Ingénierie sociale : reconnaître les manipulations, s'en protéger
Au-delà du phishing : pretexting, baiting, tailgating, quid pro quo… Comprendre les techniques d'ingénierie sociale pour mieux les déjouer.
Derrière les attaques cyber, il y a presque toujours un humain qui manipule un autre humain. C'est l'ingénierie sociale : l'art d'exploiter les biais cognitifs, les émotions et les routines pour obtenir une information, un accès ou une action. Bien la connaître, c'est se donner les moyens de la déjouer.
L'ingénierie sociale, en deux phrases
L'ingénierie sociale, c'est utiliser la confiance, la pression ou l'inattention d'une personne pour la pousser à agir contre ses intérêts (ou ceux de son organisation). Elle est, dans le monde cyber, plus efficace que la quasi-totalité des attaques techniques.
Les biais cognitifs exploités
Les attaquants jouent sur quelques leviers psychologiques bien identifiés :
- Autorité : "Je suis le directeur financier, vous traitez ce virement immédiatement."
- Urgence : "Il faut intervenir avant 17h, sinon le contrat tombe."
- Réciprocité : "Je vous rends service, vous pouvez bien me confirmer cet accès."
- Sympathie : un échange long et amical qui crée de la confiance.
- Conformité sociale : "Tout le monde fait comme ça."
- Rareté : "C'est une opportunité unique, à saisir tout de suite."
- Curiosité : "Voici un document confidentiel à votre sujet."
Les techniques les plus courantes
Pretexting
L'attaquant invente un scénario crédible (le "prétexte") pour justifier sa demande. Exemple : un faux contrôleur fiscal, un faux technicien réseau, un faux journaliste.
Baiting
On laisse "traîner" un appât (clé USB, document Excel, formulaire en ligne) et on attend que la cible morde par curiosité.
Tailgating
L'intrusion physique en suivant quelqu'un dans un sas ou une porte sécurisée. "Pouvez-vous me tenir la porte, j'ai oublié mon badge ?"
Quid pro quo
Échange apparent : "Je vous offre cette ressource gratuite, en échange donnez-moi votre email professionnel et celui de votre directeur."
Vishing
Phishing vocal : appel téléphonique avec un prétexte urgent. Boosté par les deepfakes audio en 2025-2026 (imitation de voix de dirigeants).
Smishing
Phishing par SMS. Court, urgent, redirigeant vers des sites factices. En forte progression.
Watering hole
Compromission d'un site légitime souvent visité par la cible (forum métier, fournisseur).
Les vrais signaux d'alerte
Plus que la forme du message, ce sont les éléments structurels qui doivent alerter :
- Demande inhabituelle : action qui sort de la routine.
- Pression temporelle : urgence injustifiée.
- Canal détourné : message via un canal inhabituel pour ce type de demande.
- Confidentialité demandée : "ne dites rien à personne".
- Absence de validation : on contourne les processus internes.
- Émotion forte : peur, fierté, séduction, colère.
Si deux ou plus sont réunis, il faut vérifier par un autre canal avant d'agir.
La règle d'or : double validation par canal alternatif
Pour les actions sensibles (virement, communication d'identifiants, changement de RIB, ouverture d'un accès), une double validation par un canal alternatif est non négociable :
- on rappelle la personne sur un numéro connu (pas celui fourni dans le message),
- on vérifie en face-à-face dans la mesure du possible,
- on s'appuie sur un workflow validé (signature, double approbation).
Sensibiliser à l'ingénierie sociale
Les modules classiques fonctionnent moyennement sur ce sujet. Ce qui marche :
- Mises en situation immersives, comme Cyber Mystère, enquête immersive pour ancrer les réflexes.
- Récits réels d'incidents survenus dans l'organisation ou le secteur.
- Jeux de rôle dans certaines équipes très exposées (RH, finance, dirigeants).
- Audits red team avec retours pédagogiques (pas punitifs).
L'inoculation comme technique préventive
Une approche issue de la psychologie sociale, l'inoculation, consiste à exposer les collaborateurs à des versions atténuées des manipulations avant qu'ils ne rencontrent les versions réelles. Conscio Technologies développe ce point dans Sensibilisation impliquante #5 : l'inoculation.
Conclusion
L'ingénierie sociale ne sera jamais "réglée" par un outil. Elle se gère par une culture du doute légitime et du signalement bienveillant. Pour aller plus loin sur les techniques d'engagement, voir notre article Le RSSI face à la sensibilisation.
Aller plus loin avec Conscio Technologies
Vous souhaitez mettre en place une démarche de sensibilisation impliquante dans votre organisation ? Découvrez l'approche de Conscio Technologies.