undefined cover
undefined cover
Cybermois 2025 : les bonnes pratiques pour résister à l’ingénierie sociale cover
Cybermois 2025 : les bonnes pratiques pour résister à l’ingénierie sociale cover
INCYBER Voices

Cybermois 2025 : les bonnes pratiques pour résister à l’ingénierie sociale

Cybermois 2025 : les bonnes pratiques pour résister à l’ingénierie sociale

19min |02/10/2025
Play
undefined cover
undefined cover
Cybermois 2025 : les bonnes pratiques pour résister à l’ingénierie sociale cover
Cybermois 2025 : les bonnes pratiques pour résister à l’ingénierie sociale cover
INCYBER Voices

Cybermois 2025 : les bonnes pratiques pour résister à l’ingénierie sociale

Cybermois 2025 : les bonnes pratiques pour résister à l’ingénierie sociale

19min |02/10/2025
Play

Description

CYBERMOIS !

Dans cet épisode d'INCYBER Voices, nous recevons François Deruty, Chief Intelligence Officer chez Sequoia.io, après un long parcours à l’ANSSI et au ministère des Armées.
Avec son expérience de terrain, il nous éclaire sur l’ingénierie sociale, cette “science de la persuasion” qui reste la première porte d’entrée des cyberattaques.

Au programme :

  • Pourquoi l’ingénierie sociale est redoutable et toujours d’actualité.

  • Les techniques les plus utilisées par les cybercriminels : phishing, vishing, faux logos, campagnes de fraude ciblées…

  • Des exemples concrets d’attaques inventives, y compris sur la domotique et les services financiers.

  • Les services en entreprise les plus ciblés (finance, RH, direction) et pourquoi ils sont vulnérables.

  • Les réflexes à adopter : vérifier l’expéditeur, prendre le temps avant d’agir, séparer usages pro et perso, gérer ses mots de passe.

  • L’importance d’une gouvernance cyber forte et du rôle des dirigeants pour soutenir les RSSI.

  • Des ressources pratiques pour aller plus loin : l’ANSSI et Cybermalveillance.gouv.fr.

👉 Un échange concret, émaillé d’anecdotes, qui rappelle que la vigilance humaine reste la première barrière face aux cyberattaques.

Un podcast de la marque INCYBER


Hébergé par Ausha. Visitez ausha.co/politique-de-confidentialite pour plus d'informations.

Transcription

  • Speaker #0

    Bonjour à tous et bienvenue dans ce nouvel épisode d'Incyber Voices. Pour le cyber mois, on va mettre le focus sur une menace qui cible notamment les entreprises. L'ingénierie sociale, un faux mail de la compta, un appel un peu trop insistant, voire un deepfake vocal et la machine peut s'emballer, jusqu'à une fraude pouvant atteindre plusieurs centaines de milliers d'euros. La vraie question finalement, c'est comment outiller les équipes pour repérer ces attaques et comment réagir au bon moment. Pour en parler, j'ai le plaisir d'accueillir François Derutti, directeur des opérations chez Sequoia et ancien responsable des opérations et du CERT-FR à l'ANSI. François, j'ai rappelé votre parcours en quelques mots, mais le mieux, c'est de vous laisser compléter. Comment vous aimez vous présenter aujourd'hui ?

  • Speaker #1

    François Derutti, je suis en charge de tout ce qui est suivi des groupes d'attaquants, renseignements sur les menaces cyber chez Sequoia.io. Ça fait à peu près 4 ans et demi maintenant que j'ai rejoint cette entreprise française. Et avant, j'étais à la tête des opérations à l'ANSI pendant 6 ans. pour détection, analyse de la menace et réponse aux incidents. Et puis, j'ai toujours baigné un peu dans l'analyse géopolitique ou technique avec mes 15 années avant au ministère des Armées, dans ce genre de domaine également.

  • Speaker #0

    Rien que ça. Du coup, avec toute cette expérience que vous avez accumulée, notamment sur le terrain, est-ce que vous pouvez nous expliquer pourquoi l'ingénierie sociale est si dangereuse ? Qu'est-ce qui vous intéresse particulièrement dans ce type de menace ? Et est-ce qu'on peut parler d'une science de la persuasion ?

  • Speaker #1

    Oui, l'ingénierie sociale, c'est souvent le... Le premier point, c'est ce qu'on appelle dans les phases d'une attaque, c'est la partie reconnaissance. C'est-à-dire, je vais trouver ma cible, comprendre comment elle fonctionne et trouver un moyen de l'attraper d'une façon ou d'une autre, ou lui faire faire quelque chose contre sa volonté, mais sans qu'elle se rende compte de l'impact que ça peut avoir. Donc d'un côté, on a une course technologique permanente à des équipements de sécurité, de la protection automatisée, et pourtant, on a toujours cette capacité à utiliser les biais humains pour rentrer dans la scène d'information ou pour avoir les premières phases d'une attaque. Donc oui, on peut parler de science de la persuasion dans le sens où... L'ingénierie sociale, c'est provoquer chez l'humain un comportement inattendu ou désiré, mais inattendu de la part de la victime, en utilisant des biais cognitifs, l'autorité, l'urgence, la sympathie. Je me fais passer pour votre patron et je vous force à faire quelque chose de rapidement, je vous dis que c'est pour dans deux minutes parce qu'on n'a pas le choix, ou alors je crée une relation un peu long terme et je vous force à me donner des éléments que vous ne m'auriez pas donné normalement, donc de la persuasion.

  • Speaker #0

    Et le gain derrière, c'est pécunier, c'est des données qui vont être vendues. Quel est l'intérêt pour le criminel de faire ça ?

  • Speaker #1

    Ça dépend du type de criminel. Il peut y avoir beaucoup d'objectifs différents. On peut avoir le premier objectif tout simple, c'est-à-dire je vais récupérer vos informations bancaires et je vais vous voler de l'argent. C'est lucratif. Je vais vous faire cliquer sur un lien. Votre colis a été livré. Pour ne pas parler de quelque chose qu'on reçoit tous les jours. Maintenant, ils ne sont plus livrés, ils ne rentrent plus dans la boîte à lettres.

  • Speaker #0

    Je suis devant votre porte.

  • Speaker #1

    Exactement. Ça, ça marche régulièrement, mais on a aussi des gens qui vont essayer de récupérer des données un peu plus, soit techniques, soit des logins de mots de passe, ou vous faire installer un code malveillant sur votre PC sans que vous vous en rendiez compte. Tout ça pour ensuite récupérer un accès soit à votre réseau chez vous, soit à votre réseau d'entreprise. Et là, on peut avoir des attaques beaucoup plus graves, avec des cibles à criminels qui ne visent pas vous en tant que personne, mais qui visent vous en tant que chemin pour accéder à une cible plus grosse.

  • Speaker #0

    Alors, quand on parle d'ingénierie sociale, on pense tout de suite au phishing, mais les attaquants ne s'arrêtent pas là. Et concrètement, ça peut prendre plein d'autres formes. Est-ce que vous pouvez nous en citer quelques-unes ?

  • Speaker #1

    Oui, tout à fait. Le phishing, c'est le plus commun. Après, ça se décline, vous allez avoir tous les noms en « ing » qui vont exister. Vous allez avoir le vichy, donc ça va être plutôt quelqu'un qui vous appelle. qui se fait passer pour quelqu'un. Donc ça, vous l'avez tous les jours avec le compte personnel formation ou les factures d'énergie. Bon, ça, j'allais dire, on est à peu près habitués, ça se bloque assez facilement, même si c'est, comment dire, agaçant au quotidien. Mais vous pouvez avoir aussi des choses plus élaborées avec l'usurpation d'un vrai numéro de votre banque ou des choses comme ça. C'est-à-dire que quand votre téléphone va afficher le numéro, s'il est enregistré, vous allez pouvoir avoir écrit « banque » parfois et pourtant, ce sera quelqu'un derrière qui n'est pas avec le bon numéro. Et ça, ça peut vous mettre une forme de pression. Donc ça, c'est le viching. Il y a le smishing. Je déteste tous ces noms. Peu importe. Ça, c'est des SMS que vous recevez. Donc, le colis a été livré ou autre chose. On a le quishing maintenant, donc les QR codes. Ça, c'est les QR codes qui sont piégés. Il y a un exemple, il y a quelques... Il doit y avoir 18 mois, 2 ans maintenant, sur des bornes de recharge de voitures électriques. Les attaquants avaient collé des faux QR codes. Ce qui fait qu'au moment où vous voulez payer votre recharge, vous allez sur un faux site web et vous donnez votre argent à quelqu'un d'autre. On en voit aussi sur des tables de restaurants parisiens. En tout cas, moi je dis parisien parce que je vis à Paris, mais là où il y a le menu, on a vu déjà des attaquants coller des faux QR codes avec des faux sites web sur des tables pour essayer de vous faire payer l'addition sur un autre site. C'est ce qu'on appelle le phishing, le phishing par QR code, si on veut être un peu plus... Et puis après, on a des choses plus techniques. Aujourd'hui, avec l'intelligence artificielle, il y a l'impersonnation de quelqu'un. Vous avez vu sûrement passer cette histoire d'une meeting d'exécutif comité d'une grosse boîte en Asie où la seule personne qui était victime était une vraie personne. Tous les autres étaient d'intelligence artificielle avec du deepfake et des fausses images. Il y avait son patron, il y avait son directeur financier. Et là, on parle de millions d'euros qui ont été détournés. Et puis le dernier cas qu'on voit le plus, c'est ce qu'on appelle les... Alors ça n'a pas de nom en ligne, celui-là particulièrement, mais c'est plutôt des faux profils LinkedIn ou des faux profils de réseaux sociaux qui vont essayer de créer un lien avec vous pour vous recruter, vous faire remplir des documents et récupérer des informations. On a à peu près toutes les catégories classiques de reconnaissance sociale.

