En octobre 2023, un hacker a appelé MGM Resorts International — une des plus grandes chaînes hôtelières au monde — en se faisant passer pour un employé. Il avait trouvé le nom d’un vrai employé sur LinkedIn, a appelé le support informatique, et en dix minutes de conversation a obtenu suffisamment d’accès pour déclencher une cyberattaque qui a paralysé les systèmes de l’entreprise pendant dix jours. Perte estimée : 100 millions de dollars.
Aucun exploit de code. Aucune vulnérabilité technique. Juste un appel téléphonique et un bon scénario.
Ce n’est pas un cas isolé. C’est la norme.
Pourquoi attaquer les humains plutôt que les machines
Les systèmes informatiques ont un comportement prévisible. Un pare-feu bien configuré rejette les connexions non autorisées, chaque fois, sans exception. Un logiciel patché n’a plus la vulnérabilité qu’on essaie d’exploiter.
Les humains sont différents. Ils ont des mauvaises journées. Ils veulent aider. Ils ne veulent pas paraître incompétents ou paranoïaques. Ils font confiance aux personnes qui leur semblent connaître les bonnes personnes, les bons codes, les bons contextes.
L’ingénierie sociale exploite précisément ces imperfections humaines. Elle contourne la technologie en passant par les personnes. Et contrairement aux vulnérabilités logicielles, les vulnérabilités humaines ne se corrigent pas avec une mise à jour — elles nécessitent de la formation, de la culture, et des procédures.
Le Verizon Data Breach Investigations Report 2024 — la référence annuelle de l’industrie sur les brèches de données — documente que 68 % de toutes les brèches impliquent un élément humain : phishing, pretexting, erreur, ou abus de privilèges. Sur cette proportion, l’ingénierie sociale délibérée représente la majorité des cas intentionnels.
La CISA (Cybersecurity and Infrastructure Security Agency) américaine classe l’ingénierie sociale parmi les trois premières menaces pour les organisations de toutes tailles depuis 2021. Ce n’est pas une tendance nouvelle — c’est une réalité fondamentale de la cybersécurité que beaucoup d’entreprises québécoises sous-estiment encore.
Les six leviers psychologiques
Robert Cialdini, dans “Influence : The Psychology of Persuasion” (1984), a identifié six principes d’influence que les êtres humains appliquent naturellement dans leurs décisions sociales. Les ingénieurs sociaux les connaissent tous — ils les utilisent comme une boîte à outils.
1. L’urgence
“J’ai besoin de ça dans les cinq prochaines minutes sinon le serveur tombe.” L’urgence artificielle est le levier le plus utilisé dans l’ingénierie sociale. Elle court-circuite le processus de vérification normal — quand on est pressé, on saute les étapes de sécurité.
Dans le monde réel, les vraies urgences existent. Mais un processus de sécurité robuste prévoit justement des protocoles pour les urgences — des chemins d’escalade rapides qui maintiennent la vérification même sous pression.
Un bon signal d’alerte : si quelqu’un insiste sur l’urgence ET refuse de vous laisser prendre le temps de vérifier, c’est précisément le moment de ralentir.
2. L’autorité
“Je suis le directeur technique, j’ai besoin de ce mot de passe maintenant.” Ou : “Je vous appelle de la part de l’ARC.” Les personnes en position d’autorité obtiennent plus facilement de la coopération — c’est une forme d’efficacité sociale qui fonctionne bien dans les vrais contextes.
Les ingénieurs sociaux créent une fausse autorité. Ils étudient l’organigramme de l’entreprise (souvent disponible sur LinkedIn), apprennent les noms des cadres supérieurs, et invoquent leur autorité. L’employé ciblé, face à ce qui ressemble à une demande d’un supérieur, hésite à refuser ou à questionner — par peur de paraître difficile ou incompétent.
3. La peur
“Si vous ne nous donnez pas accès immédiatement, des accusations criminelles seront déposées.” Ou : “Votre poste est en jeu si ce problème n’est pas réglé avant la fin de journée.” La peur d’une conséquence grave provoque souvent une compliance immédiate — le cerveau en mode panique privilégie l’action rapide sur l’évaluation critique.
C’est le levier central des arnaques ARC, des arnaques d’arrestation imminente, et des menaces de sextorsion. Voir nos articles sur le vishing au Canada et la sextorsion.
