1. “SOCIAL ENGINEERING : QUELLES STRATEGIES ? Hapsis
“Social
Engineering”:
Quelles stratégies ?
LIVRE BLANC HAPSIS
« Définition pas si simple »
Hapsis
L’ingénierie sociale (social Peut-être aurions-nous dû parler Hapsis est un cabinet de conseil
engineering) au sens de la sécurité des d’escroquerie informatique ? indépendant spécialisé dans le domaine
systèmes d’information (SSI) est à ne de la gestion des risques et de la sécurité
pas confondre avec son homonyme Une fois ce préambule établi nous des systèmes d’information. Créé par des
désignant la réalisation de travaux utiliserons dans la suite de ce professionnels de la sécurité
dans les domaines des politiques document les termes d’ingénierie informatique, Hapsis est constitué de
sociales et de l’intervention sociale. sociale ou de social engineering dans consultants reconnus dont l’expertise et
un contexte de sécurité de l’expérience sont associés à une
Il existe même pour cette dernière un l’information. connaissance approfondie des contraintes
et des enjeux des entreprises.
diplôme d’état. On voit ici comment la
Proposons en premier lieu une
traduction d’un terme américain a pu
définition : l’ingénierie sociale
engendrer une confusion potentielle
consiste en une série de techniques
en français, confusion d’autant plus
visant à amadouer, duper ou tromper
forte que l’ingénierie sociale au sens de
une personne cible en vue d’obtenir
la SSI ne s’adresse pas qu’aux seuls
d’elle une information ou un
professionnels de la SSI mais bien
comportement qu’elle n’aurait pas
évidemment également, et au premier
donnée ou qu’elle n’aurait pas eu
chef, aux professionnels des ressources
sans la mise en œuvre de ces SE Force
humaines (RH), eux-mêmes déjà
techniques. Pour lutter contre l’ingénierie sociale,
familiarisés avec cette appellation
Hapsis a mis au point l’offre SE Force. Elle
justement dans le domaine des
est constituée de 4 volets :
politiques sociales.
Evaluation de la résistance de
Voilà donc un sujet qui commence bien
l’entreprise aux attaques de type SE.
mal, engendrant une confusion
Systémique : audit des processus,
amenant la majorité des
analyse des vulnérabilités,
professionnels de la SSI à conserver la
renforcement des processus.
terminologie anglo-saxonne.
Humain : sensibilisation et formation
Détection et surveillance
45 rue de la Chaussée d'Antin, 75015 Paris • Téléphone: 01 53 16 30 60 • www.hapsis.fr
2. “SOCIAL ENGINEERING : QUELLES STRATEGIES ? Hapsis
« Une menace à
prendre très au
sérieux »
Ces techniques existent depuis
toujours. Les escrocs de tout poil qui
ont parsemé l’Histoire de leurs méfaits
sont maîtres dans l’art de les appliquer. des relations avec des
collaborateurs de l’entreprise cible Il sera ainsi possible pour les
Une différence de taille existe
et deviennent leurs « amis ». Au cybercriminels de « revenir » dans
néanmoins entre l’usage qui en était
travers de ces relations ils le réseau ainsi compromis et
fait autrefois et aujourd’hui. En effet,
recueillent de précieux d’extraire des informations
celui qui utilisait ces techniques devait
renseignements sur les procédures sensibles du système
à l’époque être particulièrement doué
de l’entreprise, sur des noms d’information de l’entreprise
dans leur application car elles
d’autres personnes de l’entreprise victime. Les attaquants utilisent
s’appliquaient essentiellement face à
et leurs responsabilités, les projets donc pour ce faire les informations
face entre le criminel et sa victime. Le
importants… ; préalablement recueillies, et
risque d’être pris était à cet égard élevé
rédigent un mail crédible qui
en cas d’échec. Au travers de l’usage 4. Une fois qu’ils disposent d’un trompera une personne cible de
d’Internet non seulement les nombre d’informations suffisant l’entreprise. Cette dernière croira à
possibilités d’escroqueries se sont ils peuvent préparer l’attaque un message légitime de
ouvertes à des escrocs moins qualifiés proprement dite. Pour ce faire le l’entreprise et activera le code
mais aussi à des escrocs provenant cybercriminel se choisit une malveillant qu’il contient à son
potentiellement du monde entier. « couverture ». Dans les cas les insu. L’un des cas les plus
plus fréquents, il se fait passer médiatisés en 2011 de ce type
