Dans le monde de la cybersécurité, la plus grande menace n'est pas toujours un morceau de code malveillant ou un bug système. C'est quelque chose de bien plus difficile à remédier : l'élément humain.

Contrairement aux menaces cybernétiques traditionnelles qui cherchent à exploiter les vulnérabilités des systèmes, les attaques d'ingénierie sociale contournent les défenses techniques en manipulant les gens pour qu'ils révèlent des informations confidentielles ou commettent des erreurs de sécurité.

C'est pourquoi il est si vital de comprendre l'ingénierie sociale. Il ne s'agit pas seulement de mettre en place les derniers contrôles de sécurité, mais de reconnaître les vulnérabilités humaines au sein de nos organisations et d'apprendre à les fortifier.

Alors plongeons plus profondément dans le monde de l'ingénierie sociale, comprenons l'ampleur de la menace qu'elle représente avec les dernières statistiques sur l'ingénierie sociale, et explorons comment les organisations peuvent se protéger contre cette menace redoutable.

Qu'est-ce que les attaques d'ingénierie sociale ?

L'ingénierie sociale est une méthode utilisée par les cybercriminels qui consiste à tromper les gens pour qu'ils partagent des informations confidentielles telles que des mots de passe et des numéros de carte de crédit, ou pour qu'ils fournissent un accès à leurs systèmes informatiques où ils installent des logiciels malveillants. Au lieu de pénétrer directement dans un système, les ingénieurs sociaux manipulent les gens pour qu'ils fassent des erreurs de sécurité ou qu'ils divulguent des informations sensibles.

La confiance que nous plaçons dans les autres, notre désir d'être serviable, et même nos peurs sont autant de vulnérabilités que les cybercriminels exploitent avec empressement. Ils n'ont pas besoin de compétences avancées en piratage s'ils peuvent simplement tromper un employé en le faisant cliquer sur un lien malveillant ou dévoiler un mot de passe.

L'ingénierie sociale est parmi les techniques les plus courantes utilisées par les acteurs malveillants pour exploiter une organisation — et les attaques deviennent de plus en plus sophistiquées. Les ingénieurs sociaux utilisent des tactiques de plus en plus personnalisées pour gagner la confiance et éviter les soupçons. La clonage vocal et la technologie des deepfake permettent aux acteurs de la menace de se faire passer pour leurs cibles de manière encore plus convaincante. Dans un cas très médiatisé, la voix créée par l'IA d'un directeur de banque a été utilisée pour tromper un gestionnaire de banque et lui faire transférer 35 millions de dollars aux acteurs de la menace.

Les attaques d'ingénierie sociale sont une menace particulièrement dangereuse pour les organisations en raison de l'élément humain. Les erreurs commises par les utilisateurs légitimes sont plus difficiles à détecter, à prévoir et à remédier. Dans de nombreux cas, les victimes ne réalisent même pas qu'elles ont été trompées.

