Connexion
Une personne portant des gants tient dans ses mains un smartphone, avec des bulles évoquant une conversation de chat et un symbole d’avertissement flottant au-dessus de l’écran, pour illustrer un scénario d’attaque par pretexting.

Pretexting

Le pretexting est une technique d’ingénierie sociale par laquelle un cyberattaquant utilise un scénario monté de toutes pièces et se cache derrière une fausse identité pour manipuler des personnes et les pousser à divulguer des informations confidentielles ou à effectuer des actions compromettant leur sécurité.

20 mai 2024 · 23 min de lecture

Qu’est-ce que le pretexting dans le domaine de la cybersécurité ?

Le pretexting est une technique d’ingénierie sociale misant sur la tromperie : les cybercriminels inventent de faux scénarios crédibles pour gagner la confiance de leur cible et la pousser à partager des données confidentielles ou à réaliser des actions que l’attaquant pourra ensuite utiliser à son avantage. Pour ce faire, les hackers prennent généralement une fausse identité et se font passer pour une personne en qui la victime a confiance.

Le pretexting compte parmi les techniques d’ingénierie sociale les plus fréquentes. Selon le rapport 2023 publié par Verizon, il intervient dans plus de 50 % des attaques par ingénierie sociale, c’est dire à quel point les attaquants misent sur la psychologie humaine, qu’ils manipulent avec beaucoup d’adresse. Et s’ils le font, c’est parce que ça fonctionne : en août 2023, la société de développement logiciel Retool a été victime d’une cyberattaque qui avait débuté par un SMS de phishing dans lequel les attaquants se présentaient comme des membres du service informatique. Ils ont envoyé des messages aux employés pour leur demander de cliquer sur un lien sous prétexte de régler un problème de paiement. L’un des collaborateurs est tombé dans le panneau. Les hackers ont alors eu accès aux systèmes internes, pris le contrôle de 27 comptes clients et dérobé l’équivalent de 15 millions de dollars en cryptomonnaie.

Le pretexting s’affirme comme une tactique d’ingénierie sociale extrêmement puissante et il est urgent de bousculer nos vieilles habitudes pour mettre en place une défense solide qui résistera à ses ruses. L’objectif de cet article est de vous doter des connaissances indispensables pour vous aider à identifier cette forme de menace sournoise et de vous fournir les éléments nécessaires pour vous en protéger.

Hacker avec un sweat à capuche, entouré de plusieurs icônes liées au pretexting, par exemple une loupe inspectant des données d’utilisateurs.

Mécanique du pretexting : comment fonctionne cette arnaque ?

Le pretexting repose essentiellement sur la ruse et la manipulation. Le but est de gagner votre confiance et de vous amener à penser que votre interlocuteur a de bonnes raisons pour vous demander de lui communiquer des informations sensibles.

Il nécessite beaucoup de préparation. Avant l’attaque, les cybercriminels doivent, en effet, faire des recherches sur leurs victimes pour en savoir un maximum à leur sujet. Il s’agit de rassembler des informations figurant dans des ressources publiques : le site Internet de la société, les profils sur les réseaux sociaux et les annuaires en ligne, par exemple. L’attaquant peut aussi essayer de se renseigner sur les récentes activités de sa victime ou sur les prochains événements qui auront lieu au sein de la société pour élaborer un scénario plus convaincant. La plupart du temps, c’est la minutie avec laquelle ce travail de recherche est effectué en amont qui détermine la réussite ou l’échec de l’attaque. Pendant cette phase initiale, le criminel poursuit deux buts : identifier la personne de confiance pour qui il se fera passer et élaborer un scénario personnalisé qui trompera la victime et lui inspirera confiance.

L’attaque en elle-même commence lorsque le hacker prend contact avec sa cible en utilisant les informations qu’il a recueillies lors de ses recherches. Il peut se présenter comme un technicien du service informatique et utiliser un faux identifiant, une fausse adresse e-mail ou même usurper l’identité de la personne qu’il veut imiter pour se rendre plus crédible. Il peut aussi communiquer avec la victime en passant par plusieurs canaux et en jonglant, par exemple, entre e-mails, SMS ou appels téléphoniques au cours de la même attaque.

