Vous avez subi une attaque ?
|
Assistance
|
Contactez-nous
|
+1 855 426 3983
Blog
/
Cyber-résilience

L'exploitation de la confiance humaine est toujours plus efficace que le piratage de code (et l'aide apportée par la confiance zéro)

Raghu Nandakumara
Vice-président, stratégie industrielle
Illumio Editorial
Mars 25, 2026
23 min. lire
Tim Kromphardt, chercheur principal en menaces chez Proofpoint

Lorsque nous parlons d'ingénierie sociale, il est tentant de penser qu'il s'agit de quelque chose de nouveau.  

Mais lorsque j'ai parlé avec Tim Kromphardt, chercheur en menaces, sur le podcast The Segment , il a décrit quelque chose de beaucoup plus simple sur la façon dont ces attaques fonctionnent réellement.

Les êtres humains suivent des routines.

Tim l'a comparé à une promenade dans un champ. Au fil du temps, les gens suivent naturellement le même chemin parce que c'est le plus facile. Notre cerveau fait la même chose pour les tâches quotidiennes au travail. Nous traitons les demandes, répondons aux courriels et suivons des processus commerciaux familiers sans trop réfléchir à chaque étape.

Les acteurs de la menace le savent et utilisent exactement le même processus que les personnes de confiance.  

Ce constat révèle un aspect important de la cybercriminalité moderne. Les attaques les plus efficaces ne cassent pas les systèmes, mais suivent les mêmes voies de communication que celles utilisées par les entreprises légitimes.

C'est précisément la raison pour laquelle l'ingénierie sociale reste si efficace, même si les outils de sécurité sont de plus en plus perfectionnés.

Il explique également pourquoi la confiance zéro est si importante. Si les attaquants peuvent exploiter la confiance humaine pour obtenir un accès, les organisations doivent partir du principe que l'accès sera parfois accordé.  

Le véritable objectif de l'architecture de sécurité n'est donc pas seulement d'empêcher la violation, mais de limiter ce qui se passe ensuite.

L'ingénierie sociale fonctionne toujours car les humains sont prévisibles

En matière de cybersécurité, les attaques sont souvent considérées comme des problèmes techniques. Les réseaux présentent des vulnérabilités qui permettent aux attaquants d'injecter des logiciels malveillants et d'exploiter les failles de sécurité.

Mais selon Tim, les violations les plus réussies commencent par quelque chose de beaucoup plus simple : l'ingénierie sociale. C'est parce que les gens s'appuient sur des schémas et des routines pour traiter rapidement les informations.

"Nous avons des façons de simplifier les choses qui nous arrivent tout le temps", a déclaré Tim. "Votre cerveau suit le même chemin parce que c'est le plus facile et qu'il économise du temps et de l'énergie.

Les attaquants en profitent.  

Au lieu d'inventer de nouvelles astuces, ils imitent des processus légitimes. Ils envoient des courriels de phishing qui ressemblent à des demandes d'achat. Les pièces jointes au format PDF ressemblent à des factures de fournisseurs. Les appels semblent provenir de l'assistance informatique mais ne proviennent pas d'une source légitime.

Ces attaques ne brisent pas les systèmes. Ils suivent le même chemin que la communication légitime. C'est pour cela qu'ils réussissent.

"Les acteurs de la menace utilisent exactement le même processus que les personnes de confiance", a déclaré Tim. "Ils espèrent que vous suivrez la routine.

L'essentiel de la stratégie des cybercriminels consiste à exploiter la confiance déjà établie dans les opérations commerciales normales.

Les acteurs de la menace interviennent et utilisent exactement le même processus que les personnes de confiance.

Les tactiques n'ont pas changé, mais l'échelle, elle, a changé

Avec tout le battage médiatique autour de l'IA, de nombreuses personnes pensent que les attaquants inventent constamment de nouvelles techniques.

Les recherches de Tim suggèrent le contraire.

"Le mécanisme permettant d'obtenir la confiance d'une personne n'a pas vraiment changé", a-t-il déclaré. "Il n'y a pas de nouvelle façon de convaincre quelqu'un de donner ses informations bancaires.

Les tactiques restent les mêmes :

  • Usurper l'identité d'entités de confiance
  • Renforcer la crédibilité
  • Créer un sentiment d'urgence ou de familiarité
  • Guider la victime dans une action de routine

Ce que la technologie a changé, c'est l'échelle.

L'automatisation des attaques grâce à l'IA permet aux acteurs malveillants d'envoyer des millions d'e-mails, de tester différents appâts et d'affiner leur approche plus rapidement que jamais. Les outils d'IA peuvent générer des variantes de messages frauduleux et automatiser certaines parties de leur infrastructure.

Mais l'étape finale repose encore sur la manipulation des humains.

Même les escroqueries les plus sophistiquées finissent par converger vers le même point. Les attaquants doivent convaincre quelqu'un de leur faire confiance suffisamment longtemps pour transférer de l'argent ou des informations d'identification.