Les types d'attaques d'ingénierie sociale les plus courants

1. Attaques de ransomware : Des logiciels malveillants encryptent les fichiers d'une victime, les rendant inaccessibles jusqu'à ce qu'une rançon soit payée.
2. Attaques de phishing : Des courriels génériques sont envoyés à un grand nombre de personnes, les trompant pour qu'elles révèlent des informations sensibles.
3. Spear phishing : Des arnaques de phishing adaptées à des individus spécifiques, souvent en utilisant des informations personnelles pour paraître plus légitimes.
4. Fraude au PDG/Whaling : Des cadres dirigeants sont usurpés pour duper les employés afin qu'ils effectuent des actions comme transférer des fonds.
5. Compromission de courrier électronique professionnel (BEC) : Similaire à la fraude au PDG, mais l'attaquant infiltre le compte de courriel de l'exécutif pour rendre les demandes plus légitimes.
6. Smishing : Phishing via SMS. L'attaquant envoie un message texte incitant le destinataire à révéler des informations sensibles ou à cliquer sur un lien malveillant.
7. Vishing : Phishing vocal, où l'attaquant se fait passer pour une entité de confiance lors d'un appel téléphonique.
8. Baiting : L'attaquant laisse un dispositif physique, comme une clé USB chargée de logiciels malveillants, à un endroit où la cible le trouvera.
9. Piggybacking/Tailgating : L'attaquant obtient un accès physique à une zone restreinte en suivant une personne autorisée à y être.
10. Prétextage : L'attaquant fabrique un scénario crédible (ou prétexte) pour voler les informations personnelles de la victime.
11. Quid Pro Quo/Arnaques de support technique : L'attaquant propose un service ou un avantage en échange d'informations ou d'accès.
12. Scareware : Des logiciels malveillants sont intégrés dans des logiciels gratuits, qui sont ensuite distribués à des utilisateurs sans méfiance.
13. Attaques du point d'eau : L'attaquant infecte des sites web que sa cible est connue pour visiter dans le but de compromettre l'appareil de la cible.

Statistiques de social engineering pour 2023

Nous avons parcouru les rapports de données les plus récents par des autorités de confiance comme le FBI, Verizon, IBM, Kaspersky, et beaucoup d'autres pour trouver les dernières statistiques incontournables sur le social engineering.

Statistiques sur les malwares et les ransomwares

1. Il y a eu 493 millions d'attaques par ransomware dans le monde en 2022. Statista
2. Selon une enquête de cybersécurité de 2020, 68 % des organisations américaines avaient subi une attaque de ransomware et payé la rançon. 22 % ont déclaré ne pas avoir été infectées et 10 % ont déclaré avoir été infectées mais ne pas avoir payé. Statista
3. 2022 a vu une augmentation de 13 % des violations par ransomware — une augmentation aussi grande que les 5 dernières années combinées. Verizon
4. 40 % des incidents de ransomware impliquent l'utilisation de logiciels de partage de bureau et 35 % impliquent l'utilisation d'e-mails. Verizon
5. 700 millions d'attaques utilisaient la rançon ou l'extorsion en 2021. Arctic Wolf
6. 70 % des responsables informatiques et de la sécurité considéraient le ransomware comme leur principale menace de sécurité en 2022. Arctic Wolf
7. Les secteurs de la santé, des services financiers et des technologies de l'information sont les plus susceptibles de subir une attaque de ransomware. FBI
8. 11 % des violations en 2022 étaient des attaques par ransomware, 41 % de plus qu'en 2021. IBM
9. Le pourcentage d'utilisateurs touchés par des ransomwares ciblés a doublé au cours des 10 premiers mois de 2022. Kaspersky
10. De nouvelles variantes de ransomware continuent d'émerger. Au cours de 2022, Kaspersky a détecté plus de 21 400 souches de ransomware. Kaspersky
11. Les paiements moyens de rançon au quatrième trimestre 2022 ont augmenté de 58 % par rapport au troisième trimestre pour atteindre 408 644 dollars, tandis que le paiement médian a augmenté de 342 % pour atteindre 185 972 dollars. Coveware
12. En 2021, le FBI IC3 a reçu 3 729 plaintes relatives aux rançongiciels, avec des pertes de plus de 49,2 millions de dollars. FBI
13. 70 % des responsables informatiques et des cadres d'entreprise ont déclaré que les rançongiciels étaient leur principale préoccupation en matière de sécurité en 2022. Le phishing est la seconde menace la plus préoccupante. Arctic Wolf
14. 2021 a connu certaines des exigences de rançon les plus élevées jamais enregistrées, avec une institution financière payant 40 millions de dollars pour déchiffrer ses données. SonicWall
15. Les violations par rançongiciel prennent en moyenne 326 jours pour être contenues — 49 jours de plus que la moyenne des violations de données. IBM
16. Le coût moyen d'une attaque par rançongiciel, sans compter le coût de la rançon elle-même, était de 4,54 millions de dollars. IBM
17. Le coût moyen d'une violation par rançongiciel est de 13,1 % plus élevé pour les organisations qui ne paient pas la rançon. IBM
18. En 2022, il y a eu 5,5 milliards d'attaques de logiciels malveillants dans le monde. Statista
19. L'email est la méthode de diffusion de logiciels malveillants la plus courante. Verizon
20. 450 000 nouveaux logiciels malveillants sont enregistrés chaque jour par l'Institut AV-Test. AV-Test
21. Les experts estiment qu'une attaque par rançongiciel sur des entreprises se produit toutes les 11 secondes. Cybercrime Magazine