L’attaquant joue ensuite le rôle qu’il s’est donné et développe un scénario crédible à l’aide des informations qu’il s’est prodiguées en amont. Souvent, il incorpore des éléments d’urgence, d’autorité ou de rareté qui vont ajouter de la légitimité à son histoire et augmenter la probabilité que la cible accède à sa demande. Lorsque celle-ci a mordu à l’hameçon, elle fournit au cybercriminel des informations sensibles, telles que des noms d’utilisateur, des mots de passe ou des identifiants de connexion.

Encart expliquant ce qu’est l’ingénierie sociale inverse.

Pretexting ou phishing : quelle est la différence ?

Bien que le phishing et le pretexting soient deux modes d’action assez proches qui peuvent être aisément confondus, il existe pourtant des différences entre ces deux notions de cybersécurité. Le phishing est un terme générique qui regroupe plusieurs formes d’attaques, pouvant passer par différents canaux comme les e-mails, les messages vocaux (vishing) ou les SMS (smishing), et impliquer des méthodes très ciblées comme c’est le cas avec le spear phishing. Ces attaques poursuivent toutes le même but : pousser des personnes à effectuer une action (télécharger une pièce jointe ou cliquer sur un lien, par exemple) qui exposera leurs informations sensibles. Pour ce faire, les hackers ont recours à des tactiques d’ingénierie sociale, telles que le baiting, le tailgating ou talonnage, et le pretexting. Le pretexting désigne spécifiquement le fait d’inventer un scénario crédible - mais faux - pour inspirer confiance à la victime et renforcer ainsi l’efficacité des attaques de phishing en leur donnant plus de légitimité.

En substance, le phishing est le fait de lancer l’attaque, tandis que le pretexting est l’une des méthodes d’ingénierie sociale pouvant être employées dans le cadre d’attaques de phishing. Les auteurs de pretexting ont plusieurs manières de tromper leurs victimes.

Les méthodes les plus fréquemment utilisées pour le pretexting

Le pretexting est une forme de manipulation savamment élaborée qui implique différentes méthodes jouant sur la psychologie humaine et la confiance.

L’attaque comporte une phase préparatoire au cours de laquelle les cybercriminels rassemblent des informations sur la victime. Ils peuvent alors s’y prendre de plusieurs manières :  

  • Dumpster diving : Cette technique consiste à fouiller les poubelles de la cible pour y trouver des renseignements potentiellement réutilisables dans le cadre d’une cyberattaque. Il peut s’agir de documents contenant des mots de passe, des configurations de réseau ou d’autres données sensibles. C’est une méthode ne nécessitant pas ou peu de matériel technologique, mais qui permet de collecter de précieuses informations pour le lancement de cyberattaques plus sophistiquées.
  • Faire une recherche sur Whois : Whois est un service de recherche en ligne qui permet de connaître le propriétaire d’un nom de domaine. Les hackers sont susceptibles de l’utiliser pour savoir à qui appartient tel ou tel site Internet, obtenir ses coordonnées ou découvrir les autres noms de domaines détenus par la même personne ou la même entreprise. Ce peut être un point de départ pour se procurer davantage d’informations qui leur seront utiles pour leurs projets.
  • Préparer les réponses aux éventuelles réponses : Les attaquants anticipent les questions ou les objections que pourrait avoir leur cible et préparent les réponses qu’ils vont y apporter, afin de rester maîtres de la situation. Ils sont ainsi sûrs de pouvoir entretenir l’illusion lors de leur interaction avec la victime.
  • Tester le scénario : Certains attaquants testent leurs scénarios sur des cibles avec des profils moins critiques ou moins importants afin d’affiner leur approche avant de s’attaquer à la victime proprement dite.