4. La réciprocité
“Je t’ai rendu service la semaine dernière, tu peux m’aider avec ça ?” La réciprocité est un mécanisme social profondément ancré — nous ressentons une obligation naturelle de rendre les services qu’on nous a rendus.
Dans le contexte d’ingénierie sociale, l’attaquant peut établir une relation de confiance progressive en rendant de petits services avant de faire une demande importante. Ou il peut simplement invoquer une aide passée fictive.
5. La preuve sociale
“Tout le monde dans le département a déjà fait ça.” Ou : “Votre collègue Martin m’a dit que c’était standard comme procédure.” Quand on est incertain, on regarde ce que font les autres pour décider. L’ingénieur social utilise des références à des comportements supposément répandus pour normaliser une demande anormale.
6. La sympathie et le lien
Il est beaucoup plus difficile de refuser une demande de quelqu’un qu’on aime ou avec qui on s’identifie. Les ingénieurs sociaux utilisent des profils LinkedIn et des réseaux sociaux pour identifier des points communs avec la cible — même école, même région, même loisir — et les mentionnent pour créer un sentiment de familiarité.
Le pretexting : l’art du scénario fictif
Le pretexting est la technique consistant à créer un contexte fictif crédible pour légitimer une demande. Il combine souvent plusieurs leviers psychologiques dans un script cohérent.
Exemples concrets de pretexting en contexte d’entreprise :
Le faux audit informatique : Un attaquant appelle la réception d’une PME en se présentant comme consultant en sécurité informatique mandaté par la direction. “Je dois faire une vérification des postes de travail, pouvez-vous me donner accès à la salle des serveurs ?” La réception, ne voulant pas bloquer un audit “mandaté par la direction”, coopère.
Le faux collègue en déplacement : “Bonjour, c’est Jean-Sébastien de Montréal, je suis en déplacement à Vancouver et j’ai oublié mon badge. J’ai une réunion dans dix minutes avec un client important. Est-ce que vous pouvez m’envoyer le code d’accès temporaire ?” L’urgence, l’identité plausible, et la situation embarrassante (oublié son badge) combinées créent une demande difficile à refuser.
Le faux recruteur LinkedIn : Une offre d’emploi attrayante, un faux recruteur qui demande un CV détaillé et des références personnelles, puis progressivement des informations sur les systèmes internes de l’entreprise actuelle de la cible — “pour s’assurer de la compatibilité technique avec notre infrastructure”. Cette technique cible les candidats à l’emploi pour extraire des informations sur leur employeur actuel.
Le faux support technique distant : Voir notre article dédié sur les faux popups de support technique. La variante en entreprise consiste à appeler directement un employé : “Je vous appelle du département IT central, on a détecté une anomalie sur votre poste, j’ai besoin de vous connecter à distance pour vérifier.”
Cas documentés en contexte québécois et canadien
L’attaque contre Desjardins (2019) — facteur humain interne
La fuite de données de Desjardins qui a exposé 4,2 millions de membres a été causée par un employé interne malveillant — pas par une attaque externe sophistiquée. C’est une forme d’ingénierie sociale inversée : au lieu qu’un externe manipule un interne, un interne abuse de ses accès. La leçon : les contrôles d’accès internes et la détection d’anomalies de comportement sont aussi importants que la défense périmétrique.
Les arnaques au PDG ciblant les PME québécoises
La “fraude au président” (ou CEO fraud) est une variante d’ingénierie sociale où l’attaquant usurpe l’identité du PDG ou d’un cadre supérieur pour demander un virement urgent à un employé des finances. Cette fraude est documentée par le CAFC comme l’une des plus coûteuses pour les entreprises canadiennes — plusieurs cas à Montréal, Québec et Sherbrooke ont été rapportés dans les médias locaux entre 2021 et 2024.
Le mécanisme est toujours le même : courriel semblant provenir du PDG, ton urgent, instruction de garder le virement confidentiel (“ne pas en parler à la comptabilité pour l’instant, c’est une acquisition sensible”), et demande de confirmation que c’est fait.
L’attaque SolarWinds — ingénierie sociale comme vecteur initial
Bien que ce cas soit américain, il illustre parfaitement comment l’ingénierie sociale ouvre la porte à des attaques bien plus larges. L’attaque SolarWinds — l’une des plus importantes cyberattaques de l’histoire, qui a compromis des dizaines d’agences gouvernementales américaines — a commencé par une compromission de la chaîne d’approvisionnement rendue possible en partie par des tactiques d’ingénierie sociale ciblant des employés.