Statistiques sur le phishing

1. Le phishing a été de loin le cybercrime le plus couramment signalé en 2022, touchant plus de cinq fois plus de personnes que tout autre type de cybercrime. Statista
2. D'ici le troisième trimestre 2022, près de 1,3 million de sites de phishing uniques ont été détectés dans le monde, soit une augmentation de plus de 15 % par rapport au deuxième trimestre 2022. Statista
3. Une enquête de 2021 montre que 48 % des organisations basées aux États-Unis ont subi entre 4 et 9 attaques de phishing réussies cette année-là. Statista
4. Une enquête de 2021 auprès de spécialistes de la sécurité informatique dans le monde entier a révélé que 79 % des organisations avaient subi des attaques de spear phishing. 13 % des répondants ont déclaré que leur organisation avait subi plus de 50 attaques. Statista
5. En moyenne, 2,9 % des employés cliquent sur des e-mails de phishing. Verizon
6. Les stratagèmes de phishing étaient le type de crime numéro un avec 300 497 plaintes FBI
7. Il y a eu 323 972 plaintes déposées auprès du FBI concernant le phishing, le fishing, le smashing et/ou le pharming, soit une augmentation de 34 % par rapport à 2021. FBI
8. Les e-mails de phishing, l'exploitation du protocole de bureau à distance (RDP) et l'exploitation des vulnérabilités des logiciels étaient les trois vecteurs d'infection initiaux les plus courants pour les incidents de rançongiciels en 2021. FBI
9. Les attaques de phishing ont augmenté de 29 % en 2021 par rapport à 2020. Zscaler
10. Les secteurs du commerce de détail et de gros étaient les industries les plus ciblées en 2021, avec une augmentation de 436 % des attaques de phishing. Zscaler
11. Le phishing par SMS a augmenté de 700 % au premier semestre de 2021. Zscaler
12. En moyenne, un PDG reçoit 57 attaques de phishing ciblées chaque année. Barracuda
13. 43 % des attaques de phishing usurpent des marques Microsoft. Barracuda
14. Le personnel informatique reçoit en moyenne 40 attaques de phishing ciblées chaque année. Barracuda
15. Les attaques de phishing par usurpation, où les attaquants se font passer pour des emails provenant d'une marque ou d'un service bien connu pour tromper les victimes en les incitant à cliquer sur un lien de phishing, représentent 49 % de toutes les menaces issues de l'ingénierie sociale. Barracuda
16. SlashNext rapporte que 80 000 URL malveillantes sont détectées quotidiennement. Cela équivaut à 255 millions d'attaques de phishing détectées en 2022, soit une augmentation de 61 % par rapport à 2021. SlashNext
17. 2022 a vu une augmentation de 50 % des menaces de phishing mobile. SlashNext
18. En 2022, la perte financière associée au phishing était de 52 millions de dollars. FBI
19. 62 % des organisations utilisent un programme de formation à la sensibilisation à la sécurité pour réduire la probabilité d'une attaque de phishing réussie. Arctic Wolf
20. Le phishing est la deuxième cause la plus courante de violation et la plus coûteuse, avec une moyenne de 4,91 millions de dollars en coûts de violation. IBM
21. Les marques les plus imitées dans les attaques de phishing en 2021 : ZscaleretBarracuda
    -Microsoft
    -WeTransfer
    -DHL
    -Google
    -eFax
    -DocuSign
    -USPS
    -Dropbox
    -Xerox
    -Facebook
    -Amazon
    -OneDrive
    -PayPal
    -Roblox
    -WhatsApp
    -Microsoft 365
    -Adobe
    -Fidelity