Forts de toutes ces informations, les attaquants commencent à créer un persona qui renverra une image à la fois familière et fiable. Dans cette optique, ils peuvent avoir recours à une ou plusieurs des techniques suivantes :

  • Jouer le rôle d’une personne faisant autorité : Les hackers peuvent se faire passer pour des agents de police, des employés de services officiels ou des dirigeants d’entreprise afin de jouer la carte de l’autorité ou de la pression, et d’amener ainsi leurs victimes à se conformer à leurs désirs sans poser de questions.
  • Créer de fausses identités : Les attaquants n’hésitent pas à créer de fausses identités autour desquelles ils inventent tout un profil et des antécédents crédibles, avec un poste au sein de l’entreprise et des coordonnées correspondantes. Ils sont, par exemple, susceptibles de créer des pages LinkedIn associées à de faux noms, des cartes de visite ou même des sites Internet pour étayer l’identité qu’ils se sont forgée.
  • Usurper : L’usurpation (ou spoofing en anglais) consiste à maquiller une source de données ou une communication pour donner l’illusion qu’elle provient d’une source connue ou fiable. Les cybercriminels utilisent de nombreux stratagèmes d’usurpation pour tromper leurs interlocuteurs et obtenir un accès qui leur est interdit. Ils peuvent ainsi avoir recours à l’usurpation d’adresse IP, c’est-à-dire masquer leur adresse IP de façon à induire les systèmes en erreur, à l’usurpation de nom de domaine, en créant de faux sites Internet ou de fausses adresses e-mails pour piéger les utilisateurs, à l’usurpation de l’identité de l’appelant, qui maquille un numéro de téléphone pour faire croire qu’il provient d’une source de confiance, etc. Cette liste n’est pas exhaustive.
  • Utiliser des outils technologiques : Certaines attaques de pretexting impliquent l’utilisation de technologies de pointe qui améliorent l’illusion et rendent le scénario plus crédible encore. Les hackers peuvent ainsi utiliser des modificateurs de voix ou des applications de clonage vocal pour se faire passer pour quelqu’un d’autre au téléphone. Ils peuvent aussi utiliser des logiciels pour créer des documents ou des e-mails qui ressemblent à s’y méprendre à ceux qu’enverraient des sources très connues. Il existe aussi des outils pour créer des deepfakes et générer des vidéos qui convaincront la victime.
  • Falsifier des documents : Les attaquants créent et détournent des documents pour se faire passer pour des personnes ou des entités ayant autorité. Cette méthode repose sur des documents falsifiés comme des contrats, des factures ou de faux e-mails dont l’objectif est de renforcer la crédibilité du scénario et de leurrer les cibles pour les amener à divulguer des informations sensibles ou à faire certaines actions.

Le plus souvent, le pretexting n’est qu’un préliminaire à une attaque de plus grande envergure. Les attaquants ont probablement l’intention d’utiliser les informations ou l’accès ainsi obtenus pour causer de plus grands dommages, que ce soit aux personnes en tant que telles ou à leurs entreprises. Plusieurs incidents qui se sont déjà produits par le passé attestent du succès de ces attaques et de leurs conséquences.

Exemples réels de pretexting

Ces dernières années, les attaques de pretexting ont connu un essor considérable et nous avons pu observer l’impact qu’elles ont sur les personnes et sur les entreprises de toutes tailles. Nous avons rassemblé ci-dessous quelques exemples de pretexting qui se sont réellement produits pour étudier les tenants et les aboutissants de ces attaques, les méthodes et tactiques employées par les attaquants, ainsi que la façon dont ils s’y sont pris pour parvenir à leurs fins en manipulant les gens et les entreprises.

Des hackers accèdent au logiciel de sécurité d’Uber grâce au pretexting

Ce cas illustre bien comment des cybercriminels ont été capables de jongler entre plusieurs canaux dans le cadre d’une même attaque afin de contourner le système de sécurité d’Uber. Les attaquants ont déclenché des notifications push à répétition dans une application d’authentification. Ils ont ensuite contacté la victime sur WhatsApp en se faisant passer comme le service informatique d’Uber et en demandant à l’employé de confirmer la tentative de connexion. Cette stratégie a permis à l’attaquant d’accéder à un VPN, puis à l’Intranet du groupe Uber. Il a alors scanné le réseau pour y collecter des fichiers et des applications sensibles.

