Pourquoi les entreprises ne peuvent-elles pas arrêter les attaques d'ingénierie sociale ? | Avis

Source : CryptoNewsNet Titre original : Pourquoi les entreprises ne peuvent-elles pas arrêter les attaques d’ingénierie sociale ? | Opinion Lien original : Au cours de l’année écoulée, la plupart des plus grandes exploits dans la crypto ont eu la même cause profonde : les personnes. Au cours des derniers mois seulement, Ledger a exhorté les utilisateurs à suspendre leur activité on-chain après que les mainteneurs npm ont été dupés et que des packages malveillants ont été propagés ; Workday a révélé une campagne d’ingénierie sociale qui a accédé à des données dans un CRM tiers ; et des opérateurs liés à l’État ont continué à lancer de fausses offres d’emploi contre des équipes crypto pour distribuer des logiciels malveillants.

Résumé

• La crypto n’est pas piratée — c’est en étant persuadée de se donner elle-même. La plupart des violations proviennent désormais du phishing, de fausses mises à jour et d’usurpation d’identité, et non d’un code cassé, faisant des “personnes” la principale surface d’attaque.
• L’argent programmable transforme de petites erreurs en pertes catastrophiques. Une seule clé divulguée ou demande approuvée peut drainer des fonds instantanément et de façon irréversible, faisant de l’ingénierie sociale un risque systémique, et non une erreur utilisateur.
• Tant que la sécurité opérationnelle ne sera pas traitée comme une infrastructure essentielle, les exploits continueront de se développer. Les audits et revues de code ne peuvent pas arrêter la tromperie humaine — seules des normes strictes pour les appareils, l’accès et la formation peuvent le faire.

Malgré des milliards dépensés en cybersécurité, les entreprises continuent d’être battues par la simple ingénierie sociale. Les équipes investissent dans des protections techniques, audits et revues de code tout en négligeant la sécurité opérationnelle, l’hygiène des appareils et les facteurs humains fondamentaux. À mesure que davantage d’activités financières se déplacent sur la chaîne, ce point aveugle devient un risque systémique pour l’infrastructure numérique.

La seule façon de ralentir la montée des attaques d’ingénierie sociale est un investissement large et soutenu dans la sécurité opérationnelle qui réduit le rendement de ces tactiques.

L’ingénierie sociale est le talon d’Achille de la cybersécurité

Le rapport 2025 de Verizon sur les investigations des violations de données relie l’“élément humain” de la cybersécurité (phishing, vol de crédentiels, et erreurs quotidiennes) à environ 60 % des violations de données.

L’ingénierie sociale fonctionne parce qu’elle cible les personnes, pas le code, en exploitant la confiance, l’urgence, la familiarité et la routine. Ces types d’exploits ne peuvent pas être éliminés par un audit de code et sont difficiles à défendre avec des outils automatisés de cybersécurité. La revue de code et autres pratiques courantes ne peuvent pas empêcher un employé d’approuver une demande frauduleuse qui semble provenir d’un manager, ou de télécharger une fausse mise à jour logicielle qui paraît légitime.

Même les équipes très techniques se font piéger ; la faiblesse humaine est universelle et tenace. Et en conséquence, l’ingénierie sociale continue de provoquer des incidents dans le monde réel.

La crypto augmente les enjeux

L’argent programmable concentre le risque. Dans le web3, compromettre une phrase de départ ou un jeton API peut être équivalent à pénétrer dans un coffre-fort bancaire. La nature irréversible des transactions crypto amplifie les erreurs : une fois les fonds transférés, il n’y a souvent aucun moyen de revenir en arrière. Une seule faille dans la sécurité de l’appareil ou la gestion des clés peut anéantir des actifs. La conception décentralisée du web3 signifie qu’il n’y a souvent pas de service d’assistance, laissant les utilisateurs se débrouiller seuls.

Les hackers, y compris les opérateurs soutenus par l’État, ont constaté l’efficacité des attaques d’ingénierie sociale et se sont adaptés en conséquence. Les opérations reposent fortement sur l’ingénierie sociale : fausses offres d’emploi, PDFs empoisonnés, packages malveillants, et phishing ciblé exploitant les vulnérabilités humaines.

Ces exploits sont étonnamment efficaces et simples à exécuter, et les entreprises technologiques semblent incapables de s’en défendre. Contrairement aux exploits zero-day, qui sont rapidement corrigés (forçant les hackers à trouver de nouvelles stratégies d’exploitation), les hackers peuvent réutiliser les mêmes tactiques d’ingénierie sociale de façon autonome, passant plus de temps à pirater qu’à faire de la R&D.

Les entreprises doivent investir dans la sécurité opérationnelle

Trop d’organisations considèrent encore la sécurité comme un exercice de conformité — une attitude renforcée par des normes réglementaires permissives. Les entreprises passent régulièrement des audits et publient des rapports impeccables tout en abritant des risques opérationnels flagrants : clés administrateur stockées sur des ordinateurs portables personnels, identifiants partagés via chat et email, privilèges d’accès obsolètes qui ne sont jamais renouvelés, et ordinateurs portables de voyage réutilisés comme machines de développement.

Remédier à cette défaillance de discipline nécessite une sécurité opérationnelle explicite et appliquée. Les équipes devraient utiliser des appareils gérés, une protection renforcée des points de terminaison, et un chiffrement complet du disque ; les accès de l’entreprise devraient s’appuyer sur des gestionnaires de mots de passe et une MFA résistante au phishing ; et les gestionnaires de systèmes devraient gérer soigneusement les privilèges et accès. Ces contrôles ne sont pas une solution miracle, mais ils rendent les attaques d’ingénierie sociale plus difficiles et contribuent à atténuer l’impact des exploits potentiels.

Plus important encore, les équipes doivent investir dans la formation à la sécurité opérationnelle ; les employés (pas seulement les équipes de cybersécurité) sont la première ligne de défense contre les attaques d’ingénierie sociale. Les entreprises devraient consacrer du temps à former leurs équipes à repérer les attaques de phishing probables, pratiquer une hygiène des données sûre, et comprendre les pratiques de sécurité opérationnelle.

Il est crucial de ne pas attendre que les organisations adoptent volontairement des postures de cybersécurité renforcées ; les régulateurs doivent intervenir et établir des bases opérationnelles contraignantes qui rendent une vraie sécurité non optionnelle. Les cadres de conformité doivent aller au-delà de la documentation et exiger une preuve démontrable de pratiques sécurisées : gestion vérifiée des clés, revues périodiques des accès, renforcement des points de terminaison, et simulations de phishing. Sans une réglementation contraignante, l’incitation favorisera toujours l’apparence plutôt que la sécurité réelle.