  • Speaker #0

    Très bien, et dans votre carrière justement, vous avez déjà été surpris, vous, par une attaque d'ingénierie sociale particulièrement inventive ?

  • Speaker #1

    Les deux cas qui me viennent à l'esprit, il y en a un qui a quelques années maintenant, mais c'est un logiciel qu'on appelait Emotet. C'était son petit nom de code en tant que logiciel malveillant. Et lui, il avait la différence de... En fait, il s'intégrait dans une ancienne boucle de mail à vous. Et il vous reprenait ce mail-là en répondant comme si je vous avais relancé un an et demi après, avec le compte-rendu de votre réunion ou le word que vous avez associé. C'est juste qu'il mettait une petite modification dans le document ou une face-pilier dans le document. Et quand vous recevez le mail, vous dites, mais c'est moi qui l'ai envoyé il y a deux ans, quelqu'un relance ou me répond. Vous avez tendance à cliquer plus facilement. Ça, c'était vraiment nouveau. plutôt que le mail tout fait avec le logo EDF. payer votre facture, là c'était vraiment un mail à vous qui ressurgissait dans votre boîte mail, une vieille conversation avec, on n'a pas reparlé de ce sujet-là, il faudrait qu'on en rediscute, et là vous vous faites attraper facilement. Donc ça c'est vraiment un cas que j'avais trouvé pertinent, et d'autres sur lesquels des affaires que j'ai traitées à l'ANSI, où la personne avait pris beaucoup de temps pour créer du lien avec la victime sur des Ausha de jeux vidéo. Donc ça c'était plutôt, on joue la même chose, petit à petit on crée une relation, je ne vais pas dire amicale, mais en tout cas on joue régulièrement avec la même personne, en tout cas le même pseudo. et puis un jour, il vous demande un coup de main, il vous demande quelque chose, il apprend que vous travaillez dans tel domaine et puis vous faites avoir parce que la sympathie. Ça, c'est des gens qui sont patients. C'est très dangereux. Quand on va vite, quand on fait du phishing au quotidien avec l'intelligence artificielle, vous recevez des spams, vous en avez des kilomètres dans votre boîte mail. Par contre, quand on crée une relation...

  • Speaker #0

    Comme Brad Pitt avec cette pauvre femme.

  • Speaker #1

    Exactement.

  • Speaker #0

    Ça, clairement, c'est de l'ingénierie sociale. C'est derrière.

  • Speaker #1

    Ça joue sur les biais des gens, sur un manque de quelque chose. ce sentiment d'urgence ou de sympathie. Il ne m'a pas écrit, moi, à bras de pique. Mais je ne désespère pas qu'il m'écrit bientôt.

  • Speaker #0

    J'espère que je ne serai pas faite à voir, même si ça reste une très belle figure masculine.

  • Speaker #1

    On sait que j'appelle les pièges parfois les plus gros, sont les plus efficaces. C'est tellement surprenant.

  • Speaker #0

    J'ai déjà payé une amende pour un excès de vitesse que je n'avais pas fait. En plus,

  • Speaker #1

    c'est un peu la pire à personne.

  • Speaker #0

    Il y a quelques années. Aujourd'hui, je suis plus à son sou.

  • Speaker #1

    Hier, on voyait une capture d'écran avec, vous savez, souvent... Pour les sites, on a remplacé le 1 par un I, des choses comme ça, pour faire cliquer sur le monde avec le E à la place d'un 3. Il y en a un qui est sorti hier, qui tourne beaucoup dans les réseaux sociaux, qui est le site de Microsoft. Mais au lieu de commencer par un M, c'est un R et un N. Ce qui fait que visuellement, ça ressemble à un M. Tout le monde tombe dedans.

  • Speaker #0

    Là, on va parler des entreprises face à la menace, parce qu'on a parlé quelque part aussi des particuliers. Et de ce que j'ai pu comprendre, c'est que les fonctions qui sont les plus visées, c'est la finance, les RH, la direction, bien entendu. Pourquoi ces services en particulier, ces portes d'entrée privilégiées ?

  • Speaker #1

    Tout simplement parce que c'est souvent là que se prennent les décisions, où circule beaucoup d'informations sensibles. Ce sont des gens qui ont accès à beaucoup de données généralement, que ce soit des données personnelles en tant qu'employé, les RH, vous avez accès au salaire, à la raison sociale, aux adresses, au numéro de téléphone, au numéro de banque. Et puis la partie comité de direction, ces choses-là, c'est souvent des équipes qui sont amenées à prendre des décisions rapidement, sous pression ou en tout cas dans l'urgence, ou en tout cas être toujours agiles. Ce sentier d'urgence est le plus efficace. Et parfois, c'est aussi encore malheureusement des équipes qui sont moins sensibilisées que les autres. Donc, elles ont accès à beaucoup d'informations. Et souvent, c'est pour ça qu'on a fait monter la partie CISO, les DSI, ou ce rôle-là, les RSSI, le plus haut possible dans les chaînes de décision, pour sensibiliser aussi les comités exécutifs, qui ont parfois tendance à mélanger le pro et le perso sur leurs équipements. Il n'y a qu'un seul téléphone et à faire un peu tout avec la même chose pour aller vite. pour gagner du temps, ce qui s'entend, mais ce qui crée aussi des maillons faibles.

  • Speaker #0

    Vous avez des exemples de sociétés qui, justement, en France ou ailleurs, dont le DG, par exemple, le président s'est fait avoir ?

  • Speaker #1

    Alors, j'en connais, mais je ne vous donnerai pas de nom,

  • Speaker #0

    parce que ce n'est pas l'objet. Mais est-ce que ça arrive régulièrement ?

  • Speaker #1

    Oui, régulièrement, oui. Et puis, pendant longtemps, on attaquait les entreprises directement. Les cidres criminels ou les attaquants étatiques attaquaient un Airbus, un EDF, un Thales directement. Aujourd'hui, on a quand même beaucoup progressé depuis dix ans. Ces sociétés-là sont bien protégées, elles ont des équipes internes, des équipements. Donc on a beaucoup parlé de ce qu'était la supply chain attack, c'est-à-dire je passe par vos prestataires, par vos fournisseurs pour rentrer là. Maintenant aujourd'hui on attaque plutôt les personnes. C'est-à-dire que si je connais le cas d'un par exemple d'un CEO d'un grand groupe français qui s'est fait attraper parce qu'ils ont piégé ses routers de domotique, c'est-à-dire tout son équipement qui permet de baisser ses stores, voilà il a son appli de téléphone et avant de rentrer chez lui l'hiver il peut allumer le chauffage, ouvrir les stores, quand il arrive chez lui tout est bien. Ça, ça passe par des équipements qui ont un réseau Wi-Fi, qui sont généralement peu sécurisés. Donc là-dedans, je mets un malware, je récupère votre mot de passe personnel. Et puis avec un peu de chance, ce sera le même que celui de votre compte en banque ou celui de votre compte pro. Donc je vais essayer et une fois sur X, ça va marcher. C'est-à-dire que maintenant, vous n'êtes plus une cible en tant que dirigeant d'entreprise, vous êtes une cible personnelle pour atteindre votre entreprise.

  • Speaker #0

    Donc là, on parle de domotique et en général, les attaques les plus courantes sur les collaborateurs, c'est ?

  • Speaker #1

    C'est souvent le phishing. On a beaucoup de choses au docusign en ce moment, tout ce qui est documents électroniques signés. Nous, on a une équipe de réponse à l'incident interne pour protéger notre entreprise. Les attaquants sont malins. On a levé des fonds il y a un an et quelques maintenant. Juste après, quelques mois après, on a reçu une grosse campagne de phishing avec des augmentations, les process d'action. Dans le cas d'une entreprise, quand on va vite, on se dit OK, ils ont levé des fonds, on propose une augmentation. On me propose peut-être de regarder pour avoir des actions de la boîte, je clique. Parce que d'un seul coup, ça devient intéressant.

  • Speaker #0

    Ça fait sens par rapport à l'histoire récente de la boîte.

  • Speaker #1

    Si on discute un peu, il y a quelqu'un d'autre qui va dire, moi aussi, je l'ai reçu, je n'ai pas regardé encore. Et puis, il y en a un qui va cliquer dans le bas. Ça, ça marche très,

  • Speaker #0

    très bien. Justement, on parlait de sensibilisation aux dirigeants, mais ça ne fonctionne pas toujours. Et concrètement, est-ce qu'il y a des réflexes simples qu'on peut adopter pour se protéger de ces attaques ?