Statistiques des compromissions par email professionnel

1. 1 attaque d'ingénierie sociale sur 10 est une attaque de compromission par email professionnel (BEC). Barracuda
2. 77 % des attaques de BEC ciblent des employés en dehors des rôles financiers et exécutifs. 1 attaque de BEC sur 5 cible des employés des ventes. Barracuda
3. Les attaques de compromission par email professionnel (BEC) représentaient 10 % de toutes les attaques d'ingénierie sociale en 2021. Barracuda
4. Les attaques de compromission par email professionnel (BEC) représentent 6 % de toutes les violations avec un coût moyen de 4,89 millions de dollars. IBM

Statistiques des violations de données

1. En 2022, le coût moyen d'une violation de données aux États-Unis était de 9,44 millions de dollars, contre 9,05 millions de dollars en 2021. Le coût moyen mondial par violation de données était de 4,35 millions de dollars en 2022. Statista
2. On estime que 80 % des violations sont causées par des menaces externes. Verizon
3. 20 % des violations de données confirmées impliquent une ingénierie sociale. Verizon
4. 82 % des violations impliquent un facteur humain. Verizon
5. 83 % des organisations ont connu plus d'une violation de données. IBM
6. Les violations dans les organisations avec une IA de sécurité et une automatisation entièrement déployées coûtent 3,05 millions de dollars de moins que les violations dans les organisations sans IA de sécurité et automatisation — une différence de 65,2 % dans le coût moyen des violations. Les entreprises avec une IA de sécurité et une automatisation entièrement déployées ont également connu une identification et une maîtrise de la violation en moyenne 74 jours plus courte. IBM
7. Les identifiants de connexion volés ou compromis sont la cause la plus courante d'une violation de données, constituant le vecteur d'attaque principal dans 19 % de toutes les violations de données en 2022. IBM
8. 90 % des cyberattaques ciblent les employés d'une organisation. Arctic Wolf
9. L'organisation moyenne est ciblée par plus de 700 attaques d'ingénierie sociale par an. Barracuda
10. 89 % des attaques d'ingénierie sociale sont motivées par un gain financier, 11 % par l'espionnage. Verizon
11. Le pretexting constitue 27 % des violations d'ingénierie sociale. Verizon
12. 2021 a connu une augmentation de 7 % des violations de données signalées, les pertes potentielles dépassant les 6,9 milliards de dollars. Les attaques par ransomware et les schémas de compromission des e-mails professionnels (BC) figuraient parmi les principales plaintes signalées au FBI. FBI

Se protéger contre une menace invisible : Comment prévenir les attaques d'ingénierie sociale

Contrairement à d'autres types de menaces de cybersécurité qui exploitent les vulnérabilités des systèmes, l'ingénierie sociale cible l'élément le plus imprévisible d'une organisation – le facteur humain. C'est pourquoi la sensibilisation et l'éducation sont vos premières et meilleures lignes de défense. En comprenant les attaques d'ingénierie sociale, leurs phases et les types courants, votre équipe est déjà mieux préparée pour reconnaître et contrer ces cybermenaces avant qu'elles ne puissent affecter votre organisation.

1. Créer une culture de sensibilisation à la sécurité

Développer un cadre de cybersécurité solide commence par favoriser une culture de sensibilisation à la sécurité. Ce n'est pas une tâche qui devrait être laissée uniquement à votre département informatique, c'est une responsabilité collective. Tout le monde dans votre organisation doit comprendre les menaces auxquelles ils sont confrontés et leur rôle dans leur prévention.

