Bibliographie & annexes
Présentation
RÉSUMÉ
Nous présentons les mécanismes d’attaque liés au social engineering, tels que les techniques de phishing ou smishing. Leur prévention dans le cadre de la cybersécurité des Systèmes d’Information (SI), où les failles humaines représentent 74 % des attaques basées sur les outils d’IA, exploitant les biais cognitifs et les faiblesses humaines, est stratégique.
Les contre-mesures actuelles (formations, prévention) restent limitées. Des approches dynamiques et ludiques, renforçant l’esprit critique, associées à des politiques organisationnelles et intégrant l’humain comme atout clé dans une stratégie de sécurité proactive, visent à anticiper les futures menaces et scenarii encore inconnus.
Lire cet article issu d'une ressource documentaire complète, actualisée et validée par des comités scientifiques.
Lire l’articleAuteur(s)
-
Florence SEDES : Professeure des universités - Université de Toulouse, ex-Toulouse 3 – IRIT
-
Jonathan DEGRACE : Consultant cybersécurité - IT Dexper
INTRODUCTION
La gestion des données essentielles d’une organisation s’avère de plus en plus sensible avec le risque accru de (cyber) attaque : c’est globalement le Système d’Information (SI) qui doit être préservé contre tous dommages financier, juridique, réputationnel, etc. Les interconnexions avec d’autres organisations, l’usage de plus en plus répandu de l’Internet des Objets (IdO –Internet of Things, IoT) et l’hétérogénéité des différents SI, élargissent la surface d’attaque utilisable par la cybercriminalité, en favorisant son essor :
-
74 % des cyberattaques ont une composante humaine et s’appuient sur des méthodes de social engineering ;
-
50 % sont du phishing d’emails professionnels.
L’utilisation de technologies, comme l’IA générative et le Machine Learning (ML), augmente la qualité et la quantité des cyberattaques.
Le social engineering consiste en l’usage de techniques de manipulation humaine et d’escroquerie au travers d’outils numériques, et il est autant utilisé contre des organisations, que contre des particuliers. Les attaques de social engineering font ainsi apparaître l’humain comme le « maillon faible » de la cyberdéfense d’une organisation. En fonction des méthodes de prévention de cybersécurité employées, les résultats en termes de résistance au social engineering varient fortement.
Dans ce contexte, il est important de passer en revue les différents facteurs qui permettent de concevoir et, in fine, de prévenir de façon précoce et efficace les cyberattaques, notamment en s’appuyant sur la collaboration entre savoir-faire techniques et savoir-faire humains.
L'expertise technique et scientifique de référence
MOTS-CLÉS
prévention sécurité des systèmes d'informations cybercriminalité attaque IA social ingineering
DOI (Digital Object Identifier)
CET ARTICLE SE TROUVE ÉGALEMENT DANS :
Accueil > Ressources documentaires > Technologies de l'information > Technologies logicielles Architectures des systèmes > Intelligence artificielle : applications industrielles > Social engineering et sécurité du système d’information - De la nécessité de la prévention > Les attaques par social engineering
Accueil > Ressources documentaires > Technologies de l'information > Sécurité des systèmes d'information > Cybersécurité : attaques et mesures de protection des SI > Social engineering et sécurité du système d’information - De la nécessité de la prévention > Les attaques par social engineering
Accueil > Ressources documentaires > Technologies de l'information > Documents numériques Gestion de contenu > Usages et management stratégique des documents numériques > Social engineering et sécurité du système d’information - De la nécessité de la prévention > Les attaques par social engineering
Cet article fait partie de l’offre
Innovations technologiques
(188 articles en ce moment)
Cette offre vous donne accès à :
Une base complète d’articles
Actualisée et enrichie d’articles validés par nos comités scientifiques
Des services
Un ensemble d'outils exclusifs en complément des ressources
Des modules pratiques
Opérationnels et didactiques, pour garantir l'acquisition des compétences transverses
Doc & Quiz
Des articles interactifs avec des quiz, pour une lecture constructive
Présentation
Contre-mesures existantes et efficacité2. Les attaques par social engineering
D’après le rapport Verizon 2023, 74 % des cyberattaques ont une composante humaine et s’appuient sur des méthodes de social engineering (50 % de phishing d’email professionnel) . L’humain est alors considéré comme l’élément le plus fragile de la cyberdéfense d’une organisation, et la résistance qu’il développe face à ces attaques varie beaucoup, d’une méthode de prévention à l’autre.
L’utilisation de l’IA, « un ensemble de théories et de techniques visant à simuler l’intelligence humaine » , induit une augmentation de la qualité et de la quantité des cyberattaques. Identifier les facteurs associés à ces enjeux, en alliant savoir-faire techniques et humains, permettrait donc de concevoir et, in fine, de prévenir de façon précoce les cyberattaques (par exemple, analyse de signaux faibles, « signaux à faible fréquence, voire non apparents, mais déduits d’une information ou d’un fait » ).
2.1 Différentes formes d’attaque
Il existe plusieurs formes d’attaques par social engineering. Celles-ci peuvent aussi bien impliquer le cyberespace que des échanges physiques. Certaines nécessitent un contact direct avec la victime (par exemple, phishing), tandis que d’autres opèrent indirectement (par exemple, usage de faux sites).
-
Les attaques directes se rapportent,...
L'expertise technique et scientifique de référence
Cet article fait partie de l’offre
Innovations technologiques
(188 articles en ce moment)
Cette offre vous donne accès à :
Une base complète d’articles
Actualisée et enrichie d’articles validés par nos comités scientifiques
Des services
Un ensemble d'outils exclusifs en complément des ressources
Des modules pratiques
Opérationnels et didactiques, pour garantir l'acquisition des compétences transverses
Doc & Quiz
Des articles interactifs avec des quiz, pour une lecture constructive
Les attaques par social engineering
BIBLIOGRAPHIE
-
(1) - HATFIELD (J.M.) - Social engineering in cybersecurity : The evolution of a concept. - Dans Computers & Security, vol. 73, pp. 102–113 (2018).
-
(2) - WANG (Z.), ZHU (H.), SUN (L.) et al - Social Engineering in Cybersecurity : Effect Mechanisms, Human Vulnerabilities and Attack Methods. - Dans IEEE Access, vol. 9, pp. 11895-11910 (2021). PDF disponible en ligne https://doi.org/10.1109/ACCESS.2021.3051633
-
(3) - SEDES (F.), DEGRACE (J.) - Sécurité dans les SI & social engineering – Un état des lieux, - INFORSID (2024). PDF disponible en ligne https://hal.science/hal-04613192/document
-
(4) - VERIZON - Rapport d’enquête sur les violations de données - (2024). PDF disponible en ligne https://www.verizon.com/business/resources/reports/dbir/2023/summary-of- findings/
-
(5) - ANSOFF (H.I.) - Managing strategic surprise by response to weak signals. - Dans California management review, 18(2), pp. 21-33 (1975).
-
...
DANS NOS BASES DOCUMENTAIRES
L'expertise technique et scientifique de référence
Cet article fait partie de l’offre
Innovations technologiques
(188 articles en ce moment)
Cette offre vous donne accès à :
Une base complète d’articles
Actualisée et enrichie d’articles validés par nos comités scientifiques
Des services
Un ensemble d'outils exclusifs en complément des ressources
Des modules pratiques
Opérationnels et didactiques, pour garantir l'acquisition des compétences transverses
Doc & Quiz
Des articles interactifs avec des quiz, pour une lecture constructive
