1C'est quoi l'ingénierie sociale ?
L'ingénierie sociale, c'est l'art de pirater des humains. Au lieu de casser un système, l'attaquant manipule une personne pour qu'elle donne ce qu'il veut — identifiants, argent, code, badge. C'est de loin la technique d'accès initial la plus courante dans les breaches modernes : pas chère, rapide, insensible à la plupart des défenses techniques. Le meilleur pare-feu du monde ne sert à rien si votre comptable vire les fonds à un faux fournisseur.
74%
Des breaches impliquent l'humain (Verizon DBIR)
4,88 M$
Coût moyen d'un data breach en 2024
6
Principes de Cialdini exploités
2Les six leviers exploités
Autorité — « C'est le PDG qui parle »
On obéit aux uniformes, aux titres et aux signatures d'email. La fraude au président et l'usurpation du helpdesk IT en vivent.
Urgence — « Avant 17h ou le deal saute »
Une deadline artificielle court-circuite la partie prudente de votre cerveau. Si vous vous sentez bousculé, c'est déjà un red flag.
Réciprocité — « Je t'ai rendu service, maintenant… »
Une clé USB gratuite, un café, un coup de main — puis une petite demande qu'il serait malpoli de refuser.
Preuve sociale — « Tout le reste de ton équipe l'a déjà fait »
Si ça semble normal et que d'autres ont obtempéré, vous le ferez aussi.
Rareté — « Plus que 3 places »
La peur de rater l'occasion écrase la vérification prudente.
Sympathie — « On est allés à la même école »
Créer du lien via des intérêts partagés baisse votre garde.
Analyser un email suspect sur mlab.sh
Utilisez le parser EML de mlab.sh pour inspecter en-têtes, authentification et liens embarqués avant de cliquer.
Ouvrir le parser EML3Scénarios courants
Fraude au président / BEC
Un « PDG » écrit à la compta pour un virement urgent vers un nouveau fournisseur. Coûte des milliards par an.
Usurpation du helpdesk IT
« Bonjour, IT — activité suspecte détectée sur votre compte, vous pouvez me lire le code que vous venez de recevoir ? »
Tailgating
Une personne les mains pleines vous demande de tenir la porte d'une zone sécurisée. Vous le faites par politesse.
Faux recruteur
Un recruteur LinkedIn avec un poste de rêve vous envoie un « test de compétences » contenant un malware.
FAQ Ingénierie sociale
Phishing et ingénierie sociale, c'est pareil ?
Le phishing est un canal spécifique (email/SMS). L'ingénierie sociale est la catégorie plus large couvrant téléphone, présentiel et web.
Comment m'entraîner à la détecter ?
Une seule habitude : quand une demande urgente vous stresse, arrêtez et vérifiez par un autre canal — appelez un numéro connu, allez voir le collègue. L'urgence est le signal.
L'IA vocale rend-elle le vishing pire ?
Oui. Les attaquants clonent la voix d'un patron à partir de quelques secondes de vidéo LinkedIn pour autoriser de faux virements.
Modules connexes
Reconnaître un lien de phishing
Les techniques pour détecter les URLs frauduleuses qui imitent des sites légitimes.
Smishing et vishing expliqués
Phishing par SMS (smishing) et par appel (vishing) : les arnaques téléphoniques qui contournent vos filtres anti-spam.
Analyser un email suspect
Décortiquer les en-têtes d'email pour identifier les tentatives de phishing et de spoofing.
Source : mlab Academy — Plateforme de sensibilisation à la cybersécurité
URL : https://academy.mlab.sh/fr-FR/page/ingenierie-sociale
Module : C'est quoi l'ingénierie sociale ? — Phishing & Ingénierie sociale
Avertissement : Ce contenu est à des fins de sensibilisation uniquement.