[Cybersécurité] Attention, le social engineering évolue : 3 nouvelles techniques qui ciblent les PME

Sommaire :

Qu'est-ce que le social engineering ?

Trois nouvelles techniques de social engineering qui ciblent les TPE/PME

DFM, le partenaire cybersécurité des TPE/PME

Suggestions d'articles

Social engineering évolue : les 3 nouvelles techniques qui ciblent les PME

Les pirates informatiques changent de stratégie. Plutôt que d'exploiter des failles techniques, ils manipulent psychologiquement vos collaborateurs.

Leur arme : le social engineering, une technique d'escroquerie qui joue sur la confiance et l'urgence. En ciblant les PME, ils augmentent leurs chances de succès, car vos équipes gèrent plusieurs tâches en parallèle, avec des processus de validation souvent limités. Décryptage…

Qu'est-ce que le social engineering ?

Dans le contexte de la cybersécurité, le social engineering consiste à manipuler psychologiquement le chef d’entreprise ou ses collaborateurs pour les pousser à commettre des actions compromettantes, de bonne foi. Pour les pirates, une attaque réussie leur permettra de subtiliser des fonds ou des données sensibles.

Contrairement aux cyberattaques classiques, le social engineering n’exploite pas forcément une faille technique… mais plutôt la nature humaine, en jouant sur la confiance, le stress, la peur ou l’empressement des salariés.

Attaque par social engineering : quelques scénarios courants

Concrètement, le pirate informatique vous envoie un mail ou, plus rarement, vous appelle, et se fait passer pour un tiers de confiance (un de vos fournisseurs, votre banque, l’administration fiscale, Microsoft, Apple, etc.). Il crée un scénario crédible (un genre de pitch) pour obtenir des informations sensibles ou un virement bancaire.

Quelques exemples :

  • L'URSSAF vous alerte d'un retard de paiement de cotisations avec majorations. Le mail (envoyé depuis une adresse mail factice) mentionne le montant exact de votre dernière cotisation (information trouvée dans une fuite de données). Pour « régulariser d'urgence », on vous pousse à cliquer sur un lien ou à rappeler un numéro qui vous mettra en contact avec un faux conseiller ;
  • Microsoft vous contacte par mail suite à une alerte de sécurité détectée sur votre parc informatique. On vous demande de saisir à nouveau vos identifiants Microsoft 365, qui seront subtilisés par le pirate informatique ;
  • Le « commercial » de votre fournisseur habituel vous informe d'une hausse de prix imminente. Il vous propose une dernière grosse commande au tarif actuel parce que vous êtes un client fidèle, avec paiement sous 48 h sur un nouveau RIB suite à un « changement de banque ». Le vrai fournisseur n'est pas au courant.

Les TPE/PME plus exposées que les grandes entreprises

En France, la ventilation des cyberattaques est avant tout conditionnée par la taille des structures. Selon une enquête du cabinet Asteres, les TPE/PME concentrent près de 86 % des cyberattaques, contre 9 % pour les organisations publiques et moins de 5 % pour les ETI et les grandes entreprises.

Les TPE/PME sont particulièrement vulnérables car leurs employés gèrent plusieurs tâches en même temps, avec des processus de validation moins stricts que dans les grands groupes. Un comptable surchargé qui reçoit un mail urgent de son « patron » en déplacement risque davantage d'effectuer un virement sans vérification approfondie.

Le coût global médian d’une cyberattaque tourne autour de 17 000 €, et monte à 50 000 € si l’on compte les coûts indirects (perte de contrats, temps perdu, impact sur l’image de l’entreprise, etc.). Certaines structures ne s’en remettent pas et finissent par déposer le bilan, comme le raconte le magazine Capital dans ce reportage.

💡 À savoir
Le social engineering n'est ni complexe ni coûteux à mettre en œuvre. Les pirates industrialisent leurs attaques en ciblant des centaines de PME simultanément. Une seule entreprise qui tombe dans le piège suffit à rentabiliser l'opération. C’est ce qui explique la multiplication des attaques.

Trois nouvelles techniques de social engineering qui ciblent les TPE/PME

Technique n°1 : le piratage des conversations mail clients - fournisseurs

Le pirate s'infiltre dans la messagerie de votre entreprise par phishing puis observe en silence les échanges entre la comptabilité et vos fournisseurs.

Il repère les habitudes, le style d'écriture, le cycle de facturation et les montants des transactions. Au moment d'une grosse commande, il s'introduit dans la conversation avec une adresse mail presque identique à celle du fournisseur (une seule lettre change) et demande un changement de RIB. C’est une forme de fraude au faux fournisseur.