  • Speaker #1

    Les réflexes, ça va être encore une fois beaucoup d'hygiène. d'hygiène informatique, mais une fois qu'on a dit ça, ce n'est pas si simple à mettre en place. Ça va être faire attention à l'expéditeur, comme on évoquait, bien regarder l'adresse mail, bien regarder si on connaît la personne, revalider avec quelqu'un d'autre peut-être, faire une pause, être capable de se dire, justement pour lutter contre le biais de l'urgence, le virement, que je le fasse maintenant ou dans 15 minutes, est-ce que vraiment ça change quelque chose ? Le temps de vérifier ou même de réfléchir, de se dire, c'est quand même bizarre, il ne m'a jamais écrit sur WhatsApp, ou je sais qu'il est à l'étranger, mais enfin bon, mon boss, il ne fait pas comme ça. Donc ça, faire attention. Il y a évidemment le double facteur, c'est-à-dire ce code que vous recevez par SMS ou encore mieux avec une appli externe pour vous authentifier un peu partout. Ça, c'est très important à activer. Ça, ça peut être des choses qui permettent de faire attention et puis se poser des questions. Pourquoi moi ? Pourquoi maintenant ? Vraiment réfléchir à... Quand c'est des gros montants où vraiment on sent quelque chose, normalement on a une intuition quand même qui fonctionne. On le sent que ce n'est pas normal, donc il faut suivre son intuition. Et regarder, être attentif.

  • Speaker #0

    Et justement, il y a des formations, des exercices qui fonctionnent pour parer à ça ?

  • Speaker #1

    Oui, tout à fait. Il y a les campagnes de phishing qui sont menées par les équipes informatiques d'une boîte. Donc ça, vous allez recevoir des mails piégés, généralement les gens ne seront pas forcément au courant. Et puis on va regarder le taux de clics, le taux de réponses, le taux de gens qui l'ont envoyé ou signalé l'équipe informatique pour dire « j'ai reçu ça, ça m'a l'air étrange, est-ce que quelqu'un peut regarder ? » Donc ça, on va regarder les taux de succès. C'est efficace, il faut le faire régulièrement, mais ce n'est pas l'alpha et l'oméga, parce que les gens sont habitués à recevoir des spams et qu'ils trient ça ou ils regardent à peine ça. Il y a la partie de faire des exercices sur table avec un comité de direction, ça peut être toujours utile, notamment pour réagir en cas de fuite de données ou d'attaque, comment on se comporte si jamais on n'apprend qu'un de nos collaborateurs ou un outil à laisser des données sur Internet. Et puis, on peut faire des escape games, des choses un peu ludiques, mais la pédagogie, c'est l'art de la répétition, donc il faut répéter, Et souvent, avoir un canal dédié. Nous, on a un canal qui s'appelle sécurité et sensibilisation, dans lequel régulièrement, on anonymise les spams qu'on reçoit ou on fait de la pédagogie vers tout le monde. On essaie de faire ça.

  • Speaker #0

    Intéressant. Justement, on parle souvent du salarié maillon faible. Mais justement, la responsabilité, est-ce qu'elle ne devrait pas être portée plus par les dirigeants ?

  • Speaker #1

    Alors, la responsabilité, elle est partagée, puisque tout le monde est un maillon de cette chaîne-là. Mais oui, le salarié, ce n'est pas le maillon faible, évidemment. C'est au dirigeant de donner une politique de sécurité, de donner des moyens. donner des outils, mais les outils, ce n'est pas magique, ça ne fait pas tout. Donc, ça n'empêche pas aussi les salariés ou les employés de faire attention, de prendre conscience, de suivre ces formations-là, même si quand on dit qu'on va faire un exercice demain, tout le monde va être impliqué l'après-midi, ça fait chier tout le monde. On ne va pas se mentir. Mais il faut y passer du temps parce que les impacts peuvent être vraiment très graves. Et il y a un côté fait papillon là-dedans. C'est-à-dire, j'ai cliqué sur un lien, je vais changer mon mot de passe, ça va, je vais m'en remettre. Mais en vrai, s'il se passe deux ou trois heures, les attaquants aujourd'hui sont très rapides. Ça peut avoir des impacts extrêmement importants pour une entreprise, même si au départ, on va se dire « Ok, j'ai cliqué, ça m'est déjà arrivé, ça m'arrivera encore » . Donc c'est un sujet qui est pas simple, notamment avec l'intelligence artificielle.

  • Speaker #0

    Justement, on parlait de faire monter les RSSI au COMEX ou au CODIR, du moins. Ça fait partie des bonnes pratiques de gouvernance pour réduire l'impact de ces attaques. Il y en a d'autres éventuellement ?

  • Speaker #1

    Je vais dire oui, toutes les... toutes les doubles authentifications, comme on l'a évoqué, vraiment mettre ces principes de ceinture et bretelles. Alors moi, comme je suis dans le monde depuis longtemps, je suis un peu plus paranoïaque que les autres. Mais moi, je suis très pour la séparation du pro et du perso, parce qu'on a encore trop de gens, et je ne jette la pierre à personne, parce que moi, le premier. C'est-à-dire, vous n'avez pas d'imprimante chez vous, vous avez un mail personnel Vous l'envoyez sur l'adresse mail du boulot, vous l'imprimez, vous repartez avec parce que c'est un formulaire SERFA, parce qu'il vous faut l'imprimer papier. On l'a tous fait, moi le premier. Mais de temps en temps, il peut y avoir un PDF qui est vérolé ou quelque chose comme ça. Et là, vous allez propager l'attaque qui était sur votre compte personnel à votre entreprise. Ça, c'est vraiment compliqué. Moi, j'ai deux téléphones. Il y a des applications que je n'ai pas sur mon téléphone professionnel parce que je n'ai pas assez confiance. Je n'ai pas WhatsApp, je n'ai pas ce genre de choses sur mon téléphone professionnel. Mais je comprends qu'avoir deux téléphones, c'est embêtant pour les poches, c'est embêtant la journée, ça fait deux choses qui sonnent. Déjà qu'une, c'est bien suffisant, ça fait deux écrans à scroller, donc c'est beaucoup de contraintes, mais ça me paraît efficace. En tout cas, d'expliquer à tout le monde qu'il faut vraiment faire attention à la séparation professionnelle-personnelle, notamment dans les mots de passe, tout ce qui est authentifiant, et pas se dire juste, les deux numéros que j'ai mis à la fin du nom de mon chien comme mot de passe, je vais changer, je vais mettre plus un pour l'entreprise. qu'en fait ça, ça se fait en moins de deux secondes avec un ordinateur, on peut tester toutes les combinaisons.

  • Speaker #0

    Intéressant, ça, pour séparer le pro du perso, j'imagine que c'est le conseil prioritaire que vous donnez en général, c'est l'objet de mes dernières questions, si on devait donner un seul conseil aux auditeurs du Cybermoi, que ce soit des collaborateurs en entreprise ou pour leur vie perso même.

  • Speaker #1

    Moi je dirais, oui, séparer le pro du perso, ça c'est extrêmement important pour ne pas devenir la source d'une attaque plus grande. Déjà, si vous êtes invité personnellement, c'est compliqué. Mais si en plus, vous devenez l'électeur d'entrée de votre entreprise, vous allez passer une mauvaise journée sûrement. Ça, c'est important. Et je dirais bien, encore une fois, faites attention à vos mots de passe, utilisez des gestionnaires ou des choses comme ça. Mais je sais que ce n'est pas si simple que ça. Ça dépend aussi. Nous, on est dans le domaine, donc ça paraît intuitif pour nous. Mais quand je discute avec mon père, il n'a aucune conscience de tout ça. Enfin, il a conscience parce qu'on discute tous les deux. Mais lui, avoir un mot de passe pour Netflix, un mot de passe pour sa boîte mail, un mot de passe pour sa banque, s'en rappeler tous par cœur. il y a un moment c'est pas possible donc soit avoir un gestionnaire informatique pour créer ses mots de passe proprement et bien les gérer ça prend du temps mais c'est efficace mon père a un cahier en tiroir mais ça marchera aussi du moment qu'il n'est pas affiché sur son PC avec ses mots de passe à

  • Speaker #0

    part se faire cambrioler c'est un autre problème ça et peut-être pour terminer au-delà d'écouter ce podcast si les gens entendent ça c'est qu'ils sont allés jusqu'au bout donc c'est qu'ils ont écouté vos conseils Est-ce qu'il y a d'autres ressources utiles que vous recommandez pour se prémunir ?

  • Speaker #1

    Sur le site de l'ANSI, on trouve pas mal de choses plutôt pour les entreprises. Il y a cybermalveillance.gouv.fr, qui est un GIP qui est là plutôt pour protéger. Si je caricature, l'ANSI prend par le haut, infrastructure critique qui va descendre jusqu'où ils peuvent en fonction de leurs ressources. Cybermalveillance, c'est plutôt le citoyen et monter sur les toutes petites entreprises. Ça va se rejoindre à un moment. Donc, en fonction de la catégorie où vous êtes, les deux disposent de ressources. Assez simple, une page, deux pages avec les guides d'hygiène numérique ou des sensibilisations, pour apprendre comment faire attention à tout ça. Et puis, il y a pas mal de ressources sur Internet disponibles en cherchant un peu, en faisant attention là où on cherche, pour ne pas tomber sur des mauvaises choses. Aujourd'hui, c'est vraiment une question d'hygiène et de discipline, sans que ce soit une contrainte incroyable, mais il faut juste y penser régulièrement et ça suffit.

  • Speaker #0

    Oui, et tout nouvel employé devrait bénéficier de ces documents, d'ailleurs en arrivant. Ça devrait être même une charte à signer ?

