitudes afin de leur proposer exactement ce qu’elles recherchent : amitié, amour, intérêts communs, style de vie, loisirs. Cela crée une relation de confiance, favorable à la divulgation de données sensibles. 

Conseils destinés aux employés : comment déjouer les pièges de l’ingénierie sociale

• Les employés doivent éviter d’évoquer des sujets liés à leur travail (campagnes, produits, services, plaintes, clients) avec des personnes qu’ils ne connaissent pas ou en lesquelles ils n’ont pas confiance. Pour révéler ces informations, ils est conseillé de toujours utiliser les canaux officiels de communication (numéros de téléphone, de fax, et adresses e-mail professionnels) ou en parler via vidéoconférence. 
• • Les employés ne doivent pas autoriser l’accès dans les locaux de l’entreprise aux personnes n’y travaillant pas. Si des personnes ont besoin de s’y rendre (pour un entretien ou d’autres raisons professionnelles), elles doivent être accompagnées en permanence.
• Lorsque qu’un employé reçoit un appel d’une personne qu’il ne connaît pas, qui prétend travailler dans un autre service/bureau et demande des données potentiellement sensibles, la meilleure chose à faire est de lui dire qu’il rappellera. L’employé doit ensuite appeler le/la réceptionniste et demander à parler avec cette personne. Il s’assure ainsi que cette dernière travaille réellement dans l’entreprise et qu’elle se trouve dans le bâtiment. 
• Les employés doit être extrêmement prudents quant aux personnes à qui ils remettent des périphériques amovibles, des ordinateurs portables ou des fichiers contenant des données confidentielles. 
• Il est recommandé de vérifier deux ou trois fois, si possible, les e-mails provenant de personnes demandant des données confidentielles. Une vérification téléphonique peut être une bonne idée, les pirates pouvant créer un site ressemblant à un site légitime afin de lancer une attaque de phishing destinée à obtenir des données sensibles de personnes qui ne les divulgueraient pas dans d’autres circonstances. 
• Les employés ne doivent jamais effectuer de tâches de maintenance comme installer des correctifs, du matériel (des modems par exemple), désactiver des solutions antivirus ou ouvrir des ports suite à une demande par téléphone. Ils doivent toujours vérifier ce type de demandes auprès du service informatique par téléphone, ou, mieux encore, en personne. 

Ainsi, la confiance n’est pas seulement un facteur de réussite commerciale et d’environnement productif de travail : elle devient une arme entre les mains d’un manipulateur souhaitant accéder à des données critiques et détruire une entreprise. Il est donc recommandé de traiter les données sensibles avec prudence en toutes circonstances.