L’ingénierie sociale est une menace à pour un client, pour un d’attaque est celui dont a été
prendre très au sérieux, la plupart des collaborateur d’un fournisseur, ou victime la société RSA ;
experts s’accorde aujourd’hui pour la encore pour un employé de
considérer comme la menace numéro la société visée. Le plus efficace 7. Dans le cas d’une attaque par
1 pesant sur les systèmes est sans conteste le dernier cas. En téléphone il s’agit, dans la
d’information des entreprises. En effet effet, le collaborateur ciblé se majorité des cas, pour l’attaquant
la plupart des attaques d’envergure sentira d’autant plus en confiance d’obtenir des informations
ayant engendré les dégâts les plus qu’il croira avoir à faire à un confidentielles de la personne
importants pour les entreprises collègue. En revanche c’est contactée. On a même vu des
victimes et les profits les plus certainement le plus difficile à exemples où le pirate établit une
conséquents pour les criminels, ont, à accomplir et ne peut être réservé relation avec la personne cible
un moment ou à un autre, exploité des que dans des entreprises pendant des semaines, avant
techniques d’ingénierie sociale. suffisamment grande et étendue d’obtenir l’information recherchée
pour que tous les collaborateurs et maintenir ensuite la relation
Un scénario typique peut être le ne se connaissent pas ; quelque temps afin de ne pas
suivant : éveiller de soupçons ;
5. Cette attaque s’effectue en règle
1. Des cybercriminels sont mandatés générale soit par mail soit par On l’aura compris les cybercriminels,
pour pénétrer le système téléphone, plus rarement par pour mettre en œuvre leurs noirs
d’information d’une société cible contact direct ; desseins, vont au plus facile. Le
et dérober des informations
sensibles ;
6. Dans le cas d’une attaque par mail piratage informatique pur étant de
il s’agit en général de permettre plus en plus complexe, ils ne cherchent
2. Ils commencent par collecter de l’installation dans le réseau de plus à forcer le coffre-fort, ils
l’information sur la société cible et l’entreprise cible d’un code demandent la clé ou la combinaison à
certains de ses collaborateurs ; malveillant comme un cheval de l’un de ses « copropriétaires » en le
3. Via les réseaux sociaux ils nouent Troie ; dupant.
45 rue de la Chaussée d'Antin, 75015 Paris • Téléphone: 01 53 16 30 60 • www.hapsis.fr
3. “SOCIAL ENGINEERING : QUELLES STRATEGIES ? Hapsis
Une stratégie globale
pour se défendre
Nous ne chercherons pas à détailler ici plus avant
les mécanismes utilisés et les raisons pour
lesquelles ils fonctionnent si bien. A partir de
l’instant où le niveau de dangerosité de l’ingénierie
sociale est bien évident, l’objectif est maintenant
de dégager les lignes de la stratégie à mettre en c’est à dire sa capacité à résister par construction à
œuvre pour lutter contre ce fléau. ce type d’attaques. En agissant sur les
collaborateurs on renforce la capacité de ceux-ci à
Toute lutte contre l’ingénierie sociale doit agir sur identifier la menace et à se défendre et ainsi
deux composantes de l’entreprise : les processus défendre leur entreprise. S’appuyant sur ce
et les collaborateurs. En agissant sur les processus principe, la stratégie proposée est composée de
on renforce la défense systémique de l’entreprise, trois parties :
Audit de processus
1. Audit et défense systémique Il s’agit d’analyser un processus de l’entreprise,
Tests d’intrusion comme, par exemple, celui du traitement des
La pratique régulière de tests d’intrusion de type clients par un support téléphonique, ou encore
ingénierie sociale permet de mesurer dans le celui du paiement des factures fournisseurs, en
temps les progrès accomplis par la mise en œuvre identifiant si à une étape ou une autre, il peut être
de la stratégie dans son ensemble. Ils sont vulnérable à une attaque d’ingénierie sociale. Sont
également utiles afin de sensibiliser la Direction de ensuite préconisées et mises en œuvre des contre-
l’entreprise à la nécessité d’agir en démontrant les mesures en modifiant le processus si cela est
risques encourus. possible et/ou en formant les personnes pouvant
En fonction du périmètre ciblé et de la politique de être la cible de l’attaque.