  • Speaker #1

    Normalement, il y a des chartes informatiques dans la plupart des entreprises. Nous aussi, on en a une. La question, c'est comme tous les documents que vous signez, est-ce que vous la lisez vraiment ? Ça, c'est le premier point. Ou est-ce que ça fait partie du paquet de 50 documents que vous allez signer en arrivant ? Et puis après, une fois l'avoir signé, il faut encore l'appliquer. Donc ça, c'est vraiment une discipline. Souvent, il faut qu'il nous arrive un truc pour qu'on pense à l'appliquer. Donc, c'est une fois qu'il vous a avéré un problème, ou que votre écran s'est éteint, ou des choses comme ça, le coup d'après, oui, vous faites attention. Malheureusement, on est encore trop souvent dans « il faut qu'il se passe une attaque pour qu'on comprenne ce qu'il faut faire » .

  • Speaker #0

    Très bien. Merci beaucoup, François, pour tous vos conseils. Avec plaisir. Merci pour l'invitation. On se retrouve à Lille en avril 2026.

  • Speaker #1

    Avec plaisir.

  • Speaker #0

    Merci beaucoup. Merci d'avoir suivi cet épisode d'Incyber Mrs. Si ça vous a plu, abonnez-vous et laissez-nous 5 étoiles.

Description

CYBERMOIS !

Dans cet épisode d'INCYBER Voices, nous recevons François Deruty, Chief Intelligence Officer chez Sequoia.io, après un long parcours à l’ANSSI et au ministère des Armées.
Avec son expérience de terrain, il nous éclaire sur l’ingénierie sociale, cette “science de la persuasion” qui reste la première porte d’entrée des cyberattaques.

Au programme :

  • Pourquoi l’ingénierie sociale est redoutable et toujours d’actualité.

  • Les techniques les plus utilisées par les cybercriminels : phishing, vishing, faux logos, campagnes de fraude ciblées…

  • Des exemples concrets d’attaques inventives, y compris sur la domotique et les services financiers.

  • Les services en entreprise les plus ciblés (finance, RH, direction) et pourquoi ils sont vulnérables.

  • Les réflexes à adopter : vérifier l’expéditeur, prendre le temps avant d’agir, séparer usages pro et perso, gérer ses mots de passe.

  • L’importance d’une gouvernance cyber forte et du rôle des dirigeants pour soutenir les RSSI.

  • Des ressources pratiques pour aller plus loin : l’ANSSI et Cybermalveillance.gouv.fr.

👉 Un échange concret, émaillé d’anecdotes, qui rappelle que la vigilance humaine reste la première barrière face aux cyberattaques.

Un podcast de la marque INCYBER


Hébergé par Ausha. Visitez ausha.co/politique-de-confidentialite pour plus d'informations.

Transcription

  • Speaker #0

    Bonjour à tous et bienvenue dans ce nouvel épisode d'Incyber Voices. Pour le cyber mois, on va mettre le focus sur une menace qui cible notamment les entreprises. L'ingénierie sociale, un faux mail de la compta, un appel un peu trop insistant, voire un deepfake vocal et la machine peut s'emballer, jusqu'à une fraude pouvant atteindre plusieurs centaines de milliers d'euros. La vraie question finalement, c'est comment outiller les équipes pour repérer ces attaques et comment réagir au bon moment. Pour en parler, j'ai le plaisir d'accueillir François Derutti, directeur des opérations chez Sequoia et ancien responsable des opérations et du CERT-FR à l'ANSI. François, j'ai rappelé votre parcours en quelques mots, mais le mieux, c'est de vous laisser compléter. Comment vous aimez vous présenter aujourd'hui ?

  • Speaker #1

    François Derutti, je suis en charge de tout ce qui est suivi des groupes d'attaquants, renseignements sur les menaces cyber chez Sequoia.io. Ça fait à peu près 4 ans et demi maintenant que j'ai rejoint cette entreprise française. Et avant, j'étais à la tête des opérations à l'ANSI pendant 6 ans. pour détection, analyse de la menace et réponse aux incidents. Et puis, j'ai toujours baigné un peu dans l'analyse géopolitique ou technique avec mes 15 années avant au ministère des Armées, dans ce genre de domaine également.

  • Speaker #0

    Rien que ça. Du coup, avec toute cette expérience que vous avez accumulée, notamment sur le terrain, est-ce que vous pouvez nous expliquer pourquoi l'ingénierie sociale est si dangereuse ? Qu'est-ce qui vous intéresse particulièrement dans ce type de menace ? Et est-ce qu'on peut parler d'une science de la persuasion ?

  • Speaker #1

    Oui, l'ingénierie sociale, c'est souvent le... Le premier point, c'est ce qu'on appelle dans les phases d'une attaque, c'est la partie reconnaissance. C'est-à-dire, je vais trouver ma cible, comprendre comment elle fonctionne et trouver un moyen de l'attraper d'une façon ou d'une autre, ou lui faire faire quelque chose contre sa volonté, mais sans qu'elle se rende compte de l'impact que ça peut avoir. Donc d'un côté, on a une course technologique permanente à des équipements de sécurité, de la protection automatisée, et pourtant, on a toujours cette capacité à utiliser les biais humains pour rentrer dans la scène d'information ou pour avoir les premières phases d'une attaque. Donc oui, on peut parler de science de la persuasion dans le sens où... L'ingénierie sociale, c'est provoquer chez l'humain un comportement inattendu ou désiré, mais inattendu de la part de la victime, en utilisant des biais cognitifs, l'autorité, l'urgence, la sympathie. Je me fais passer pour votre patron et je vous force à faire quelque chose de rapidement, je vous dis que c'est pour dans deux minutes parce qu'on n'a pas le choix, ou alors je crée une relation un peu long terme et je vous force à me donner des éléments que vous ne m'auriez pas donné normalement, donc de la persuasion.

  • Speaker #0

    Et le gain derrière, c'est pécunier, c'est des données qui vont être vendues. Quel est l'intérêt pour le criminel de faire ça ?

  • Speaker #1

    Ça dépend du type de criminel. Il peut y avoir beaucoup d'objectifs différents. On peut avoir le premier objectif tout simple, c'est-à-dire je vais récupérer vos informations bancaires et je vais vous voler de l'argent. C'est lucratif. Je vais vous faire cliquer sur un lien. Votre colis a été livré. Pour ne pas parler de quelque chose qu'on reçoit tous les jours. Maintenant, ils ne sont plus livrés, ils ne rentrent plus dans la boîte à lettres.

  • Speaker #0

    Je suis devant votre porte.

  • Speaker #1

    Exactement. Ça, ça marche régulièrement, mais on a aussi des gens qui vont essayer de récupérer des données un peu plus, soit techniques, soit des logins de mots de passe, ou vous faire installer un code malveillant sur votre PC sans que vous vous en rendiez compte. Tout ça pour ensuite récupérer un accès soit à votre réseau chez vous, soit à votre réseau d'entreprise. Et là, on peut avoir des attaques beaucoup plus graves, avec des cibles à criminels qui ne visent pas vous en tant que personne, mais qui visent vous en tant que chemin pour accéder à une cible plus grosse.

  • Speaker #0

    Alors, quand on parle d'ingénierie sociale, on pense tout de suite au phishing, mais les attaquants ne s'arrêtent pas là. Et concrètement, ça peut prendre plein d'autres formes. Est-ce que vous pouvez nous en citer quelques-unes ?

  • Speaker #1

    Oui, tout à fait. Le phishing, c'est le plus commun. Après, ça se décline, vous allez avoir tous les noms en « ing » qui vont exister. Vous allez avoir le vichy, donc ça va être plutôt quelqu'un qui vous appelle. qui se fait passer pour quelqu'un. Donc ça, vous l'avez tous les jours avec le compte personnel formation ou les factures d'énergie. Bon, ça, j'allais dire, on est à peu près habitués, ça se bloque assez facilement, même si c'est, comment dire, agaçant au quotidien. Mais vous pouvez avoir aussi des choses plus élaborées avec l'usurpation d'un vrai numéro de votre banque ou des choses comme ça. C'est-à-dire que quand votre téléphone va afficher le numéro, s'il est enregistré, vous allez pouvoir avoir écrit « banque » parfois et pourtant, ce sera quelqu'un derrière qui n'est pas avec le bon numéro. Et ça, ça peut vous mettre une forme de pression. Donc ça, c'est le viching. Il y a le smishing. Je déteste tous ces noms. Peu importe. Ça, c'est des SMS que vous recevez. Donc, le colis a été livré ou autre chose. On a le quishing maintenant, donc les QR codes. Ça, c'est les QR codes qui sont piégés. Il y a un exemple, il y a quelques... Il doit y avoir 18 mois, 2 ans maintenant, sur des bornes de recharge de voitures électriques. Les attaquants avaient collé des faux QR codes. Ce qui fait qu'au moment où vous voulez payer votre recharge, vous allez sur un faux site web et vous donnez votre argent à quelqu'un d'autre. On en voit aussi sur des tables de restaurants parisiens. En tout cas, moi je dis parisien parce que je vis à Paris, mais là où il y a le menu, on a vu déjà des attaquants coller des faux QR codes avec des faux sites web sur des tables pour essayer de vous faire payer l'addition sur un autre site. C'est ce qu'on appelle le phishing, le phishing par QR code, si on veut être un peu plus... Et puis après, on a des choses plus techniques. Aujourd'hui, avec l'intelligence artificielle, il y a l'impersonnation de quelqu'un. Vous avez vu sûrement passer cette histoire d'une meeting d'exécutif comité d'une grosse boîte en Asie où la seule personne qui était victime était une vraie personne. Tous les autres étaient d'intelligence artificielle avec du deepfake et des fausses images. Il y avait son patron, il y avait son directeur financier. Et là, on parle de millions d'euros qui ont été détournés. Et puis le dernier cas qu'on voit le plus, c'est ce qu'on appelle les... Alors ça n'a pas de nom en ligne, celui-là particulièrement, mais c'est plutôt des faux profils LinkedIn ou des faux profils de réseaux sociaux qui vont essayer de créer un lien avec vous pour vous recruter, vous faire remplir des documents et récupérer des informations. On a à peu près toutes les catégories classiques de reconnaissance sociale.