Tim décrit cela comme une sorte d'entonnoir. "Ils peuvent faire preuve de créativité avec les leurres", a-t-il déclaré. "Mais en fin de compte, ils doivent toujours obtenir vos informations. Ils doivent donc encore instaurer la confiance ou exploiter celle qui existe déjà".

Pourquoi plus de confiance signifie plus de danger dans les cyberattaques

L'une des tactiques les plus inquiétantes que Tim voit gagner en popularité est celle du dépeçage des porcs.

The name sounds bizarre, but the strategy is brutally effective. L'agresseur passe des mois à établir une relation avec la victime avant de lui demander de l'argent.

"L'idée est d'engraisser le porc avant l'abattage", explique Tim. "Ils construisent la confiance pendant des mois avant de demander un investissement important.

L'agresseur peut prétendre avoir contacté la victime accidentellement par le biais d'un message texte ou d'un média social. À partir de là, la conversation se développe progressivement. Les victimes reçoivent des messages quotidiens avec des conversations banales sur la vie de tous les jours. Les attaquants peuvent même partager des photos ou des vidéos pour valider encore davantage la relation.

L'attaquant finit par présenter une opportunité d'investissement. Dans un premier temps, la victime investit de petites sommes et perçoit des revenus. L'attaquant peut même leur permettre de retirer de petits bénéfices pour renforcer leur crédibilité.

Vient ensuite la véritable demande.

Ils vous diront qu'il y a une énorme opportunité où la victime pourrait doubler ou tripler son profit. "Les gens finissent par investir toutes les économies de leur vie", explique Tim.

Dans l'un des cas qu'il a étudiés, un cadre du secteur technologique a perdu sept millions de dollars. L'escroquerie a réussi non pas en raison d'un exploit technique, mais parce que l'attaquant a établi la confiance.

Pourquoi les personnes intelligentes se font encore avoir par des escrocs

Lorsque ces histoires font surface, la première réaction est souvent l'incrédulité. Comment peut-on tomber dans le panneau ?

Mais Tim explique que la psychologie qui sous-tend ces escroqueries est plus complexe qu'il n'y paraît. Les gens ne prennent pas de décisions dans des conditions parfaites. Ils sont occupés, distraits et sous pression - ou simplement à la recherche d'une connexion authentique.

Pour Tim, cela met en lumière un aspect que de nombreux débats sur la sécurité négligent. L'ingénierie sociale fonctionne souvent parce que les attaquants ciblent les besoins humains plutôt que les faiblesses techniques.

"Aujourd'hui, beaucoup de gens cherchent à se connecter davantage", a-t-il déclaré. "Les médias sociaux ont éloigné les gens des relations traditionnelles.

Lorsque quelqu'un paraît sympathique, sympathique ou prospère, la confiance s'installe rapidement. Et lorsque la confiance s'installe, le scepticisme diminue. C'est exactement ce sur quoi comptent les attaquants.

La réalité cachée des opérations d'escroquerie modernes

Un autre mythe concernant les cybercriminels est qu'ils sont des pirates informatiques très sophistiqués.

C'est parfois le cas, mais de nombreuses opérations de fraude ressemblent davantage à des centres d'appels d'entreprises. Ils ont des conversations scénarisées et des flux de travail définis. Nombre d'entre eux exigent même des mesures de performance de la part des travailleurs victimes d'escroquerie.

D'après les recherches de Tim, ces opérations d'escroquerie structurées affinent constamment leurs scripts. Parfois, l'objectif est simplement de recueillir des renseignements. Dans d'autres cas, il s'agit d'identifier les comptes de mules ou les canaux de paiement utilisés pour transférer de l'argent volé.

Mais le processus sous-jacent reste remarquablement cohérent. Les escrocs veulent convaincre quelqu'un de leur faire confiance, puis monnayer cette confiance.

Pourquoi la sensibilisation à la sécurité ne suffit pas

La formation à la sensibilisation à la sécurité est devenue un élément standard de la défense des entreprises.

Et si la sensibilisation à la sécurité est essentielle, le fait de s'appuyer uniquement sur le comportement des utilisateurs crée un fardeau impossible à porter.

Comme l'a souligné Tim, l'être humain n'est pas conçu pour fonctionner dans un climat de suspicion permanente. "Nous ne pouvons pas supposer que les gens prendront toujours la bonne décision ou agiront parfaitement", a-t-il déclaré. "Même les employés bien formés peuvent commettre des erreurs.

C'est pourquoi la réflexion sur la confiance zéro doit aller au-delà de l'authentification et de l'identité. Les organisations doivent partir du principe que la confiance humaine sera parfois exploitée.

La question est de savoir ce qui se passera ensuite. Un attaquant peut-il se déplacer librement dans l'environnement, ou ses prochains mouvements sont-ils limités ?

