Bibliographie & annexes
Présentation
RÉSUMÉ
Nous présentons les mécanismes d’attaque liés au social engineering, tels que les techniques de phishing ou smishing. Leur prévention dans le cadre de la cybersécurité des Systèmes d’Information (SI), où les failles humaines représentent 74 % des attaques basées sur les outils d’IA, exploitant les biais cognitifs et les faiblesses humaines, est stratégique.
Les contre-mesures actuelles (formations, prévention) restent limitées. Des approches dynamiques et ludiques, renforçant l’esprit critique, associées à des politiques organisationnelles et intégrant l’humain comme atout clé dans une stratégie de sécurité proactive, visent à anticiper les futures menaces et scenarii encore inconnus.
Lire cet article issu d'une ressource documentaire complète, actualisée et validée par des comités scientifiques.
Lire l’articleAuteur(s)
-
Florence SEDES : Professeure des universités - Université de Toulouse, ex-Toulouse 3 – IRIT
-
Jonathan DEGRACE : Consultant cybersécurité - IT Dexper
INTRODUCTION
La gestion des données essentielles d’une organisation s’avère de plus en plus sensible avec le risque accru de (cyber) attaque : c’est globalement le Système d’Information (SI) qui doit être préservé contre tous dommages financier, juridique, réputationnel, etc. Les interconnexions avec d’autres organisations, l’usage de plus en plus répandu de l’Internet des Objets (IdO –Internet of Things, IoT) et l’hétérogénéité des différents SI, élargissent la surface d’attaque utilisable par la cybercriminalité, en favorisant son essor :
-
74 % des cyberattaques ont une composante humaine et s’appuient sur des méthodes de social engineering ;
-
50 % sont du phishing d’emails professionnels.
L’utilisation de technologies, comme l’IA générative et le Machine Learning (ML), augmente la qualité et la quantité des cyberattaques.
Le social engineering consiste en l’usage de techniques de manipulation humaine et d’escroquerie au travers d’outils numériques, et il est autant utilisé contre des organisations, que contre des particuliers. Les attaques de social engineering font ainsi apparaître l’humain comme le « maillon faible » de la cyberdéfense d’une organisation. En fonction des méthodes de prévention de cybersécurité employées, les résultats en termes de résistance au social engineering varient fortement.
Dans ce contexte, il est important de passer en revue les différents facteurs qui permettent de concevoir et, in fine, de prévenir de façon précoce et efficace les cyberattaques, notamment en s’appuyant sur la collaboration entre savoir-faire techniques et savoir-faire humains.
L'expertise technique et scientifique de référence
MOTS-CLÉS
prévention sécurité des systèmes d'informations cybercriminalité attaque IA social ingineering
DOI (Digital Object Identifier)
CET ARTICLE SE TROUVE ÉGALEMENT DANS :
Accueil > Ressources documentaires > Technologies de l'information > Sécurité des systèmes d'information > Cybersécurité : attaques et mesures de protection des SI > Social engineering et sécurité du système d’information - De la nécessité de la prévention > Contre-mesures existantes et efficacité
Accueil > Ressources documentaires > Technologies de l'information > Documents numériques Gestion de contenu > Usages et management stratégique des documents numériques > Social engineering et sécurité du système d’information - De la nécessité de la prévention > Contre-mesures existantes et efficacité
Accueil > Ressources documentaires > Technologies de l'information > Technologies logicielles Architectures des systèmes > Intelligence artificielle : applications industrielles > Social engineering et sécurité du système d’information - De la nécessité de la prévention > Contre-mesures existantes et efficacité
Cet article fait partie de l’offre
Innovations technologiques
(188 articles en ce moment)
Cette offre vous donne accès à :
Une base complète d’articles
Actualisée et enrichie d’articles validés par nos comités scientifiques
Des services
Un ensemble d'outils exclusifs en complément des ressources
Des modules pratiques
Opérationnels et didactiques, pour garantir l'acquisition des compétences transverses
Doc & Quiz
Des articles interactifs avec des quiz, pour une lecture constructive
Présentation
Défis et orientations3. Contre-mesures existantes et efficacité
3.1 Les contre-mesures
Il existe une multitude de contre-mesures, avec des différences d’efficacité parfois importantes, de la tentative de détection à base d’IA, aux campagnes de prévention et de formation des utilisateurs, en passant par des affichettes placardées un peu partout : messages de prévention, phishing préventif, phishing « explicatif » de vaccination (par exemple, PhishGuru), formations en groupe, utilisation de serious games, etc. . Appréhender leurs avantages et inconvénients (contexte d’utilisation, efficacité, limites, maintien dans le temps, etc.) permet de choisir les meilleurs outils et de conserver l’engagement des utilisateurs.
Nous aborderons ci-après uniquement les contre-mesures qui impliquent un aspect humain, avec leurs faiblesses et leurs angles morts.
HAUT DE PAGE
Il existe des arbres décisionnels pour guider les utilisateurs dans la détection des attaques de social engineering . Ceux-ci sont cependant limités aux attaques de pretexting.
Impossible de les appliquer à du shoulder surfing car, sous la pression de l’attaquant, la victime n’a pas la disponibilité mentale pour se référer à l’arbre décisionnel, en situation d’incertitude.
HAUT DE PAGE
L'expertise technique et scientifique de référence
Cet article fait partie de l’offre
Innovations technologiques
(188 articles en ce moment)
Cette offre vous donne accès à :
Une base complète d’articles
Actualisée et enrichie d’articles validés par nos comités scientifiques
Des services
Un ensemble d'outils exclusifs en complément des ressources
Des modules pratiques
Opérationnels et didactiques, pour garantir l'acquisition des compétences transverses
Doc & Quiz
Des articles interactifs avec des quiz, pour une lecture constructive
Contre-mesures existantes et efficacité
BIBLIOGRAPHIE
-
(1) - HATFIELD (J.M.) - Social engineering in cybersecurity : The evolution of a concept. - Dans Computers & Security, vol. 73, pp. 102–113 (2018).
-
(2) - WANG (Z.), ZHU (H.), SUN (L.) et al - Social Engineering in Cybersecurity : Effect Mechanisms, Human Vulnerabilities and Attack Methods. - Dans IEEE Access, vol. 9, pp. 11895-11910 (2021). PDF disponible en ligne https://doi.org/10.1109/ACCESS.2021.3051633
-
(3) - SEDES (F.), DEGRACE (J.) - Sécurité dans les SI & social engineering – Un état des lieux, - INFORSID (2024). PDF disponible en ligne https://hal.science/hal-04613192/document
-
(4) - VERIZON - Rapport d’enquête sur les violations de données - (2024). PDF disponible en ligne https://www.verizon.com/business/resources/reports/dbir/2023/summary-of- findings/
-
(5) - ANSOFF (H.I.) - Managing strategic surprise by response to weak signals. - Dans California management review, 18(2), pp. 21-33 (1975).
-
...
DANS NOS BASES DOCUMENTAIRES
L'expertise technique et scientifique de référence
Cet article fait partie de l’offre
Innovations technologiques
(188 articles en ce moment)
Cette offre vous donne accès à :
Une base complète d’articles
Actualisée et enrichie d’articles validés par nos comités scientifiques
Des services
Un ensemble d'outils exclusifs en complément des ressources
Des modules pratiques
Opérationnels et didactiques, pour garantir l'acquisition des compétences transverses
Doc & Quiz
Des articles interactifs avec des quiz, pour une lecture constructive