  • Speaker #0

    Très bien, et dans votre carrière justement, vous avez déjà été surpris, vous, par une attaque d'ingénierie sociale particulièrement inventive ?

  • Speaker #1

    Les deux cas qui me viennent à l'esprit, il y en a un qui a quelques années maintenant, mais c'est un logiciel qu'on appelait Emotet. C'était son petit nom de code en tant que logiciel malveillant. Et lui, il avait la différence de... En fait, il s'intégrait dans une ancienne boucle de mail à vous. Et il vous reprenait ce mail-là en répondant comme si je vous avais relancé un an et demi après, avec le compte-rendu de votre réunion ou le word que vous avez associé. C'est juste qu'il mettait une petite modification dans le document ou une face-pilier dans le document. Et quand vous recevez le mail, vous dites, mais c'est moi qui l'ai envoyé il y a deux ans, quelqu'un relance ou me répond. Vous avez tendance à cliquer plus facilement. Ça, c'était vraiment nouveau. plutôt que le mail tout fait avec le logo EDF. payer votre facture, là c'était vraiment un mail à vous qui ressurgissait dans votre boîte mail, une vieille conversation avec, on n'a pas reparlé de ce sujet-là, il faudrait qu'on en rediscute, et là vous vous faites attraper facilement. Donc ça c'est vraiment un cas que j'avais trouvé pertinent, et d'autres sur lesquels des affaires que j'ai traitées à l'ANSI, où la personne avait pris beaucoup de temps pour créer du lien avec la victime sur des Ausha de jeux vidéo. Donc ça c'était plutôt, on joue la même chose, petit à petit on crée une relation, je ne vais pas dire amicale, mais en tout cas on joue régulièrement avec la même personne, en tout cas le même pseudo. et puis un jour, il vous demande un coup de main, il vous demande quelque chose, il apprend que vous travaillez dans tel domaine et puis vous faites avoir parce que la sympathie. Ça, c'est des gens qui sont patients. C'est très dangereux. Quand on va vite, quand on fait du phishing au quotidien avec l'intelligence artificielle, vous recevez des spams, vous en avez des kilomètres dans votre boîte mail. Par contre, quand on crée une relation...

  • Speaker #0

    Comme Brad Pitt avec cette pauvre femme.

  • Speaker #1

    Exactement.

  • Speaker #0

    Ça, clairement, c'est de l'ingénierie sociale. C'est derrière.

  • Speaker #1

    Ça joue sur les biais des gens, sur un manque de quelque chose. ce sentiment d'urgence ou de sympathie. Il ne m'a pas écrit, moi, à bras de pique. Mais je ne désespère pas qu'il m'écrit bientôt.

  • Speaker #0

    J'espère que je ne serai pas faite à voir, même si ça reste une très belle figure masculine.

  • Speaker #1

    On sait que j'appelle les pièges parfois les plus gros, sont les plus efficaces. C'est tellement surprenant.

  • Speaker #0

    J'ai déjà payé une amende pour un excès de vitesse que je n'avais pas fait. En plus,

  • Speaker #1

    c'est un peu la pire à personne.

  • Speaker #0

    Il y a quelques années. Aujourd'hui, je suis plus à son sou.

  • Speaker #1

    Hier, on voyait une capture d'écran avec, vous savez, souvent... Pour les sites, on a remplacé le 1 par un I, des choses comme ça, pour faire cliquer sur le monde avec le E à la place d'un 3. Il y en a un qui est sorti hier, qui tourne beaucoup dans les réseaux sociaux, qui est le site de Microsoft. Mais au lieu de commencer par un M, c'est un R et un N. Ce qui fait que visuellement, ça ressemble à un M. Tout le monde tombe dedans.

  • Speaker #0

    Là, on va parler des entreprises face à la menace, parce qu'on a parlé quelque part aussi des particuliers. Et de ce que j'ai pu comprendre, c'est que les fonctions qui sont les plus visées, c'est la finance, les RH, la direction, bien entendu. Pourquoi ces services en particulier, ces portes d'entrée privilégiées ?

  • Speaker #1

    Tout simplement parce que c'est souvent là que se prennent les décisions, où circule beaucoup d'informations sensibles. Ce sont des gens qui ont accès à beaucoup de données généralement, que ce soit des données personnelles en tant qu'employé, les RH, vous avez accès au salaire, à la raison sociale, aux adresses, au numéro de téléphone, au numéro de banque. Et puis la partie comité de direction, ces choses-là, c'est souvent des équipes qui sont amenées à prendre des décisions rapidement, sous pression ou en tout cas dans l'urgence, ou en tout cas être toujours agiles. Ce sentier d'urgence est le plus efficace. Et parfois, c'est aussi encore malheureusement des équipes qui sont moins sensibilisées que les autres. Donc, elles ont accès à beaucoup d'informations. Et souvent, c'est pour ça qu'on a fait monter la partie CISO, les DSI, ou ce rôle-là, les RSSI, le plus haut possible dans les chaînes de décision, pour sensibiliser aussi les comités exécutifs, qui ont parfois tendance à mélanger le pro et le perso sur leurs équipements. Il n'y a qu'un seul téléphone et à faire un peu tout avec la même chose pour aller vite. pour gagner du temps, ce qui s'entend, mais ce qui crée aussi des maillons faibles.

  • Speaker #0

    Vous avez des exemples de sociétés qui, justement, en France ou ailleurs, dont le DG, par exemple, le président s'est fait avoir ?

  • Speaker #1

    Alors, j'en connais, mais je ne vous donnerai pas de nom,

  • Speaker #0

    parce que ce n'est pas l'objet. Mais est-ce que ça arrive régulièrement ?

  • Speaker #1

    Oui, régulièrement, oui. Et puis, pendant longtemps, on attaquait les entreprises directement. Les cidres criminels ou les attaquants étatiques attaquaient un Airbus, un EDF, un Thales directement. Aujourd'hui, on a quand même beaucoup progressé depuis dix ans. Ces sociétés-là sont bien protégées, elles ont des équipes internes, des équipements. Donc on a beaucoup parlé de ce qu'était la supply chain attack, c'est-à-dire je passe par vos prestataires, par vos fournisseurs pour rentrer là. Maintenant aujourd'hui on attaque plutôt les personnes. C'est-à-dire que si je connais le cas d'un par exemple d'un CEO d'un grand groupe français qui s'est fait attraper parce qu'ils ont piégé ses routers de domotique, c'est-à-dire tout son équipement qui permet de baisser ses stores, voilà il a son appli de téléphone et avant de rentrer chez lui l'hiver il peut allumer le chauffage, ouvrir les stores, quand il arrive chez lui tout est bien. Ça, ça passe par des équipements qui ont un réseau Wi-Fi, qui sont généralement peu sécurisés. Donc là-dedans, je mets un malware, je récupère votre mot de passe personnel. Et puis avec un peu de chance, ce sera le même que celui de votre compte en banque ou celui de votre compte pro. Donc je vais essayer et une fois sur X, ça va marcher. C'est-à-dire que maintenant, vous n'êtes plus une cible en tant que dirigeant d'entreprise, vous êtes une cible personnelle pour atteindre votre entreprise.

  • Speaker #0

    Donc là, on parle de domotique et en général, les attaques les plus courantes sur les collaborateurs, c'est ?

  • Speaker #1

    C'est souvent le phishing. On a beaucoup de choses au docusign en ce moment, tout ce qui est documents électroniques signés. Nous, on a une équipe de réponse à l'incident interne pour protéger notre entreprise. Les attaquants sont malins. On a levé des fonds il y a un an et quelques maintenant. Juste après, quelques mois après, on a reçu une grosse campagne de phishing avec des augmentations, les process d'action. Dans le cas d'une entreprise, quand on va vite, on se dit OK, ils ont levé des fonds, on propose une augmentation. On me propose peut-être de regarder pour avoir des actions de la boîte, je clique. Parce que d'un seul coup, ça devient intéressant.

  • Speaker #0

    Ça fait sens par rapport à l'histoire récente de la boîte.

  • Speaker #1

    Si on discute un peu, il y a quelqu'un d'autre qui va dire, moi aussi, je l'ai reçu, je n'ai pas regardé encore. Et puis, il y en a un qui va cliquer dans le bas. Ça, ça marche très,

  • Speaker #0

    très bien. Justement, on parlait de sensibilisation aux dirigeants, mais ça ne fonctionne pas toujours. Et concrètement, est-ce qu'il y a des réflexes simples qu'on peut adopter pour se protéger de ces attaques ?

