Social engineering et réseaux sociaux : comment sensibiliser les collaborateurs ?
Manipulations psychologiques, création de faux profils, collecte d'informations, la cybercriminalité sur les réseaux sociaux ne cesse de croître. Une tendance qui n'épargne pas les entreprises qui ont un rôle clé à jouer en matière de sensibilisation et de formations auprès des employés.
Ces dernières années ont mis en lumière les enjeux de la cybersécurité. En effet, les cyberattaques sont toujours plus nombreuses et sophistiquées et,au-delà des sites d'entreprises, les réseaux sociaux (Facebook, LinkedIn, Instagram, Twitter, etc.) sont de plus en plus visés.
Fraudes à la carte bancaire, aux virements, incitation à l'aide humanitaire, aux dons, promesses de gains d'argent facile ou travail sur rémunéré, ces cyberattaques se multiplient sur ces canaux.
Lire aussi : Sécurisation des identifiants et protection contre les attaques par déplacement latéral
Selon une étude de FIDO (Fast IDentity Online) de 2021, 40% des utilisateurs français (45% dans le monde) ont vu leurs comptes de réseaux sociaux compromis ou ont eu un proche victime d'une cyberattaque. Mais comment les cybercriminels procèdent-ils et quels comportements adopter pour s'en prémunir ?
Repérer les attaques les plus utilisées
Bien que des centaines d'escroqueries sur les réseaux sociaux existent, certaines sont plus répandues que d'autres. En 2023, la manipulation psychologique est fortement plébiscitée par les cybercriminels.
Après un premier contact et la mise en place d'une relation de confiance avec l'utilisateur d'un réseau social, le cybercriminel incite l'internaute à acquérir un produit qu'il ne recevra jamais ou à acheter des cryptomonnaies en le dirigeant vers un site malveillant qui lui dérobera de l'argent. Il peut aussi le convaincre de lui délivrer des informations personnelles qui pourront ensuite être utilisées par le cybercriminel pour commettre une fraude ou une usurpation d'identité.
Les cybercriminels utilisent aussi de faux profils Linkedin pour se faire passer pour un collègue. De la même manière que précédemment, une fois la relation de confiance instaurée, il incite sa victime à cliquer sur un lien relié à un logiciel qui lui permettra de s'immiscer dans ses appareils ou commettre du cyberespionnage en volant des informations stratégiques de l'entreprise.
Lire aussi : Avec l'AI Act, un nécessaire RGPD 2 ?
Autre tactique en vogue : le scraping. Ce procédé consiste à recueillir, depuis plusieurs réseaux sociaux, les données personnelles (nom, date de naissance, photos, vidéo, etc.) qu'un internaute y aura partagé afin d'usurper son identité pour de nouvelles arnaques, y compris de fausses vidéos et audios générés par l'intelligence artificielle générative.
Adopter les bons réflexes
Mais se prémunir contre de telles escroqueries est possible. Il suffit d'adopter quelques bons réflexes. Ainsi, il est vivement conseillé de limiter le nombre de personnes autorisées à voir ses publications sur les réseaux sociaux. Cette limitation réduit toute visibilité et donc toute possibilité d'interaction avec un hacker.
Autre moyen : désactiver la publicité ciblée afin d'éviter d'être la proie d'une fausse campagne publicitaire incitant à acheter de faux produits ou à cliquer sur un site de phishing.
Troisième technique : remettre en question leurs motivations avant d'accepter une demande de connexion puis bloquer toute personne qui se présente comme une connaissance et réclame de l'argent ou des informations personnelles. Derrière ce comportement se cache le plus souvent un hacker ayant usurpé l'identité d'un proche.
Faire preuve de proactivité plus que de réactivité
Pour pénétrer dans les systèmes d'information (SI) des entreprises, les pirates ciblent les collaborateurs dans 99% des cas. Aussi, les sensibiliser et les former aux différentes techniques de cyberattaques, et notamment celles exploitant les réseaux sociaux, est devenu un enjeu majeur d'entreprise.
Sans nommer des ambassadeurs de la cybersécurité dont la mission est de diriger la communication, les organisations pourraient avoir du mal à atteindre leur public.
Les campagnes de communication peuvent porter sur des thèmes tels que : comment modifier ses paramètres de confidentialité, comment bannir les publicités ciblées, ou comment repérer un message frauduleux (fautes de frappes, dates incorrectes, domaines erronés...).
Les organisations doivent donc être proactives pour se protéger elles-mêmes et leurs employés contre les cyberattaques sur les réseaux sociaux, ces plateformes étant des cibles attrayantes pour diverses menaces, notamment l'ingénierie sociale, les violations de données et l'atteinte à la réputation.
En élaborant et en appliquant des politiques claires d'utilisation des médias sociaux qui décrivent les comportements acceptables et inacceptables et en fournissant des ressources de sensibilisation à leurs employés, les organisations peuvent réduire leur exposition à cette voie d'attaque.
Sur le même thème
Voir tous les articles Cybersécurité