Les attaques d'ingénierie sociale

1. Selon Check Point, une entreprise sur deux est victime d’une
attaque d’ingénierie sociale et son coût dépasse les 100.000 $ dans
20% des cas !
Le terme d'« ingénierie sociale » (en anglais
« social engineering ») désigne l'art de
manipuler des personnes afin de
contourner des dispositifs de sécurité. Dans
un article paru sur son Blog (Helloblog.fr)
Symantec présente "Francophoned" : une
campagne d’ingénierie sociale visant des
entreprises françaises. Extrait : « En avril
2013, l’assistante d’un vice-président d’une
multinationale basée en France reçoit un
message faisant référence à une facture et
son lien pointant vers un système de
partage de fichier très populaire. Quelques
minutes plus tard, cette même assistante
reçoit un appel téléphonique d’un “autre”
vice-président de l’entreprise, l’enjoignant
de procéder immédiatement au paiement de
cette facture; cette personne parle avec
autorité, dans un excellent Français.
Seulement voilà, la facture est un faux et le
vice-président au téléphone un escroc ! La
facture supposée contient en réalité un
cheval de Troie de type RAT (Remote
Access Tool) configuré pour contacter un
serveur de Command&Control situé en
Ukraine. Grâce au RAT, l’attaquant prend le
contrôle de la machine de l’assistante,
enregistre les frappes au clavier, peut voir
l’écran, inspecte puis exfiltre des fichiers. »
Les attaques d’ingénierie sociale ciblent en
particulier les personnes disposant de
connaissances implicites ou d’un accès aux
informations sensibles. Leurs auteurs
exploitent toute une gamme de techniques
et notamment les réseaux sociaux pour
obtenir des données personnelles et/ou
professionnelles sur elles. Elles deviennent
les maillons faibles de l’entreprise. Selon
Check Point Software : « En définitive, les
individus sont un élément essentiel du
processus sécuritaire, car ils peuvent très
bien se faire manipuler par les criminels et
commettre des erreurs, menant à une
contamination par des logiciels malveillants
ou à des pertes accidentelles de données. De
nombreuses entreprises ne prêtent pas
suffisamment attention aux utilisateurs,
alors qu’en fait, ce sont eux qui devraient
être la première ligne de défense. Une
bonne méthode pour améliorer la
sensibilisation des utilisateurs à la sécurité
est de les faire participer au processus
sécuritaire. ».
« Francophoned » Les techniques utilisées
48% des entreprises sont concernées
Newsletter – Septembre 2013
Les attaques d’ingénierie sociale
Selon Trend Micro, « les méthodes d'ingénierie sociale afin de pénétrer ce
que l'éditeur définit comme le « cercle de confiance » sont multiples et font
appel à des leviers tels que la vulnérabilité, l'autorité ou les centres
d'intérêts : recommandation d'un docteur, conseils boursiers ou encore
photos de vacances. »
 Les attaquants rivalisent d’inventivité !!! Exemples en images
Source Trend Micro

2. Calendrier
Formations Liens utiles
CCSA R75 : 7 au 9 Octobre
CCSA R75 : 4 au 6 Novembre
CCSA R75 : 2 au 4 Décembre
CCSE R75 : 14 au 16 Octobre
CCSE R75 : 12 au 14 Novembre
CCSE R75 : 9 au 11 Décembre
Formations sur
mesure, utilisateurs,
« one to one » :
Contactez-nous
- Accéder au site EI-Technologies : www.ei-technologies.com
- Demande d'information/s’inscrire
A propos de EI-Institut
EI-Institut est le Centre de Formation du groupe EI-Technologies. Agréé sous le n° 11 75 479 18 75, toutes ses formations
peuvent être financées par un organisme collecteur (OPCA) et sont également éligibles au DIF.
Il est le Centre de Formation agréé et exclusif en France de Salesforce depuis 2009 et aussi Centre de Formation agréé de
Check Point depuis 1996.
EI-Institut est une marque du groupe EI-Technologies, 42 rue Lisbonne - 75017 Paris – Tél. : +33 1 56 59 17 20
A propos de EI-Technologies
EI-Technologies est un groupe français de Conseil en Management (EI-Management) et de Conseil en Systèmes
d’Informations comptant 260 collaborateurs. Nos expertises sont directement liées à la transformation numérique des
entreprises due aux ruptures majeures et récentes dans les technologies de l’information et leurs usages.
Nos métiers :
Conseiller nos clients sur les options stratégiques de transformation et d’évolution de leurs métiers, de leur DSI et de leur
Système d’Information
Concevoir et développer les architectures et applications innovantes de la transformation numérique
Garantir qualité, performance et sécurité des applications et des infrastructures en cours de modernisation
EI-Technologies, 42, rue Lisbonne - 75017 Paris ou 27, rue Fortuny – 75017 Paris – Tél. : +33 1 56 59 17 20
Votre contact : Alexandra LEYBAC
 : +33 1 80 05 24 29
@ : alexandra.leybac@ei-technologies.com