La formation à la sensibilisation à la sécurité devrait être une partie régulière du processus d'intégration pour les nouveaux employés et devrait se poursuivre tout au long de la carrière d'un employé. Cette formation devrait également évoluer pour correspondre à la sophistication des tactiques d'ingénierie sociale. Rappelez-vous, une chaîne n'est aussi forte que son maillon le plus faible.

2. Apprendre à reconnaître les tactiques d'ingénierie sociale

Vos employés doivent être familiers avec les tactiques utilisées par les ingénieurs sociaux. Voici quelques mesures clés :

• Vérifiez les adresses e-mail : Les pirates se font souvent passer pour des sources de confiance. Vérifiez toujours l'adresse e-mail de l'expéditeur. Par exemple, 'support@micros0ft.com' peut sembler légitime à première vue, mais remarquez le chiffre '0' remplaçant la lettre 'o'.
• Ne cliquez pas sur des liens suspects : Survolez les liens pour afficher l'URL réelle avant de cliquer. Méfiez-vous des URL qui ne correspondent pas à la destination supposée ou qui sont inutilement longues avec des caractères aléatoires.
• Faites attention aux lignes d'objet couramment utilisées : Des phrases comme « Réinitialisation de mot de passe requise immédiatement », « Votre compte a été suspendu » et « Tentative de connexion non autorisée » sont couramment utilisées pour susciter l'urgence et la peur.
• Contactez directement l'expéditeur : Si un e-mail ou un message semble suspect, contactez directement l'expéditeur en utilisant des informations de contact connues, pas les détails fournis dans la communication suspecte.

3. Effectuer des tests de phishing réguliers

Les tests de phishing sont une approche proactive pour renforcer la défense de votre organisation. Effectuer régulièrement des campagnes de phishing simulées peut aider à évaluer la réaction de votre équipe et à identifier les domaines nécessitant une amélioration. Cette approche aide également les employés à comprendre l'importance des protocoles de sécurité et leur permet d'appliquer leur formation dans un environnement sûr.

4. Effectuer des correctifs et des mises à jour de sécurité réguliers

Peu importe à quel point vos employés sont sensibilisés à la sécurité, les logiciels, matériels et applications obsolètes peuvent offrir une porte d'entrée facile aux pirates. Les correctifs réguliers et les mises à jour de sécurité sont cruciaux pour corriger les vulnérabilités connues et sécuriser vos systèmes. Envisagez des systèmes de gestion des correctifs automatisés pour rationaliser ce processus.

5. Mettre en œuvre une surveillance continue

La surveillance continue est une étape cruciale pour détecter et répondre rapidement aux incidents de sécurité. Analyser le trafic et l'activité du site Web pour détecter des anomalies peut aider à repérer un comportement inhabituel pouvant indiquer une tentative d'ingénierie sociale. En utilisant l'apprentissage automatique et l'IA, les systèmes de sécurité modernes peuvent détecter des schémas et fournir des alertes en temps réel pour une activité suspecte.

L'ingénierie sociale est une menace importante qui nécessite une réponse stratégique. En favorisant une culture de sensibilisation à la sécurité, en formant régulièrement les employés, en effectuant des tests de phishing, en maintenant tous les systèmes à jour et en surveillant en continu les activités suspectes, les organisations peuvent se protéger efficacement contre les attaques malveillantes.

Protégez-vous contre les ingénieurs sociaux et les cybercriminels avec Secureframe Train

Notre plateforme d'automatisation de la sécurité et de la conformité inclut une formation exclusive à la sensibilisation à la sécurité, ce qui permet de faciliter l'attribution, le suivi et le rapport des formations requises pour les employés. Nos programmes de formation engageants sont tenus à jour, afin que les meilleures pratiques les plus récentes soient apprises et appliquées dans toute votre organisation. Vous pouvez également segmenter votre personnel et attribuer la formation requise pour chaque groupe ou rôle.

En savoir plus sur la formation Secureframe, ou planifier une démonstration avec un expert produit.