L’ingénierie sociale : l’art de manipuler les humains
L’ingénierie sociale exploite la psychologie humaine plutôt que les failles techniques. C’est l’attaque la plus efficace car elle contourne toutes les protections techniques en manipulant directement les personnes.
Pourquoi ça marche
- Les humains veulent aider et faire confiance
- L’urgence court-circuite la réflexion
- L’autorité inhibe le questionnement
- La peur pousse à agir sans réfléchir
Les 6 techniques d’ingénierie sociale
| Technique | Comment ça marche | Exemple courant en Afrique |
|---|---|---|
| Phishing | Faux emails imitant un organisme de confiance | « Orange Money : confirmez votre compte » |
| Vishing | Appels téléphoniques frauduleux | « Ici votre banque, donnez-nous votre code » |
| Smishing | SMS frauduleux avec lien piégé | « Vous avez gagné 500 000 FCFA, cliquez ici » |
| Pretexting | Se faire passer pour quelqu’un d’autre | Un « technicien » qui demande vos identifiants |
| Baiting | Appâter avec une récompense | Clé USB « perdue » dans un parking |
| Tailgating | Suivre quelqu’un dans un bâtiment sécurisé | « Tenez la porte SVP, j’ai oublié mon badge » |
Anatomie d’une attaque de phishing
De : service.client@0range-money.com
Objet : URGENT – Votre compte sera bloqué
→ L’adresse utilise un ZÉRO au lieu du O
→ L’urgence empêche de réfléchir
→ Le lien mène vers un faux site
Comment se protéger
Les 5 réflexes anti-ingénierie sociale
- Vérifiez l’expéditeur — pas juste le nom, l’adresse email complète
- Ne cliquez jamais sous pression — une vraie urgence se gère par téléphone
- Appelez directement — si un « collègue » demande quelque chose d’inhabituel par email, appelez-le
- Ne donnez jamais de mot de passe, code PIN ou OTP par téléphone ou email
- Signalez immédiatement tout email ou appel suspect
Formation et sensibilisation
Programme de sensibilisation
- Simulations de phishing trimestrielles (GoPhish gratuit)
- Quiz mensuel de 5 minutes par email
- Affiches dans les bureaux avec les signaux d’alerte
- Procédure claire : que faire en cas de doute ?
- Récompenser les employés qui signalent les tentatives
Exercice pratique
Test de sensibilisation
- Montrez à votre équipe 5 emails (3 phishing + 2 légitimes)
- Demandez-leur d’identifier les faux
- Discutez des indices qui les différencient
- Installez le bouton « Signaler phishing » dans votre messagerie
- Planifiez une simulation de phishing avec GoPhish