Le baiting, le quid pro quo et le tailgating
Au-delà des grandes catégories, plusieurs techniques spécifiques méritent d’être connues.
Le baiting (appât)
Un attaquant laisse des clés USB infectées dans un parking d’entreprise ou une cafétéria. La curiosité humaine fait le reste — quelqu’un ramasse la clé, la branche sur son ordinateur “pour voir ce qu’il y a dessus”, et le malware s’installe.
Cette technique, documentée dans des études depuis les années 2000, fonctionne encore. Une étude de l’Université de l’Illinois a montré que 48 % des clés USB “trouvées” placées sur un campus avaient été branchées par des personnes qui les avaient ramassées.
Le quid pro quo
“Je vous offre quelque chose d’utile en échange d’une petite information.” Les formes les plus courantes : faux sondages avec récompenses qui collectent des données personnelles, offres de “diagnostic gratuit” qui nécessitent un accès aux systèmes, ou assistance technique gratuite qui implique l’installation d’un logiciel de contrôle à distance.
Le tailgating (filature physique)
Quelqu’un suit un employé qui a badgé pour entrer dans un bâtiment sécurisé. “Merci, j’ai oublié mon badge” — et il est dedans. Cette technique physique est souvent sous-estimée dans les entreprises qui se concentrent sur la cybersécurité numérique.
La solution : une culture où chaque employé est autorisé et encouragé à demander à une personne inconnue de se badger elle-même, sans se sentir impoli.
Comment reconnaître une tentative d’ingénierie sociale
Les signaux d’alerte à identifier en temps réel :
Urgence + refus de vérification. “Je n’ai pas le temps pour une vérification, c’est maintenant ou jamais.” Si quelqu’un insiste pour que vous agissiez immédiatement ET résiste à tout processus de vérification, c’est un signal fort.
Demande de confidentialité inhabituelle. “N’en parle pas à ton supérieur pour l’instant.” Les vraies demandes urgentes et légitimes dans une organisation n’ont généralement pas besoin de contourner la chaîne hiérarchique.
Connaissance des détails internes mais manque à un endroit précis. L’ingénieur social fait ses recherches — il connaît les noms, les projets, parfois l’organigramme. Mais il manque souvent un élément spécifique (un numéro de badge, un code d’accès, un nom précis) et c’est précisément ce qu’il cherche à obtenir.
Pression émotionnelle intense. Peur, urgence, flaterie excessive — si vous vous sentez émotionnellement pressé de prendre une décision immédiate, c’est exactement le moment de ralentir.
Canal de communication inhabituel. Un cadre supérieur qui vous contacte par un nouveau numéro, ou via WhatsApp plutôt que le système de messagerie interne, devrait susciter une vérification indépendante.
La formation : ce qui fonctionne vraiment
Beaucoup d’entreprises font des formations annuelles de cybersécurité — une présentation PowerPoint de 45 minutes, un quiz en ligne, et une case cochée dans le registre de conformité. Cette approche ne fonctionne pas.
Ce qui fonctionne :
Les simulations de phishing régulières. Des outils comme KnowBe4, Proofpoint Security Awareness Training, ou Cofense permettent d’envoyer de faux emails de phishing à vos employés et de mesurer qui clique. Les personnes qui cliquent reçoivent immédiatement une formation contextuelle — au moment où c’est le plus pertinent. Les taux de clics chutent typiquement de 50 à 80 % après 12 mois de simulation régulière.
Le jeu de rôle et les scénarios réels. Présenter des cas réels québécois et canadiens (les arnaques aux PDG, les compromissions de notaires) plutôt que des exemples abstraits. La reconnaissance de patterns concrets est plus efficace que des règles générales.
La culture de la vérification sans honte. L’obstacle principal à la sécurité dans les organisations n’est pas l’ignorance — c’est la peur de paraître paranoïaque ou peu coopératif. Un employé qui refuse de donner accès à un “technicien” non identifié devrait être félicité, pas regardé de travers.
Des procédures claires : “Si quelqu’un demande X par téléphone, voici la procédure exacte à suivre” — pas “faites preuve de bon jugement”. Le bon jugement sous pression est moins fiable que des procédures automatiques.