Cet incident a eu des conséquences désastreuses, car le pirate informatique a réussi à se procurer un mot de passe d’administrateur pour accéder à Thycotic, un outil de gestion des accès à privilèges (PAM) qui gère les autorisations d’accès au logiciel de sécurité utilisé par la société. Il a donc pu procéder à l’extraction d’informations secrètes émanant de tous les services, ce qui expose l’entreprise à des risques très sérieux.

Arnaques à la cryptomonnaie sur les comptes Twitter de personnalités connues

En 2020, Twitter a été le théâtre d’un important incident de sécurité ciblant les comptes de personnes célèbres, telles que Elon Musk, Joe Biden, Barack Obama ou les comptes entreprise d’Apple, c’est-à-dire des profils jouissant d’une certaine confiance auprès du grand public. Les escrocs ont posté des tweets depuis ces comptes promettant de doubler tous les paiements en Bitcoin envoyés vers des comptes spécifiques. L’« offre » n’était valable que pour une durée limitée ou dans la limite d’une certaine somme.

Cet incident avait tous les ingrédients d’une arnaque réussie : les messages émanaient de sources connues et réputées comme fiables. Ils avaient une connotation urgente qui incitait les victimes à prendre une décision à la hâte. Pourtant, bien que cette attaque ait généré plus de 400 paiements pour un total dépassant les 100 000 dollars en bitcoin, les auteurs n’ont pas pu en profiter pleinement en raison, notamment, de la réactivité de Twitter et de la vigilance de la communauté crypto en matière d’arnaques et de fraude.

Deux des tweets publiés par les hackers, l’un sur le compte de Bill Gates, l’autre sur celui d’Elon Musk. Tous deux annoncent que chaque Bitcoin envoyé vers l’adresse indiquée sera doublé.

Arnaques à l’échelle mondiale autour de la pandémie de la COVID-19

Le chaos et le contexte anxiogène suscités par la pandémie de 2020 et 2021 ont favorisé la prolifération d’attaques par pretexting. Au cours de cette période, les hackers ont rivalisé de créativité en agitant le spectre de la pandémie pour tromper leurs victimes. De nombreux utilisateurs ont ainsi reçu des e-mails, appels téléphoniques ou SMS frauduleux qui se présentaient comme émanant d’un centre de vaccination ou de la Sécurité sociale et leur demandaient de rappeler un numéro surtaxé pour avancer ou obtenir un rendez-vous pour leur vaccin. Les attaquants profitaient de la situation, non seulement pour empocher les frais téléphoniques exorbitants, mais aussi pour se procurer des informations sensibles.

Aux États-Unis, durant cette même période, les cybercriminels ont exploité la vulnérabilité de certaines tranches d’âge. Ils ont ainsi envoyé des e-mails annonçant aux plus de 70 ans qu’ils pouvaient bénéficier d’une aide de la part du gouvernement fédéral. La cible était particulièrement bien choisie puisque cette population, moins à l’aise avec les nouvelles technologies, est facilement la proie des arnaques en ligne. Les personnes intéressées étaient invitées à renseigner leurs informations personnelles (nom, prénom, numéro de sécurité sociale et adresse) qui étaient ensuite directement engrangées dans les bases de données des criminels. Après avoir envoyé le formulaire, l’utilisateur était redirigé vers la véritable page officielle du « Fonds de réponse solidaire à la COVID-19 pour l’OMS » et invité à faire un don. Les hackers essayaient ainsi de rendre plus crédible leur arnaque.

Aux États-Unis, la Federal Trade Commission a estimé, dans son rapport annuel Consumer Sentinel Network que, pour la seule année 2020, les pertes infligées aux particuliers et aux entreprises par des cyberattaques réussies s’élevaient à 86 millions de dollars. Interpol a, de son côté, tiré la sonnette d’alarme et publié des recommandations, après avoir enregistré, en l’espace de quatre mois, une hausse particulièrement inquiétante des escroqueries en ligne en rapport avec la COVID-19.