  • Speaker #1

    Les réflexes, ça va être encore une fois beaucoup d'hygiène. d'hygiène informatique, mais une fois qu'on a dit ça, ce n'est pas si simple à mettre en place. Ça va être faire attention à l'expéditeur, comme on évoquait, bien regarder l'adresse mail, bien regarder si on connaît la personne, revalider avec quelqu'un d'autre peut-être, faire une pause, être capable de se dire, justement pour lutter contre le biais de l'urgence, le virement, que je le fasse maintenant ou dans 15 minutes, est-ce que vraiment ça change quelque chose ? Le temps de vérifier ou même de réfléchir, de se dire, c'est quand même bizarre, il ne m'a jamais écrit sur WhatsApp, ou je sais qu'il est à l'étranger, mais enfin bon, mon boss, il ne fait pas comme ça. Donc ça, faire attention. Il y a évidemment le double facteur, c'est-à-dire ce code que vous recevez par SMS ou encore mieux avec une appli externe pour vous authentifier un peu partout. Ça, c'est très important à activer. Ça, ça peut être des choses qui permettent de faire attention et puis se poser des questions. Pourquoi moi ? Pourquoi maintenant ? Vraiment réfléchir à... Quand c'est des gros montants où vraiment on sent quelque chose, normalement on a une intuition quand même qui fonctionne. On le sent que ce n'est pas normal, donc il faut suivre son intuition. Et regarder, être attentif.

  • Speaker #0

    Et justement, il y a des formations, des exercices qui fonctionnent pour parer à ça ?

  • Speaker #1

    Oui, tout à fait. Il y a les campagnes de phishing qui sont menées par les équipes informatiques d'une boîte. Donc ça, vous allez recevoir des mails piégés, généralement les gens ne seront pas forcément au courant. Et puis on va regarder le taux de clics, le taux de réponses, le taux de gens qui l'ont envoyé ou signalé l'équipe informatique pour dire « j'ai reçu ça, ça m'a l'air étrange, est-ce que quelqu'un peut regarder ? » Donc ça, on va regarder les taux de succès. C'est efficace, il faut le faire régulièrement, mais ce n'est pas l'alpha et l'oméga, parce que les gens sont habitués à recevoir des spams et qu'ils trient ça ou ils regardent à peine ça. Il y a la partie de faire des exercices sur table avec un comité de direction, ça peut être toujours utile, notamment pour réagir en cas de fuite de données ou d'attaque, comment on se comporte si jamais on n'apprend qu'un de nos collaborateurs ou un outil à laisser des données sur Internet. Et puis, on peut faire des escape games, des choses un peu ludiques, mais la pédagogie, c'est l'art de la répétition, donc il faut répéter, Et souvent, avoir un canal dédié. Nous, on a un canal qui s'appelle sécurité et sensibilisation, dans lequel régulièrement, on anonymise les spams qu'on reçoit ou on fait de la pédagogie vers tout le monde. On essaie de faire ça.

  • Speaker #0

    Intéressant. Justement, on parle souvent du salarié maillon faible. Mais justement, la responsabilité, est-ce qu'elle ne devrait pas être portée plus par les dirigeants ?

  • Speaker #1

    Alors, la responsabilité, elle est partagée, puisque tout le monde est un maillon de cette chaîne-là. Mais oui, le salarié, ce n'est pas le maillon faible, évidemment. C'est au dirigeant de donner une politique de sécurité, de donner des moyens. donner des outils, mais les outils, ce n'est pas magique, ça ne fait pas tout. Donc, ça n'empêche pas aussi les salariés ou les employés de faire attention, de prendre conscience, de suivre ces formations-là, même si quand on dit qu'on va faire un exercice demain, tout le monde va être impliqué l'après-midi, ça fait chier tout le monde. On ne va pas se mentir. Mais il faut y passer du temps parce que les impacts peuvent être vraiment très graves. Et il y a un côté fait papillon là-dedans. C'est-à-dire, j'ai cliqué sur un lien, je vais changer mon mot de passe, ça va, je vais m'en remettre. Mais en vrai, s'il se passe deux ou trois heures, les attaquants aujourd'hui sont très rapides. Ça peut avoir des impacts extrêmement importants pour une entreprise, même si au départ, on va se dire « Ok, j'ai cliqué, ça m'est déjà arrivé, ça m'arrivera encore » . Donc c'est un sujet qui est pas simple, notamment avec l'intelligence artificielle.

  • Speaker #0

    Justement, on parlait de faire monter les RSSI au COMEX ou au CODIR, du moins. Ça fait partie des bonnes pratiques de gouvernance pour réduire l'impact de ces attaques. Il y en a d'autres éventuellement ?

  • Speaker #1

    Je vais dire oui, toutes les... toutes les doubles authentifications, comme on l'a évoqué, vraiment mettre ces principes de ceinture et bretelles. Alors moi, comme je suis dans le monde depuis longtemps, je suis un peu plus paranoïaque que les autres. Mais moi, je suis très pour la séparation du pro et du perso, parce qu'on a encore trop de gens, et je ne jette la pierre à personne, parce que moi, le premier. C'est-à-dire, vous n'avez pas d'imprimante chez vous, vous avez un mail personnel Vous l'envoyez sur l'adresse mail du boulot, vous l'imprimez, vous repartez avec parce que c'est un formulaire SERFA, parce qu'il vous faut l'imprimer papier. On l'a tous fait, moi le premier. Mais de temps en temps, il peut y avoir un PDF qui est vérolé ou quelque chose comme ça. Et là, vous allez propager l'attaque qui était sur votre compte personnel à votre entreprise. Ça, c'est vraiment compliqué. Moi, j'ai deux téléphones. Il y a des applications que je n'ai pas sur mon téléphone professionnel parce que je n'ai pas assez confiance. Je n'ai pas WhatsApp, je n'ai pas ce genre de choses sur mon téléphone professionnel. Mais je comprends qu'avoir deux téléphones, c'est embêtant pour les poches, c'est embêtant la journée, ça fait deux choses qui sonnent. Déjà qu'une, c'est bien suffisant, ça fait deux écrans à scroller, donc c'est beaucoup de contraintes, mais ça me paraît efficace. En tout cas, d'expliquer à tout le monde qu'il faut vraiment faire attention à la séparation professionnelle-personnelle, notamment dans les mots de passe, tout ce qui est authentifiant, et pas se dire juste, les deux numéros que j'ai mis à la fin du nom de mon chien comme mot de passe, je vais changer, je vais mettre plus un pour l'entreprise. qu'en fait ça, ça se fait en moins de deux secondes avec un ordinateur, on peut tester toutes les combinaisons.

  • Speaker #0

    Intéressant, ça, pour séparer le pro du perso, j'imagine que c'est le conseil prioritaire que vous donnez en général, c'est l'objet de mes dernières questions, si on devait donner un seul conseil aux auditeurs du Cybermoi, que ce soit des collaborateurs en entreprise ou pour leur vie perso même.

  • Speaker #1

    Moi je dirais, oui, séparer le pro du perso, ça c'est extrêmement important pour ne pas devenir la source d'une attaque plus grande. Déjà, si vous êtes invité personnellement, c'est compliqué. Mais si en plus, vous devenez l'électeur d'entrée de votre entreprise, vous allez passer une mauvaise journée sûrement. Ça, c'est important. Et je dirais bien, encore une fois, faites attention à vos mots de passe, utilisez des gestionnaires ou des choses comme ça. Mais je sais que ce n'est pas si simple que ça. Ça dépend aussi. Nous, on est dans le domaine, donc ça paraît intuitif pour nous. Mais quand je discute avec mon père, il n'a aucune conscience de tout ça. Enfin, il a conscience parce qu'on discute tous les deux. Mais lui, avoir un mot de passe pour Netflix, un mot de passe pour sa boîte mail, un mot de passe pour sa banque, s'en rappeler tous par cœur. il y a un moment c'est pas possible donc soit avoir un gestionnaire informatique pour créer ses mots de passe proprement et bien les gérer ça prend du temps mais c'est efficace mon père a un cahier en tiroir mais ça marchera aussi du moment qu'il n'est pas affiché sur son PC avec ses mots de passe à

  • Speaker #0

    part se faire cambrioler c'est un autre problème ça et peut-être pour terminer au-delà d'écouter ce podcast si les gens entendent ça c'est qu'ils sont allés jusqu'au bout donc c'est qu'ils ont écouté vos conseils Est-ce qu'il y a d'autres ressources utiles que vous recommandez pour se prémunir ?

  • Speaker #1

    Sur le site de l'ANSI, on trouve pas mal de choses plutôt pour les entreprises. Il y a cybermalveillance.gouv.fr, qui est un GIP qui est là plutôt pour protéger. Si je caricature, l'ANSI prend par le haut, infrastructure critique qui va descendre jusqu'où ils peuvent en fonction de leurs ressources. Cybermalveillance, c'est plutôt le citoyen et monter sur les toutes petites entreprises. Ça va se rejoindre à un moment. Donc, en fonction de la catégorie où vous êtes, les deux disposent de ressources. Assez simple, une page, deux pages avec les guides d'hygiène numérique ou des sensibilisations, pour apprendre comment faire attention à tout ça. Et puis, il y a pas mal de ressources sur Internet disponibles en cherchant un peu, en faisant attention là où on cherche, pour ne pas tomber sur des mauvaises choses. Aujourd'hui, c'est vraiment une question d'hygiène et de discipline, sans que ce soit une contrainte incroyable, mais il faut juste y penser régulièrement et ça suffit.