Formation des niveaux les plus exposés. Les équipes finances, RH et IT sont les cibles les plus fréquentes. La formation doit être calibrée par fonction — une équipe de vente a besoin d’une formation différente d’une équipe de comptabilité.
Procédures organisationnelles anti-ingénierie sociale
Au-delà de la formation individuelle, des procédures structurelles réduisent le risque.
Principe du double contrôle pour les virements. Aucun virement au-delà d’un seuil défini ne devrait pouvoir être initié par une seule personne. La confirmation par un deuxième employé, via un canal distinct, bloque la plupart des fraudes au PDG.
Canaux de vérification indépendants. Pour toute demande sensible (accès aux systèmes, virement, données clients), établir un canal de vérification secondaire obligatoire — appel téléphonique sur un numéro pré-établi, pas sur le numéro fourni dans la demande.
Liste blanche des fournisseurs IT. Seuls les prestataires informatiques pré-approuvés peuvent accéder aux systèmes. Toute demande d’accès d’un “technicien” non préalablement autorisé déclenche automatiquement une vérification.
Politique de divulgation protégée. Les employés qui signalent une tentative d’ingénierie sociale (même s’ils ont coopéré par erreur) doivent être protégés contre les représailles. La transparence rapide permet une réponse rapide.
L’ingénierie sociale à l’ère de l’IA : les nouvelles frontières
Les outils d’IA générative transforment l’ingénierie sociale à une vitesse inquiétante.
Deepfakes audio et vidéo. Des appels de “PDG” avec une voix clonée, des appels vidéo avec un visage synthétisé — ces attaques existent déjà. En 2024, une entreprise de Hong Kong a perdu 25 millions de dollars après qu’un employé a participé à un faux appel vidéo avec de faux collègues générés par IA.
Spear phishing hyper-personnalisé. Les LLM peuvent générer des courriels de phishing qui imitent parfaitement le style d’écriture d’un interlocuteur réel, en intégrant des détails contextuelss pertinents (projet en cours, réunion récente, détails personnels tirés des réseaux sociaux). La qualité de ces courriels rend les heuristiques traditionnelles (“cherche les fautes d’orthographe”) obsolètes.
Agents autonomes. Des recherches publiées en 2024 montrent que des agents IA peuvent conduire des campagnes d’ingénierie sociale de façon quasi-autonome — recherche de cibles, rédaction de prétextes personnalisés, gestion des conversations — avec une supervision humaine minimale.
La réponse à ces évolutions n’est pas uniquement technologique. Les entreprises qui ont les meilleures défenses contre l’ingénierie sociale IA sont celles qui ont établi des cultures de vérification forte et des procédures robustes avant même que l’IA entre dans l’équation.
Test pratique : êtes-vous vulnérable ?
Quelques questions simples pour évaluer votre exposition personnelle et celle de votre organisation :
- Avez-vous déjà donné un mot de passe à quelqu’un qui “avait besoin d’accès” sans vérification indépendante ?
- Votre organisation a-t-elle une procédure formelle pour les demandes de virement inhabituelles ?
- Les employés savent-ils à qui signaler une tentative de manipulation sans craindre de se tromper ?
- La dernière formation de vos équipes sur l’ingénierie sociale incluait-elle des simulations pratiques ou seulement de la théorie ?
- Avez-vous un inventaire des informations publiquement disponibles sur votre organisation (organigramme LinkedIn, noms des cadres, fournisseurs cités sur le site) qu’un attaquant pourrait utiliser ?
Si plusieurs de ces réponses vous mettent mal à l’aise, c’est une indication que des lacunes existent.
Pour aller plus loin sur la sécurité organisationnelle, consultez nos articles sur la sécurité des accès avec 2FA et sur la protection contre le phishing courriel.
L’ingénierie sociale n’est pas une menace ésotérique réservée aux grandes entreprises ou aux gouvernements. C’est la technique la plus utilisée dans les cyberattaques contre des cibles de toutes tailles, précisément parce qu’elle contourne les investissements technologiques.
Un pare-feu à 50 000 $ ne protège pas contre un employé qui donne son mot de passe à quelqu’un qui prétend être du support IT. La formation, la culture, et les procédures ne sont pas des “soft” compléments à la sécurité technique — elles en sont souvent l’élément le plus critique.
Pour une évaluation de votre exposition à l’ingénierie sociale ou pour mettre en place un programme de formation adapté à votre organisation, contactez Sequr ou visitez sequr.ca/contact.
Articles connexes :