Des sociétés utilisent le pretexting pour cibler leurs propres employés

Bien que ce ne soit pas la forme de pretexting la plus fréquente, il arrive que les attaques par pretexting qui ciblent des employés ne soient pas le fait de hackers professionnels, mais de leur propre entreprise. La société de matériel informatique Hewlett-Packard (HP) a ainsi admis avoir eu recours à des techniques de pretexting pour enquêter sur les membres de son conseil d’administration et découvrir d’où venaient les fuites d’informations confidentielles qui avaient été publiées dans la presse. Le cabinet de détectives engagé par HP à cet effet avait usurpé l’identité de membres du Conseil pour obtenir des informations sur leurs communications téléphoniques auprès de l’opérateur AT & T.

Cette révélation a provoqué un immense scandale et HP a dû accepter de payer 14,5 millions de dollars à l’État de Californie pour mettre fin aux poursuites civiles lancées à son encontre

Ces incidents de pretexting sont salutaires pour nous ouvrir les yeux sur l’évolution constante des menaces cyber. Alors que les sociétés comme les particuliers tentent de démêler cet imbroglio, il est devenu essentiel de mettre en place des réflexes de détection précoce et de prévention.

Y voir clair dans le jeu des hackers : comment repérer les tentatives de pretexting

La force du pretexting réside dans sa capacité à convaincre. Les attaquants sont souvent bien préparés : ils ont procédé à des recherches poussées sur leurs cibles et sur les sociétés pour lesquelles ils se font passer, et ont élaboré un scénario réaliste qui rend leur histoire crédible. Ils peuvent être tout à fait capables de manier une terminologie qui semble officielle, de fournir de faux identifiants de connexion ou même d’ajouter des bruits de fond lors de leurs appels téléphoniques pour plus d’authenticité. Voici quelques signes qui doivent vous mettre la puce à l’oreille :

  • Urgence: Ces tentatives ont généralement tendance à insister sur l’urgence d’une situation afin de pousser les victimes à prendre des décisions irréfléchies. Si votre interlocuteur vous incite à agir rapidement, prenez du recul… en particulier si des informations sensibles ou des transactions sont en jeu. Lorsqu’elles sont authentiques, les actions de ce type se font rarement dans la précipitation.
  • Impression trompeuse de familiarité : Méfiez-vous de toute personne qui paraît un peu trop familière et vérifiez, avant toute chose, qu’elle a une bonne raison pour vous demander l’accès à vos données personnelles ou à des détails sur votre vie privée ou sur votre entreprise. Si votre interlocuteur semble en savoir plus long que ce qu’il devrait ou fait référence à des informations que vous ne lui avez pas communiquées, soyez sur vos gardes.
  • Incohérences : Soyez très attentif aux informations fournies par votre interlocuteur et relevez toute éventuelle contradiction ou incohérence. Si vous en constatez, soyez extrêmement prudent et pensez à vérifier l’authenticité de la demande.
  • Excuses pour éviter que vous ne poursuiviez la communication : Si la personne à l’origine d’une demande de ce type se met sur la défensive, devient évasive ou avance des raisons pour vous empêcher de contrôler son identité ou de contacter d’autres personnes, il peut s’agir d’une tentative de pretexting. Lorsque les demandes d’informations ou d’actions sont authentiques, leurs auteurs n’ont aucune raison pour vous dissuader de vérifier leurs dires ou d’obtenir des renseignements complémentaires.
  • Usurpation de nom de domaine : Si vous avez reçu un e-mail qui semble provenir d’une instance bien connue ou d’un site Internet officiel, mais que le nom de domaine, dans l’adresse e-mail ou l’URL, vous semble légèrement modifié ou mal orthographié, méfiez-vous : ce pourrait être une tentative de pretexting.
  • Demandes de codes de vérification : Les auteurs de pretexting peuvent vous demander de leur fournir des codes de vérification. Souvent, ils prétendent que ce sont des mesures de sécurité ou une manière de vérifier votre identité. Soyez prudent face à de telles requêtes, en particulier si elles sont formulées par e-mail, par téléphone ou par SMS. Dans la réalité, aucune entité ne vous demandera de code de vérification sans raison valable ou demande préalable de votre part.
  • Prétextes liés à une mise en conformité ou des obligations légales : Pour faire pression sur vous et vous pousser à faire ce qu’ils attendent, les attaquants sont susceptibles de jouer sur le terrain de la mise en conformité ou d’employer un langage juridique, afin de vous faire croire à une obligation légale. Normalement, toutes les questions légales ou de conformité sont relayées par le biais de canaux officiels. Si vous recevez des e-mails ou des appels qui exigent de vous une action immédiate, soyez vigilant, notamment s’il s’agit d’informations sensibles.
  • Exigences de discrétion : Tout message comportant des phrases du type « Gardez cela pour vous », « Ne partagez pas cette information » ou vous réduisant au silence, d’une manière ou d’une autre, doit vous alerter. Il peut, en effet, s’agir d’un hacker qui cherche à contrôler la situation en vous empêchant de chercher conseil autour de vous ou de vérifier ses dires auprès de sources fiables.
E-mail comportant des indicateurs clés évoquant une attaque de pretexting : demande urgente, histoire inventée de toutes pièces, demande malveillante, adresse e-mail usurpée et lien vers un site Internet corrompu.