l’entreprise, ces tests pourront prendre différentes Il est particulièrement intéressant de noter ici que
formes : campagne de phishing, envoi de mails des objectifs sécuritaires peuvent être tout à fait en
ciblés, récupération d’informations sensibles par phase avec un objectif d’amélioration business.
téléphone ou via les réseaux sociaux, intrusion En effet, prenons le cas d’un service de banque par
dans les locaux… téléphone
45 rue de la Chaussée d'Antin, 75015 Paris • Téléphone: 01 53 16 30 60 • www.hapsis.fr
4. “SOCIAL ENGINEERING : QUELLES STRATEGIES ? Hapsis
Lorsqu’un client appelle, un processus car le client doit fournir d’avantage d’informations,
d’identification permet de s’assurer qu’il est bien tout en ayant l’impression d’une plus grande
celui qu’il prétend. Les procédures standards proximité de la banque à son égard ce qui est
simples peuvent, comme cela s’est déjà produit, certainement un avantage commercial.
prêter le flanc à certaines attaques d’ingénierie Organisation
sociale. Certaines banques ont renforcé cette La lutte contre l’ingénierie sociale nécessite
procédure en formant leurs opérateurs à avoir un également qu’elle soit prise en compte d’un point
dialogue plus personnel basé sur une meilleure de vue organisationnel. Dans la grande majorité
connaissance de leur client, tenu naturellement sur des cas elle s’intègre dans l’organisation existante.
le ton d’une conversation amicale. Cela permet de Il peut néanmoins être utile d’y apporter parfois
renforcer le niveau de sécurité de l’identification quelques aménagements
2. Education et sensibilisation
Ce qu’il faut retenir
Il y a beaucoup à dire sur le contenu d’un
programme d’éducation et de sensibilisation à
l’ingénierie sociale. Il faut en effet expliquer ce que
c’est, faire prendre conscience de la menace, dire
ce que l’on risque, expliquer pourquoi cela
fonctionne, détailler les techniques et indiquer les
parades. Cependant, pour que des personnes non
professionnelles de la sécurité soient sensibles au
message, fassent l’effort de comprendre et,
d’appliquer les bonnes pratiques, il y a deux points En effet le renard, qui chasse le hérisson, est un
essentiels à faire passer : animal rusé. Il déploie ainsi maints stratagèmes
Le risque pèse aussi et surtout sur eux. En effet, en vue de capturer le hérisson. Face à ces
lorsqu’il s’agit d’une attaque technique, dans attaques au nombre desquelles il n’entend pas
laquelle un pirate tente une intrusion via grand chose, le hérisson répond toujours d’une
l’infrastructure informatique d’une entreprise, les simple et unique manière : il se met en boule et
collaborateurs ne sont pas directement impactés. dresse ses épines face à l’attaquant. Dépité, le
Dans le cadre d’une attaque d’ingénierie sociale, renard rentre à chaque fois bredouille. De la
c’est tout le contraire, elle cible en premier un ou même façon, il suffit au collaborateur d’une
plusieurs collaborateurs de l’entreprise. Au bout du entreprise, d’apprendre les quelques réflexes
compte c’est bien une personne qui se fait duper et simples à avoir pour faire échec aux manœuvres
manipuler. Les conséquences psychologiques rusées des renards que sont les cybercriminels.
