Les pirates exploitent l’ingénierie sociale, souvent via des attaques d’identité à contact direct, pour voler des données et coûter des millions aux entreprises.
Les cybercriminels ciblent le maillon le plus faible pour pirater un système. C’est de plus en plus souvent l’humain. Selon le 2025 Unit 42 Global Incident Response Report: Social Engineering Edition de Palo Alto Networks, l’ingénierie sociale était responsable de 36 % de tous les incidents étudiés l’année dernière.
L’humain comme exploit le plus populaire
Ainsi, l’ingénierie sociale au sens large est de loin la voie d’accès la plus courante. Les humains sont plus souvent exploités que les failles techniques. Dans plus d’un tiers de ces attaques, il s’agissait même de méthodes non-phishing comme l’empoisonnement SEO, les fausses alertes de navigateur et la manipulation des équipes d’assistance. Ces attaques contrastent avec les techniques de phishing classiques comme les faux e-mails.
On note l’émergence des attaques dites high-touch et basées sur l’identité. Les attaques high-touch sont des attaques d’ingénierie sociale ciblées et interactives. Selon Unit 42, les attaquants peuvent ainsi obtenir rapidement des droits d’administrateur de domaine en trompant les employés ou les procédures d’assistance. Le Q2 2025 Ransomware Report de Coveware confirme cette tendance : l’ingénierie sociale basée sur l’identité est devenue courante et est utilisée par des groupes comme Scattered Spider, qui ciblent les grandes marques reconnaissables pour un impact maximal.
Une araignée gênante
Scattered Spider, également connu sous le nom de Muddled Libra, est cité dans les deux rapports comme l’exemple type des groupes d’ingénierie sociale modernes. Selon Coveware, le groupe cible délibérément les grandes marques reconnaissables dans des secteurs comme la vente au détail, l’aviation et les assurances pour créer une pression opérationnelle maximale. Le groupe est actuellement principalement actif au Royaume-Uni et aux États-Unis.
Unit 42 décrit comment Scattered Spider utilise des techniques high-touch. Les membres du groupe se font passer pour des employés internes, trompent les services d’assistance pour réinitialiser l’authentification multifacteur et obtiennent ainsi parfois des droits d’administrateur de domaine en moins de quarante minutes.
Processus légitimes
Coveware et Unit 42 signalent tous deux que les criminels exploitent de plus en plus les processus et outils légitimes. Les identifiants volés, souvent obtenus via des info-stealers ou du vishing (voice phishing – par téléphone), sont utilisés pour accéder à des services externes ou des comptes de tiers, comme les fournisseurs de services IT.
Les criminels exploitent de plus en plus les processus et outils légitimes.
Dans ces cas, les criminels n’installent pas de malware dans les environnements piratés. Ils s’introduisent et agissent avec des données et des outils légitimes. Unit 42 souligne que les alertes de sécurité manquées, les droits d’accès trop larges et l’absence d’authentification multifacteur facilitent nombre de ces attaques.
Vol de données
L’objectif des attaquants est de plus en plus souvent l’exfiltration de données, en plus ou à la place du chiffrement. Coveware note que dans 74 % des cas de rançongiciel et d’extorsion, des données ont été volées, parfois sans que les systèmes ne soient chiffrés. Dans plus de la moitié des incidents d’ingénierie sociale de l’étude Unit 42, cela a conduit à l’exposition d’informations sensibles ou à la perturbation des processus d’entreprise.
L’impact est considérable. Coveware rapporte un doublement tant de la moyenne (1,13 million de dollars) que de la médiane (400 000 dollars) des rançons par rapport au trimestre précédent. Bien que seuls 26 % des victimes paient effectivement, cela montre que les attaques d’ingénierie sociale réussies peuvent être dévastatrices non seulement techniquement, mais aussi financièrement et opérationnellement.
Zero trust, MFA et correctifs
Les entreprises ont intérêt à renforcer la sensibilisation à la cybersécurité de tous les employés. De plus, une défense appropriée est essentielle. Des droits correctement attribués (par exemple via le zero trust), la segmentation au sein de l’environnement et la MFA peuvent prévenir ou limiter considérablement l’impact des attaques d’ingénierie sociale et des intrusions subséquentes avec des données légitimes.
Enfin, notons que l’ingénierie sociale est le vecteur principal mais pas le seul. Quiconque n’installe pas à temps un correctif de sécurité pour une vulnérabilité connue dans un système logiciel peut certainement s’attendre aussi à des attaques.