Bibliographie & annexes
Présentation
RÉSUMÉ
Nous présentons les mécanismes d’attaque liés au social engineering, tels que les techniques de phishing ou smishing. Leur prévention dans le cadre de la cybersécurité des Systèmes d’Information (SI), où les failles humaines représentent 74 % des attaques basées sur les outils d’IA, exploitant les biais cognitifs et les faiblesses humaines, est stratégique.
Les contre-mesures actuelles (formations, prévention) restent limitées. Des approches dynamiques et ludiques, renforçant l’esprit critique, associées à des politiques organisationnelles et intégrant l’humain comme atout clé dans une stratégie de sécurité proactive, visent à anticiper les futures menaces et scenarii encore inconnus.
Lire cet article issu d'une ressource documentaire complète, actualisée et validée par des comités scientifiques.
Lire l’articleAuteur(s)
-
Florence SEDES : Professeure des universités - Université de Toulouse, ex-Toulouse 3 – IRIT
-
Jonathan DEGRACE : Consultant cybersécurité - IT Dexper
INTRODUCTION
La gestion des données essentielles d’une organisation s’avère de plus en plus sensible avec le risque accru de (cyber) attaque : c’est globalement le Système d’Information (SI) qui doit être préservé contre tous dommages financier, juridique, réputationnel, etc. Les interconnexions avec d’autres organisations, l’usage de plus en plus répandu de l’Internet des Objets (IdO –Internet of Things, IoT) et l’hétérogénéité des différents SI, élargissent la surface d’attaque utilisable par la cybercriminalité, en favorisant son essor :
-
74 % des cyberattaques ont une composante humaine et s’appuient sur des méthodes de social engineering ;
-
50 % sont du phishing d’emails professionnels.
L’utilisation de technologies, comme l’IA générative et le Machine Learning (ML), augmente la qualité et la quantité des cyberattaques.
Le social engineering consiste en l’usage de techniques de manipulation humaine et d’escroquerie au travers d’outils numériques, et il est autant utilisé contre des organisations, que contre des particuliers. Les attaques de social engineering font ainsi apparaître l’humain comme le « maillon faible » de la cyberdéfense d’une organisation. En fonction des méthodes de prévention de cybersécurité employées, les résultats en termes de résistance au social engineering varient fortement.
Dans ce contexte, il est important de passer en revue les différents facteurs qui permettent de concevoir et, in fine, de prévenir de façon précoce et efficace les cyberattaques, notamment en s’appuyant sur la collaboration entre savoir-faire techniques et savoir-faire humains.
L'expertise technique et scientifique de référence
MOTS-CLÉS
prévention sécurité des systèmes d'informations cybercriminalité attaque IA social ingineering
DOI (Digital Object Identifier)
CET ARTICLE SE TROUVE ÉGALEMENT DANS :
Accueil > Ressources documentaires > Technologies de l'information > Sécurité des systèmes d'information > Cybersécurité : attaques et mesures de protection des SI > Social engineering et sécurité du système d’information - De la nécessité de la prévention > Défis et orientations
Accueil > Ressources documentaires > Innovation > Innovations technologiques > Les grands événements de l'année > Social engineering et sécurité du système d’information - De la nécessité de la prévention > Défis et orientations
Accueil > Ressources documentaires > Technologies de l'information > Technologies logicielles Architectures des systèmes > Intelligence artificielle : applications industrielles > Social engineering et sécurité du système d’information - De la nécessité de la prévention > Défis et orientations
Cet article fait partie de l’offre
Documents numériques Gestion de contenu
(68 articles en ce moment)
Cette offre vous donne accès à :
Une base complète d’articles
Actualisée et enrichie d’articles validés par nos comités scientifiques
Des services
Un ensemble d'outils exclusifs en complément des ressources
Des modules pratiques
Opérationnels et didactiques, pour garantir l'acquisition des compétences transverses
Doc & Quiz
Des articles interactifs avec des quiz, pour une lecture constructive
Présentation
Conclusion4. Défis et orientations
La formation des utilisateurs (et pourquoi pas déployée à l’échelle de la population générale) représente un défi primordial, dans le cadre de la prévention du social engineering. Les efforts de recherche doivent donc être poursuivis afin de produire des outils de formation efficients, transposables à des modalités d’attaque moins courantes que le simple phishing.
Comprendre les compétences transversales nécessaires est également crucial pour permettre aux utilisateurs de résister face à des attaques encore inconnues. Anticiper les futurs vecteurs d’attaques permettra de couper l’herbe sous le pied des cybercriminels.
-
Concevoir une politique publique efficace contre le social engineering.
-
Rendre les formations existantes plus efficientes.
-
Pérenniser les savoirs et compétences acquises.
-
Former les utilisateurs aux différents vecteurs d’attaques.
L'expertise technique et scientifique de référence
Cet article fait partie de l’offre
Documents numériques Gestion de contenu
(68 articles en ce moment)
Cette offre vous donne accès à :
Une base complète d’articles
Actualisée et enrichie d’articles validés par nos comités scientifiques
Des services
Un ensemble d'outils exclusifs en complément des ressources
Des modules pratiques
Opérationnels et didactiques, pour garantir l'acquisition des compétences transverses
Doc & Quiz
Des articles interactifs avec des quiz, pour une lecture constructive
Défis et orientations
BIBLIOGRAPHIE
-
(1) - HATFIELD (J.M.) - Social engineering in cybersecurity : The evolution of a concept. - Dans Computers & Security, vol. 73, pp. 102–113 (2018).
-
(2) - WANG (Z.), ZHU (H.), SUN (L.) et al - Social Engineering in Cybersecurity : Effect Mechanisms, Human Vulnerabilities and Attack Methods. - Dans IEEE Access, vol. 9, pp. 11895-11910 (2021). PDF disponible en ligne https://doi.org/10.1109/ACCESS.2021.3051633
-
(3) - SEDES (F.), DEGRACE (J.) - Sécurité dans les SI & social engineering – Un état des lieux, - INFORSID (2024). PDF disponible en ligne https://hal.science/hal-04613192/document
-
(4) - VERIZON - Rapport d’enquête sur les violations de données - (2024). PDF disponible en ligne https://www.verizon.com/business/resources/reports/dbir/2023/summary-of- findings/
-
(5) - ANSOFF (H.I.) - Managing strategic surprise by response to weak signals. - Dans California management review, 18(2), pp. 21-33 (1975).
-
...
DANS NOS BASES DOCUMENTAIRES
L'expertise technique et scientifique de référence
Cet article fait partie de l’offre
Documents numériques Gestion de contenu
(68 articles en ce moment)
Cette offre vous donne accès à :
Une base complète d’articles
Actualisée et enrichie d’articles validés par nos comités scientifiques
Des services
Un ensemble d'outils exclusifs en complément des ressources
Des modules pratiques
Opérationnels et didactiques, pour garantir l'acquisition des compétences transverses
Doc & Quiz
Des articles interactifs avec des quiz, pour une lecture constructive