Mesures proactives contre le pretexting

La prévention des attaques par pretexting nécessite généralement un savant mélange de vigilance, d’éducation et de bonnes pratiques en matière de sécurité. Voici les meilleures solutions pour vous protéger des attaques par pretexting, ainsi que vos collaborateurs et votre entreprise :

Pour les particuliers et les employés :

  • Protégez vos données personnelles et financières : Ne communiquez jamais vos mots de passe, vos numéros de compte, ni aucune information sensible en ligne, par téléphone ou par e-mail. Une véritable institution ne vous demandera jamais de lui fournir de telles données par le biais de ces canaux. Si vous recevez une demande d’informations sensibles et que vous n’êtes pas sûr de son authenticité, raccrochez ou fermez l’e-mail, et contactez directement l’institution en utilisant des coordonnées fiables pour vérifier la légitimité de la demande.
  • Soyez prudent si vous ne connaissez pas l’interlocuteur : Lorsque vous échangez avec des personnes que vous ne connaissez pas, soyez sur vos gardes, en particulier si elles vous demandent des informations sensibles. Si vous avez des doutes, vérifiez l’identité de votre interlocuteur en passant par des moyens de communication fiables.
  • Renforcez vos mots de passe : Évitez d’utiliser le même mot de passe pour plusieurs sites Internet et créez des mots de passe uniques et solides. Vous limiterez ainsi l’impact d’une éventuelle violation de données. Si l’un de vos comptes est compromis, les autres resteront protégés.
  • Sécurisez vos informations personnelles : Protégez vos données numériques en les chiffrant et en adoptant des solutions de stockage sécurisées. Conservez les documents physiques contenant des informations sensibles dans des endroits sûrs et éliminez-les de manière appropriée lorsqu’ils ne sont plus nécessaires.
  • Signalez toute activité suspecte : Si vous pensez avoir été la cible d’une attaque par pretexting, réagissez immédiatement. Signalez l’incident aux autorités compétentes et informez les services en ligne pouvant être impliqués dans l’attaque, tels que votre fournisseur de messagerie e-mail. Plus vous signalez les faits rapidement, plus il sera facile de stopper les criminels avant qu’ils n’aient pu faire davantage de dégâts, voire de les appréhender.