Exemple de scénario

La société Martin&Co commande pour 45 000 € de matériel à son fournisseur habituel, Dupont Industrie. Le pirate, qui surveille ces échanges depuis un mois, envoie un mail depuis contact@dupont-industries.fr (au lieu de dupont-industrie.fr) :

« Suite à une restructuration en interne, nous vous prions de bien vouloir effectuer vos règlements sur notre nouveau compte bancaire. Ci-joint notre nouveau RIB ». Il ajoute une facture falsifiée mais parfaitement imitée. Le comptable de la société Martin&Co, qui gère des dizaines de fournisseurs, ne remarque pas le « s » en trop dans l’adresse email et envoie le virement. Quelques semaines plus tard, le véritable fournisseur relance sur une facture impayée.

Cibles privilégiées : services comptables des PME industrielles et BTP, relations commerciales établies depuis longtemps (confiance = virements sans vérifications).

Points de vigilance : attaques lancées les vendredis ou les veilles de congés et utilisation de l’urgence.

💡 Le chiffre à connaître
Selon le baromètre Allianz (2023), près de 6 entreprises françaises sur 10 ont subi au moins une fraude en 2022, dont près de la moitié étaient des fraudes au faux fournisseur.

Technique n°2 : le deepfake vocal du dirigeant (par l’IA)

Le pirate utilise l'intelligence artificielle pour cloner la voix du dirigeant à partir de vidéos publiques (interviews, webinaires, podcasts…). Il pourra alors lui faire lire un texte qu’il aura rédigé lui-même. Cette technique est généralement utilisée lorsque le pirate sait que le dirigeant est en déplacement à l’étranger. Il utilisera alors un numéro de téléphone avec l’indicatif du pays en question.

L’idée est d’appeler un collaborateur ou de lui laisser un message vocal pour lui demander de réaliser une action, le plus souvent de verser un acompte sur le compte d’un nouveau fournisseur.

⚠️ Attention
Aujourd’hui, le deepfake vocal peut être réalisé sans compétences techniques, grâce à des services gratuits ou à très faible coût qui utilisent le clonage vocal par l’IA (moins de 5 euros par mois).

Scénario type

Le directeur administratif et financier (ou le gérant de la PME) reçoit un message vocal de son patron censé être en déplacement à l’étranger.

La signature vocale est la même : « Je viens de signer avec un nouveau fournisseur chinois pour nos composants électroniques. Les prix sont 20 % moins chers mais il faut verser 30 % d'acompte aujourd'hui pour bloquer les tarifs. Je t'envoie le RIB par mail. C'est confidentiel, on en parle à l'équipe à mon retour ». Le numéro affiche bien un +86 (indicatif chinois). Rassuré par la voix et le contexte crédible, le collaborateur effectue le virement.

Cibles privilégiées : entreprises technologiques et startups en forte croissance, dirigeants actifs sur les réseaux sociaux et dans les médias, DAF et trésoriers ayant délégation de signature.

Points de vigilance : appels reçus en fin de journée ou veille de week-end, demande de confidentialité absolue, numéro d'appel masqué ou international.

Technique n°3 : le formulaire piégé

Le pirate envoie un mail qui semble provenir d'un de vos contacts professionnels habituels. En pièce jointe : ce qui ressemble à un document Word ou PDF (avec l’icône), mais qui est en réalité un programme malveillant (.exe) déguisé.

Pour masquer son véritable format, le pirate utilise une double extension (.pdf.exe) et compte sur le fait que Windows masque les extensions de fichiers par défaut. Dès que vous cliquez, le rançongiciel s'installe et chiffre l'ensemble de vos données.

Scénario type

Vous recevez un mail qui semble venir de votre banque, dans les codes classiques du phishing. Objet : « Urgent - Mise en conformité SEPA avant le 31/01 ». Le mail vous demande de remplir le formulaire joint pour mettre à jour vos coordonnées SEPA.

Le nom du fichier apparaît comme « formulaire_SEPA_2024.pdf », mais en réalité, c’est « formulaire_SEPA_2024.pdf.exe », car Windows cache l’extension par défaut. Au clic, aucun document ne s'ouvre : c’est le ransomware qui s'active. Le lendemain, tous vos fichiers sont cryptés avec une demande de rançon de 20 000 € en Bitcoin.

Cibles privilégiées : dirigeants et équipes administratives des PME, responsables comptables, professions libérales, commerçants et indépendants.

Points de vigilance : méfiance extrême envers les pièces jointes, même lorsqu’elles proviennent d'expéditeurs connus, attention aux mails qui jouent sur l'urgence.

DFM, le partenaire cybersécurité des TPE/PME

Patrons de TPE/PME : êtes-vous réellement protégé de la cybermenace ? En France, 60 % des PME ne se remettent jamais vraiment d’une cyberattaque et finissent par déposer le bilan au bout de 18 mois (on en parle dans notre livre blanc sur la cybersécurité).

Vous souhaitez prendre les devants pour protéger votre TPE/PME ? Ou peut-être avez-vous déjà subi une cyberattaque qui a fait des dégâts ?

DFM met ses 20 ans d’expérience et l’expertise de ses 300 collaborateurs au service de la sécurité informatique de votre TPE/PME. Nos offres sont adaptées à la taille de votre entreprise, à votre budget et aux spécificités de votre activité.

Contactez nous :