  • Speaker #0

    Oui, et tout nouvel employé devrait bénéficier de ces documents, d'ailleurs en arrivant. Ça devrait être même une charte à signer ?

  • Speaker #1

    Normalement, il y a des chartes informatiques dans la plupart des entreprises. Nous aussi, on en a une. La question, c'est comme tous les documents que vous signez, est-ce que vous la lisez vraiment ? Ça, c'est le premier point. Ou est-ce que ça fait partie du paquet de 50 documents que vous allez signer en arrivant ? Et puis après, une fois l'avoir signé, il faut encore l'appliquer. Donc ça, c'est vraiment une discipline. Souvent, il faut qu'il nous arrive un truc pour qu'on pense à l'appliquer. Donc, c'est une fois qu'il vous a avéré un problème, ou que votre écran s'est éteint, ou des choses comme ça, le coup d'après, oui, vous faites attention. Malheureusement, on est encore trop souvent dans « il faut qu'il se passe une attaque pour qu'on comprenne ce qu'il faut faire » .

  • Speaker #0

    Très bien. Merci beaucoup, François, pour tous vos conseils. Avec plaisir. Merci pour l'invitation. On se retrouve à Lille en avril 2026.

  • Speaker #1

    Avec plaisir.

  • Speaker #0

    Merci beaucoup. Merci d'avoir suivi cet épisode d'Incyber Mrs. Si ça vous a plu, abonnez-vous et laissez-nous 5 étoiles.

Share

Embed

You may also like

Description

CYBERMOIS !

Dans cet épisode d'INCYBER Voices, nous recevons François Deruty, Chief Intelligence Officer chez Sequoia.io, après un long parcours à l’ANSSI et au ministère des Armées.
Avec son expérience de terrain, il nous éclaire sur l’ingénierie sociale, cette “science de la persuasion” qui reste la première porte d’entrée des cyberattaques.

Au programme :

  • Pourquoi l’ingénierie sociale est redoutable et toujours d’actualité.

  • Les techniques les plus utilisées par les cybercriminels : phishing, vishing, faux logos, campagnes de fraude ciblées…

  • Des exemples concrets d’attaques inventives, y compris sur la domotique et les services financiers.

  • Les services en entreprise les plus ciblés (finance, RH, direction) et pourquoi ils sont vulnérables.

  • Les réflexes à adopter : vérifier l’expéditeur, prendre le temps avant d’agir, séparer usages pro et perso, gérer ses mots de passe.

  • L’importance d’une gouvernance cyber forte et du rôle des dirigeants pour soutenir les RSSI.

  • Des ressources pratiques pour aller plus loin : l’ANSSI et Cybermalveillance.gouv.fr.

👉 Un échange concret, émaillé d’anecdotes, qui rappelle que la vigilance humaine reste la première barrière face aux cyberattaques.

Un podcast de la marque INCYBER


Hébergé par Ausha. Visitez ausha.co/politique-de-confidentialite pour plus d'informations.

Transcription

  • Speaker #0

    Bonjour à tous et bienvenue dans ce nouvel épisode d'Incyber Voices. Pour le cyber mois, on va mettre le focus sur une menace qui cible notamment les entreprises. L'ingénierie sociale, un faux mail de la compta, un appel un peu trop insistant, voire un deepfake vocal et la machine peut s'emballer, jusqu'à une fraude pouvant atteindre plusieurs centaines de milliers d'euros. La vraie question finalement, c'est comment outiller les équipes pour repérer ces attaques et comment réagir au bon moment. Pour en parler, j'ai le plaisir d'accueillir François Derutti, directeur des opérations chez Sequoia et ancien responsable des opérations et du CERT-FR à l'ANSI. François, j'ai rappelé votre parcours en quelques mots, mais le mieux, c'est de vous laisser compléter. Comment vous aimez vous présenter aujourd'hui ?

  • Speaker #1

    François Derutti, je suis en charge de tout ce qui est suivi des groupes d'attaquants, renseignements sur les menaces cyber chez Sequoia.io. Ça fait à peu près 4 ans et demi maintenant que j'ai rejoint cette entreprise française. Et avant, j'étais à la tête des opérations à l'ANSI pendant 6 ans. pour détection, analyse de la menace et réponse aux incidents. Et puis, j'ai toujours baigné un peu dans l'analyse géopolitique ou technique avec mes 15 années avant au ministère des Armées, dans ce genre de domaine également.

  • Speaker #0

    Rien que ça. Du coup, avec toute cette expérience que vous avez accumulée, notamment sur le terrain, est-ce que vous pouvez nous expliquer pourquoi l'ingénierie sociale est si dangereuse ? Qu'est-ce qui vous intéresse particulièrement dans ce type de menace ? Et est-ce qu'on peut parler d'une science de la persuasion ?

  • Speaker #1

    Oui, l'ingénierie sociale, c'est souvent le... Le premier point, c'est ce qu'on appelle dans les phases d'une attaque, c'est la partie reconnaissance. C'est-à-dire, je vais trouver ma cible, comprendre comment elle fonctionne et trouver un moyen de l'attraper d'une façon ou d'une autre, ou lui faire faire quelque chose contre sa volonté, mais sans qu'elle se rende compte de l'impact que ça peut avoir. Donc d'un côté, on a une course technologique permanente à des équipements de sécurité, de la protection automatisée, et pourtant, on a toujours cette capacité à utiliser les biais humains pour rentrer dans la scène d'information ou pour avoir les premières phases d'une attaque. Donc oui, on peut parler de science de la persuasion dans le sens où... L'ingénierie sociale, c'est provoquer chez l'humain un comportement inattendu ou désiré, mais inattendu de la part de la victime, en utilisant des biais cognitifs, l'autorité, l'urgence, la sympathie. Je me fais passer pour votre patron et je vous force à faire quelque chose de rapidement, je vous dis que c'est pour dans deux minutes parce qu'on n'a pas le choix, ou alors je crée une relation un peu long terme et je vous force à me donner des éléments que vous ne m'auriez pas donné normalement, donc de la persuasion.

  • Speaker #0

    Et le gain derrière, c'est pécunier, c'est des données qui vont être vendues. Quel est l'intérêt pour le criminel de faire ça ?

  • Speaker #1

    Ça dépend du type de criminel. Il peut y avoir beaucoup d'objectifs différents. On peut avoir le premier objectif tout simple, c'est-à-dire je vais récupérer vos informations bancaires et je vais vous voler de l'argent. C'est lucratif. Je vais vous faire cliquer sur un lien. Votre colis a été livré. Pour ne pas parler de quelque chose qu'on reçoit tous les jours. Maintenant, ils ne sont plus livrés, ils ne rentrent plus dans la boîte à lettres.

  • Speaker #0

    Je suis devant votre porte.

  • Speaker #1

    Exactement. Ça, ça marche régulièrement, mais on a aussi des gens qui vont essayer de récupérer des données un peu plus, soit techniques, soit des logins de mots de passe, ou vous faire installer un code malveillant sur votre PC sans que vous vous en rendiez compte. Tout ça pour ensuite récupérer un accès soit à votre réseau chez vous, soit à votre réseau d'entreprise. Et là, on peut avoir des attaques beaucoup plus graves, avec des cibles à criminels qui ne visent pas vous en tant que personne, mais qui visent vous en tant que chemin pour accéder à une cible plus grosse.

  • Speaker #0

    Alors, quand on parle d'ingénierie sociale, on pense tout de suite au phishing, mais les attaquants ne s'arrêtent pas là. Et concrètement, ça peut prendre plein d'autres formes. Est-ce que vous pouvez nous en citer quelques-unes ?

  • Speaker #1

    Oui, tout à fait. Le phishing, c'est le plus commun. Après, ça se décline, vous allez avoir tous les noms en « ing » qui vont exister. Vous allez avoir le vichy, donc ça va être plutôt quelqu'un qui vous appelle. qui se fait passer pour quelqu'un. Donc ça, vous l'avez tous les jours avec le compte personnel formation ou les factures d'énergie. Bon, ça, j'allais dire, on est à peu près habitués, ça se bloque assez facilement, même si c'est, comment dire, agaçant au quotidien. Mais vous pouvez avoir aussi des choses plus élaborées avec l'usurpation d'un vrai numéro de votre banque ou des choses comme ça. C'est-à-dire que quand votre téléphone va afficher le numéro, s'il est enregistré, vous allez pouvoir avoir écrit « banque » parfois et pourtant, ce sera quelqu'un derrière qui n'est pas avec le bon numéro. Et ça, ça peut vous mettre une forme de pression. Donc ça, c'est le viching. Il y a le smishing. Je déteste tous ces noms. Peu importe. Ça, c'est des SMS que vous recevez. Donc, le colis a été livré ou autre chose. On a le quishing maintenant, donc les QR codes. Ça, c'est les QR codes qui sont piégés. Il y a un exemple, il y a quelques... Il doit y avoir 18 mois, 2 ans maintenant, sur des bornes de recharge de voitures électriques. Les attaquants avaient collé des faux QR codes. Ce qui fait qu'au moment où vous voulez payer votre recharge, vous allez sur un faux site web et vous donnez votre argent à quelqu'un d'autre. On en voit aussi sur des tables de restaurants parisiens. En tout cas, moi je dis parisien parce que je vis à Paris, mais là où il y a le menu, on a vu déjà des attaquants coller des faux QR codes avec des faux sites web sur des tables pour essayer de vous faire payer l'addition sur un autre site. C'est ce qu'on appelle le phishing, le phishing par QR code, si on veut être un peu plus... Et puis après, on a des choses plus techniques. Aujourd'hui, avec l'intelligence artificielle, il y a l'impersonnation de quelqu'un. Vous avez vu sûrement passer cette histoire d'une meeting d'exécutif comité d'une grosse boîte en Asie où la seule personne qui était victime était une vraie personne. Tous les autres étaient d'intelligence artificielle avec du deepfake et des fausses images. Il y avait son patron, il y avait son directeur financier. Et là, on parle de millions d'euros qui ont été détournés. Et puis le dernier cas qu'on voit le plus, c'est ce qu'on appelle les... Alors ça n'a pas de nom en ligne, celui-là particulièrement, mais c'est plutôt des faux profils LinkedIn ou des faux profils de réseaux sociaux qui vont essayer de créer un lien avec vous pour vous recruter, vous faire remplir des documents et récupérer des informations. On a à peu près toutes les catégories classiques de reconnaissance sociale.

