Social engineering : quand les hackers manipulent l'humain plutôt que la machine

Le facteur humain : le maillon le plus vulnérable

Selon le rapport Verizon DBIR 2025, 74% des violations de données impliquent un facteur humain : erreur, utilisation abusive de privilèges ou ingénierie sociale. Les attaquants l'ont bien compris : il est souvent plus facile de manipuler un humain que de pirater un pare-feu.

Les 6 techniques les plus utilisées

1. Le prétexte (Pretexting)

L'attaquant se fait passer pour quelqu'un de confiance : technicien IT, fournisseur, collègue d'une autre filiale. Il crée un scénario crédible pour obtenir des informations sensibles. « Bonjour, je suis du support Microsoft. Nous avons détecté un virus sur votre PC... »

2. L'appât (Baiting)

Une clé USB « oubliée » dans le parking de l'entreprise. Un lien vers un document « confidentiel ». La curiosité pousse la victime à ouvrir le fichier piégé. En 2025, des clés USB infectées ont été distribuées devant des entreprises luxembourgeoises.

3. Le tailgating (accès physique)

L'attaquant suit un employé pour entrer dans les locaux sans badge. « Pouvez-vous me tenir la porte ? J'ai oublié mon badge. » Une fois à l'intérieur, il accède aux équipements réseau, dépose des dispositifs d'écoute ou branche une clé USB.

4. La fraude au président (CEO Fraud)

L'attaquant se fait passer pour le directeur et demande un virement urgent et confidentiel. « C'est très urgent et confidentiel, ne prévenez personne. » Au Luxembourg, plusieurs entreprises ont perdu des centaines de milliers d'euros via cette technique.

5. Le vishing (phishing vocal)

Appel téléphonique d'un faux technicien, faux banquier ou fausse administration. Avec les deepfakes vocaux, l'attaquant peut même imiter la voix d'un collègue.

6. Le quid pro quo

L'attaquant offre quelque chose en échange d'informations : un « audit gratuit », un « logiciel offert », une « assistance technique ». La contrepartie est un accès à vos systèmes.

Comment se protéger