peuvent dans ce cas être difficiles à supporter. Il est
donc impératif de faire prendre conscience aux Campagnes de sensibilisation
collaborateurs que cette menace les vise et les Nous ne rentrerons pas ici dans le détail de mise
concerne directement. en œuvre de campagnes de sensibilisation et sur
Ce n’est pas si compliqué que cela. Une réaction les facteurs clé de succès de ces campagnes. Il
courante face à ce sujet est de considérer que les faut cependant prendre soin d’intégrer aux
cybercriminels sont bien trop malins et campagnes de sensibilisation, menées sur la
compétents face aux béotiens que nous sommes et sécurité de l’information, des modules dédiés à
que donc on ne peut pas y faire grand chose. En l’ingénierie sociale.
fait, il est fondamental de comprendre que pour
résister et faire face à une attaque d’ingénierie Formations ciblées plus poussées
sociale, il n’est absolument pas nécessaire d’en Certaines catégories de collaborateurs sont, en
maîtriser les techniques, loin s’en faut. Afin quelque sorte, en première ligne face au risque
d’illustrer ce propos, on peut comparer cette d’attaques d’ingénierie sociale. Ce sont par
situation à celle du hérisson face au renard. exemple les nouveaux arrivants, les assistantes
45 rue de la Chaussée d'Antin, 75015 Paris • Téléphone: 01 53 16 30 60 • www.hapsis.fr
5. “SOCIAL ENGINEERING : QUELLES STRATEGIES ? Hapsis
de direction, les commerciaux, le support client… Pour Agréable à suivre, vivante et immersive cette formation
ces personnes il est utile de leur fournir une formation met en œuvre :
plus poussée. Les objectifs de cette formation sont : • Des ateliers basés sur des cas pratiques, Des
exercices,
• développer auprès des collaborateurs une • Des vidéos,
conscience de la menace et une • Un jeu de rôle immersif spécialement conçu
compréhension des enjeux, pour cette formation, animée par des
• leur expliquer les techniques d'ingénierie comédiens professionnels qui permet de
sociale utilisées, mettre en pratique les enseignements.
• et surtout leur apprendre à réagir et à adopter
les comportements qui protègent.
3. Détection et réponse à incidents
Honeypots sociaux L’idée est donc de créer un réseau interne de veille
Dans le cadre d’une lutte efficace contre et de détection au travers d’une équipe de
l’ingénierie sociale, il est utile de pouvoir détecter sentinelles réparties dans l’entreprise. Ce réseau
en amont la préparation d’une attaque. On l’a vu, peut venir se greffer sur le réseau existant de
toute attaque commence par une collecte gestion des incidents. Les sentinelles, une fois
intensive d’informations sur la cible. L’idée est formées, collectent autour d’elles les évènements
donc de placer des leurres aux endroits de suspects et propagent les bonnes pratiques. Les
prédilection des attaquants, à savoir les réseaux évènements recensés sont centralisés en un point
sociaux. Ces leurres sont ce que l’on appelle des ou la corrélation permet une vigilance globale.
honeypots (pots de miel) sociaux, et consistent en
la création de faux profils sur les réseaux sociaux,
Réponse à incidents
ces profils crédibilisant la possible détention
Intégrée à la politique de gestion des incidents, la
d’informations susceptibles d’intéresser les
réponse faite aux incidents liés aux attaques
attaquants. Une sollicitation de mise en relation,
d’ingénierie sociale consiste en la prise de mesures
suivie de demandes d’informations peut ainsi
défensives ou de prévention complémentaires :
éveiller les soupçons et permettre de savoir que
modification de processus, formation,
quelque chose se prépare.
déploiement d’outils, surveillance accrue…
Réseau de sentinelles
La plupart des entreprises cibles sont des grandes
entreprises, étendues géographiquement. On l’a
vu, les attaques d’ingénierie sociale peuvent cibler
tout collaborateur n’importe où dans l’entreprise.
Une bonne surveillance des attaques ou des
tentatives d’attaques passe donc par une
capillarité suffisante du processus de surveillance.
45 rue de la Chaussée d'Antin, 75015 Paris • Téléphone: 01 53 16 30 60 • www.hapsis.fr