Pour les sociétés :  

  • Encouragez les signalements d’incidents : Instaurez une culture du signalement au sein de votre entreprise. Encouragez les employés à signaler rapidement toute tentative de phishing ou activité suspecte. Si l’alerte est donnée rapidement, vos équipes de sécurité auront plus de facilité à réagir avant que la situation ne s’aggrave.
  • Mettez en place une authentification multifacteur : Le recours à l’authentification multifacteur (MFA) ajoute un niveau supplémentaire de sécurité parce qu’elle exige plusieurs formes d’authentification avant d’accorder un accès. Si un attaquant obtient un élément d’authentification, comme un mot de passe, il ne pourra pas se connecter s’il n’a pas le second élément, par exemple un token envoyé sur le téléphone.
  • Vérifiez les interlocuteurs externes : La vigilance ne doit pas se résumer au personnel en interne. Elle doit s’étendre à toute personne susceptible d’interagir avec vos systèmes. Si des prestataires externes demandent l’accès à des données sensibles, assurez-vous qu’ils respectent les protocoles de cybersécurité de votre entreprise.
  • Mettez régulièrement à jour vos logiciels et appliquez les correctifs : Veillez à la sécurité des appareils et des machines de votre entreprise en mettant systématiquement à jour tous les logiciels et en appliquant les correctifs. Les logiciels obsolètes peuvent comporter des vulnérabilités que les attaquants sont susceptibles d’exploiter.
  • Actualisez vos politiques de cybersécurité : Mettez régulièrement à jour votre politique de cybersécurité pour qu’elle couvre également les formes d’ingénierie sociale qui émergent, comme le pretexting. Vos défenses resteront ainsi solides et en phase avec les nouvelles tendances.
  • Améliorez vos plans d’intervention en cas d’incident : Pour réduire les impacts éventuels d’une attaque par pretexting ou d’autres tactiques similaires, affinez vos plans d’intervention en cas d’incident. Il est essentiel, pour la continuité de votre activité et la sécurité de votre entreprise, que vos procédures soient bien définies et qu’elles permettent d’identifier les attaques, de les bloquer et d’en limiter les répercussions.
  • Formez et sensibilisez vos collaborateurs : Les formations régulières et continues qui sensibilisent aux dernières tendances en matière de menaces cyber, notamment au pretexting, permettront à vos employés de connaître les bonnes pratiques en matière de détection et de réponse aux activités suspectes. Cette approche pédagogique est essentielle pour entraîner votre personnel à la vigilance et lui apprendre à identifier et à déjouer les tentatives de pretexting.

Entretenir la vigilance : comment protéger votre société des attaques par pretexting

Les cas réels d’attaques par pretexting que nous avons évoqués soulignent toute la ruse que peuvent déployer des adversaires résolus à jouer sur la psychologie humaine pour parvenir à leurs fins. Le pretexting est une tactique sophistiquée qui permet des attaques très convaincantes : il est donc vital que les particuliers et les entreprises restent constamment en état d’alerte.  

En inculquant à vos collaborateurs les connaissances qui leur permettront de se défendre, en les sensibilisant et en construisant une infrastructure bien sécurisée, vous pouvez construire une culture résiliente, capable de résister même aux arnaques les plus subtiles. Les modules de micro-apprentissage de SoSafe vous simplifient la vie, en proposant une formation à la cybersécurité accessible à tous et ludique. Ils exploitent les rouages de la gamification et de la psychopédagogie pour enseigner à vos collaborateurs à identifier les tentatives de pretexting et d’ingénierie sociale, et les neutraliser.

Autre élément important d’une formation continue, l’entraînement pratique permettra à vos équipes d’acquérir une expérience concrète, basée sur des scénarios d’attaques ayant réellement eu lieu. Dans un environnement contrôlé, votre personnel est soumis à des simulations de phishing qui lui permettent de s’exercer à identifier, signaler et déjouer des tentatives de pretexting

N’oubliez pas : vos employés sont votre meilleure défense contre le pretexting. Équipés de connaissances adaptées et bien entraînés, ils vous protégeront activement et sauront repérer cette forme de menace. Leur vigilance, leur engagement en matière de défense et leur motivation à signaler les activités suspectes sont les clés de votre cybersécurité.

Échec et mat pour les tentatives de phishing

Découvrez nos simulations de phishing : une solution qui transformera vos collaborateurs en force vive pour défendre votre organisation.

Lancer la démo

Woman working on tablet