Nous ne pouvons pas supposer que les gens prendront toujours la bonne décision ou agiront parfaitement. Même les employés bien formés peuvent commettre des erreurs.

La confiance zéro doit tenir compte du comportement humain

C'est là que la confiance zéro devient essentielle.

Cela n'empêchera pas toutes les escroqueries, mais cela peut limiter les dégâts lorsque la confiance est inévitablement abusée.

Si un pirate accède à des informations d'identification, à un appareil compromis ou à une connexion à distance, une stratégie de confiance zéro fondée sur la segmentation et la visibilité peut empêcher que ce point d'ancrage ne se transforme en une violation totale.

Zero Trust reconnaît une vérité simple : les humains feront toujours confiance à d'autres humains.

Les attaquants le savent, et les défenseurs doivent donc concevoir des architectures qui supposent que la confiance peut échouer.

Zero Trust aide à résoudre les problèmes de cybersécurité à venir

La technologie continuera d'évoluer. L'IA automatisera les escroqueries. Les infrastructures deviendront plus complexes. Les relations numériques remplaceront les relations physiques.

Mais le problème fondamental reste inchangé : la cybercriminalité consiste toujours à manipuler la confiance.

Le fait est que la résilience architecturale est aujourd'hui la plus importante. Aujourd'hui, la stratégie des cybercriminels n'est pas d'exploiter les logiciels, mais de nous exploiter nous-mêmes.  

Cette réalité devrait modifier la façon dont les organisations envisagent la cybersécurité et les inciter à faire de la stratégie de sécurité "zéro confiance" une priorité absolue.

Écoutez l'épisode complet de The Segment : Un podcast sur le leadership sans confiance sur Apple Podcasts, Spotifyou notre site web.

Raghu Nandakumara
Vice-président, stratégie industrielle
Illumio Editorial
Mars 25, 2026
23 min. lire
Cyber-résilience
Contactez-nous
Partager

Articles connexes

Les agents d'IA deviennent des employés numériques. Voici comment Zero Trust les sécurise.
Cyber-résilience

Les agents d'IA deviennent des employés numériques. Voici comment Zero Trust les sécurise.

Découvrez comment Zero Trust sécurise les agents d'IA et les identités des machines tout en donnant aux organisations les garde-fous nécessaires pour gérer les systèmes autonomes.

En savoir plus
Cyber-résilience
De "Êtes-vous protégé ?" à "Pouvez-vous fonctionner ?" Pourquoi les régulateurs veulent de la résilience, pas seulement des contrôles
Cyber-résilience

De "Êtes-vous protégé ?" à "Pouvez-vous fonctionner ?" Pourquoi les régulateurs veulent de la résilience, pas seulement des contrôles

Découvrez comment les régulateurs remplacent la conformité à la liste de contrôle par la résilience opérationnelle, en exigeant des preuves de l'endiguement et de la réponse cybernétiques dans le cadre des règles réglementaires.

En savoir plus
Banque & Services financiers
Conformité
Pourquoi les fondements de la sécurité sont la partie la plus négligée de l'adoption d'une stratégie de confiance zéro ?
Cyber-résilience

Pourquoi les fondements de la sécurité sont la partie la plus négligée de l'adoption d'une stratégie de confiance zéro ?

Découvrez pourquoi les principes fondamentaux de la sécurité sont la partie la plus négligée de la confiance zéro et comment la mise en place de ces principes détermine si les brèches s'étendent ou restent contenues.

En savoir plus
Cyber-résilience
Principales actualités de décembre 2025 dans le domaine de la cybersécurité
Cyber-résilience

Principales actualités de décembre 2025 dans le domaine de la cybersécurité

Découvrez les principales actualités de décembre 2025 en matière de cybersécurité, notamment les brèches dans la chaîne d'approvisionnement des conseils municipaux de Londres, les obstacles à la confiance zéro, les lacunes en matière de sécurité de l'IA et les conseils d'experts en matière de résilience.

En savoir plus
Cyber-résilience
Comprendre les mandats de conformité de l'UE : Technologie opérationnelle & Systèmes critiques
Cyber-résilience

Comprendre les mandats de conformité de l'UE : Technologie opérationnelle & Systèmes critiques

Une discussion sur les réglementations techniques opérationnelles et les contrôles de sécurité spécifiques aux systèmes critiques et à la technologie opérationnelle.

En savoir plus
Conformité
microsegmentation
Offrir le cadeau que mérite votre équipe de sécurité informatique pour les fêtes de fin d'année
Cyber-résilience

Offrir le cadeau que mérite votre équipe de sécurité informatique pour les fêtes de fin d'année

Apprenez à préparer votre entreprise à la période de récolte des mauvais acteurs - les fêtes de fin d'année.

En savoir plus
Aucun élément n'a été trouvé.

Découvrez Illumio Insights dès aujourd'hui

Découvrez comment l'observabilité alimentée par l'IA vous aide à détecter, comprendre et contenir les menaces plus rapidement.
Essayez Illumio Insights