De nombreuses entreprises associent d'abord la sécurité informatique aux systèmes : pare-feu, mots de passe, VPN. Tous ces éléments sont importants, sans aucun doute. Mais parfois, un simple appel téléphonique suffit. Quelqu'un qui semble suffisamment convaincant. Peut-être avec un soupçon d'urgence. Ou même avec de réelles connaissances de base, parce qu'elle a déjà obtenu des informations quelque part.
Un nouveau vecteur d'attaque : Quand les pirates appellent
Les cybercriminels ne cessent d'évoluer dans leurs méthodes. Alors que de nombreuses organisations se concentrent sur la protection contre les courriels d'hameçonnage, les ransomwares ou les vulnérabilités techniques, un autre canal est de plus en plus mis en avant : le téléphone.
L'hameçonnage, une forme d'ingénierie sociale, utilise le téléphone comme passerelle. Le terme est un mélange de "voice" (voix) et de "phishing" (hameçonnage). Il désigne les tentatives de tromperie par téléphone dans le but de soutirer des informations sensibles telles que des identifiants de connexion ou des processus internes.
Les attaquants utilisent des scénarios bien préparés, des numéros de téléphone usurpés et parfois même des voix générées par l'IA. Tout cela dans le but d'instaurer la confiance et de contourner les mécanismes essentiels de cybersécurité.
L'incident Salesforce : Comment les pirates ont accédé aux données des clients
Au printemps 2024, on a appris que des criminels avaient accédé aux données des clients de Salesforce par le biais d'attaques de vishing. Ce qui est particulièrement inquiétant, c'est que Salesforce n'était pas la cible principale : Salesforce n'était pas la cible principale. Les attaques visaient les employés du service clientèle.
En utilisant des informations précédemment compromises, vraisemblablement obtenues par le biais de failles de sécurité chez des fournisseurs tiers, les attaquants ont pu se faire passer pour des utilisateurs légitimes par téléphone. Cela leur a permis de saper les processus d'authentification existants.
Cette attaque montre à quel point le vishing peut être insidieux : grâce à des appels téléphoniques judicieusement programmés, parfois avec la connaissance de véritables initiés, les attaquants gagnent la confiance de leurs victimes et passent outre les concepts de sécurité.
Pourquoi l'hameçonnage fonctionne-t-il ? La faiblesse humaine
Les mesures technologiques de cybersécurité sont déjà en place dans de nombreuses entreprises. Mais que se passe-t-il lorsque les personnes deviennent le maillon faible ?
C'est précisément ce que visent les attaques par hameçonnage. Les employés sont souvent pressés par le temps, veulent se rendre utiles ou croient sincèrement qu'ils parlent à quelqu'un de l'organisation. Ces leviers psychologiques permettent aux attaquants de contourner facilement les routines de cybersécurité.
Cela devient particulièrement problématique lorsque les entreprises n'ont pas établi de processus clairs pour les demandes d'assistance ou l'authentification par téléphone. Il suffit d'un bref appel téléphonique pour que des données importantes ou l'accès au système soient menacés.
Ce que nous devrions apprendre : Repenser la cybersécurité
L'affaire Salesforce montre clairement qu'il ne suffit pas de sécuriser uniquement l'infrastructure technique. Une approche holistique doit également inclure les canaux de communication tels que les appels téléphoniques.
Les organisations doivent appliquer les principes de la confiance zéro non seulement au niveau du réseau, mais aussi au niveau interpersonnel. Cela signifie que personne n'est automatiquement digne de confiance, même si la voix à l'autre bout du fil semble digne de confiance.
Outre la formation, les entreprises ont surtout besoin de processus permettant aux employés de signaler ou de vérifier les demandes suspectes, sans pression et avec des voies d'escalade claires.
La sensibilisation est la meilleure protection
L'hameçonnage n'est pas une menace théorique, c'est déjà une réalité. Et avec les techniques de tromperie assistées par l'IA, il devient encore plus dangereux. L'attaque contre les clients de Salesforce montre à quel point il est possible d'accéder rapidement à des informations critiques par le biais d'un appel téléphonique.
Les entreprises doivent désormais mettre en place des mesures de cybersécurité à la fois techniques et organisationnelles. Et surtout, elles doivent sensibiliser leurs employés à cette menace invisible. Car en fin de compte, une chose est claire : la meilleure protection n'est pas la technologie, mais une équipe vigilante et bien formée.
Votre organisation est-elle bien protégée contre les attaques de type "vishing" et autres attaques d'ingénierie sociale ?
Nos experts en cybersécurité vous aident à identifier les vulnérabilités, à sensibiliser les employés et à mettre en œuvre des mesures de protection efficaces.