  • Speaker #0

    Très bien, et dans votre carrière justement, vous avez déjà été surpris, vous, par une attaque d'ingénierie sociale particulièrement inventive ?

  • Speaker #1

    Les deux cas qui me viennent à l'esprit, il y en a un qui a quelques années maintenant, mais c'est un logiciel qu'on appelait Emotet. C'était son petit nom de code en tant que logiciel malveillant. Et lui, il avait la différence de... En fait, il s'intégrait dans une ancienne boucle de mail à vous. Et il vous reprenait ce mail-là en répondant comme si je vous avais relancé un an et demi après, avec le compte-rendu de votre réunion ou le word que vous avez associé. C'est juste qu'il mettait une petite modification dans le document ou une face-pilier dans le document. Et quand vous recevez le mail, vous dites, mais c'est moi qui l'ai envoyé il y a deux ans, quelqu'un relance ou me répond. Vous avez tendance à cliquer plus facilement. Ça, c'était vraiment nouveau. plutôt que le mail tout fait avec le logo EDF. payer votre facture, là c'était vraiment un mail à vous qui ressurgissait dans votre boîte mail, une vieille conversation avec, on n'a pas reparlé de ce sujet-là, il faudrait qu'on en rediscute, et là vous vous faites attraper facilement. Donc ça c'est vraiment un cas que j'avais trouvé pertinent, et d'autres sur lesquels des affaires que j'ai traitées à l'ANSI, où la personne avait pris beaucoup de temps pour créer du lien avec la victime sur des Ausha de jeux vidéo. Donc ça c'était plutôt, on joue la même chose, petit à petit on crée une relation, je ne vais pas dire amicale, mais en tout cas on joue régulièrement avec la même personne, en tout cas le même pseudo. et puis un jour, il vous demande un coup de main, il vous demande quelque chose, il apprend que vous travaillez dans tel domaine et puis vous faites avoir parce que la sympathie. Ça, c'est des gens qui sont patients. C'est très dangereux. Quand on va vite, quand on fait du phishing au quotidien avec l'intelligence artificielle, vous recevez des spams, vous en avez des kilomètres dans votre boîte mail. Par contre, quand on crée une relation...

  • Speaker #0

    Comme Brad Pitt avec cette pauvre femme.

  • Speaker #1

    Exactement.

  • Speaker #0

    Ça, clairement, c'est de l'ingénierie sociale. C'est derrière.

  • Speaker #1

    Ça joue sur les biais des gens, sur un manque de quelque chose. ce sentiment d'urgence ou de sympathie. Il ne m'a pas écrit, moi, à bras de pique. Mais je ne désespère pas qu'il m'écrit bientôt.

  • Speaker #0

    J'espère que je ne serai pas faite à voir, même si ça reste une très belle figure masculine.

  • Speaker #1

    On sait que j'appelle les pièges parfois les plus gros, sont les plus efficaces. C'est tellement surprenant.

  • Speaker #0

    J'ai déjà payé une amende pour un excès de vitesse que je n'avais pas fait. En plus,

  • Speaker #1

    c'est un peu la pire à personne.

  • Speaker #0

    Il y a quelques années. Aujourd'hui, je suis plus à son sou.

  • Speaker #1

    Hier, on voyait une capture d'écran avec, vous savez, souvent... Pour les sites, on a remplacé le 1 par un I, des choses comme ça, pour faire cliquer sur le monde avec le E à la place d'un 3. Il y en a un qui est sorti hier, qui tourne beaucoup dans les réseaux sociaux, qui est le site de Microsoft. Mais au lieu de commencer par un M, c'est un R et un N. Ce qui fait que visuellement, ça ressemble à un M. Tout le monde tombe dedans.

  • Speaker #0

    Là, on va parler des entreprises face à la menace, parce qu'on a parlé quelque part aussi des particuliers. Et de ce que j'ai pu comprendre, c'est que les fonctions qui sont les plus visées, c'est la finance, les RH, la direction, bien entendu. Pourquoi ces services en particulier, ces portes d'entrée privilégiées ?

  • Speaker #1

    Tout simplement parce que c'est souvent là que se prennent les décisions, où circule beaucoup d'informations sensibles. Ce sont des gens qui ont accès à beaucoup de données généralement, que ce soit des données personnelles en tant qu'employé, les RH, vous avez accès au salaire, à la raison sociale, aux adresses, au numéro de téléphone, au numéro de banque. Et puis la partie comité de direction, ces choses-là, c'est souvent des équipes qui sont amenées à prendre des décisions rapidement, sous pression ou en tout cas dans l'urgence, ou en tout cas être toujours agiles. Ce sentier d'urgence est le plus efficace. Et parfois, c'est aussi encore malheureusement des équipes qui sont moins sensibilisées que les autres. Donc, elles ont accès à beaucoup d'informations. Et souvent, c'est pour ça qu'on a fait monter la partie CISO, les DSI, ou ce rôle-là, les RSSI, le plus haut possible dans les chaînes de décision, pour sensibiliser aussi les comités exécutifs, qui ont parfois tendance à mélanger le pro et le perso sur leurs équipements. Il n'y a qu'un seul téléphone et à faire un peu tout avec la même chose pour aller vite. pour gagner du temps, ce qui s'entend, mais ce qui crée aussi des maillons faibles.

  • Speaker #0

    Vous avez des exemples de sociétés qui, justement, en France ou ailleurs, dont le DG, par exemple, le président s'est fait avoir ?

  • Speaker #1

    Alors, j'en connais, mais je ne vous donnerai pas de nom,

  • Speaker #0

    parce que ce n'est pas l'objet. Mais est-ce que ça arrive régulièrement ?

  • Speaker #1

    Oui, régulièrement, oui. Et puis, pendant longtemps, on attaquait les entreprises directement. Les cidres criminels ou les attaquants étatiques attaquaient un Airbus, un EDF, un Thales directement. Aujourd'hui, on a quand même beaucoup progressé depuis dix ans. Ces sociétés-là sont bien protégées, elles ont des équipes internes, des équipements. Donc on a beaucoup parlé de ce qu'était la supply chain attack, c'est-à-dire je passe par vos prestataires, par vos fournisseurs pour rentrer là. Maintenant aujourd'hui on attaque plutôt les personnes. C'est-à-dire que si je connais le cas d'un par exemple d'un CEO d'un grand groupe français qui s'est fait attraper parce qu'ils ont piégé ses routers de domotique, c'est-à-dire tout son équipement qui permet de baisser ses stores, voilà il a son appli de téléphone et avant de rentrer chez lui l'hiver il peut allumer le chauffage, ouvrir les stores, quand il arrive chez lui tout est bien. Ça, ça passe par des équipements qui ont un réseau Wi-Fi, qui sont généralement peu sécurisés. Donc là-dedans, je mets un malware, je récupère votre mot de passe personnel. Et puis avec un peu de chance, ce sera le même que celui de votre compte en banque ou celui de votre compte pro. Donc je vais essayer et une fois sur X, ça va marcher. C'est-à-dire que maintenant, vous n'êtes plus une cible en tant que dirigeant d'entreprise, vous êtes une cible personnelle pour atteindre votre entreprise.

  • Speaker #0

    Donc là, on parle de domotique et en général, les attaques les plus courantes sur les collaborateurs, c'est ?

  • Speaker #1

    C'est souvent le phishing. On a beaucoup de choses au docusign en ce moment, tout ce qui est documents électroniques signés. Nous, on a une équipe de réponse à l'incident interne pour protéger notre entreprise. Les attaquants sont malins. On a levé des fonds il y a un an et quelques maintenant. Juste après, quelques mois après, on a reçu une grosse campagne de phishing avec des augmentations, les process d'action. Dans le cas d'une entreprise, quand on va vite, on se dit OK, ils ont levé des fonds, on propose une augmentation. On me propose peut-être de regarder pour avoir des actions de la boîte, je clique. Parce que d'un seul coup, ça devient intéressant.

  • Speaker #0

    Ça fait sens par rapport à l'histoire récente de la boîte.

  • Speaker #1

    Si on discute un peu, il y a quelqu'un d'autre qui va dire, moi aussi, je l'ai reçu, je n'ai pas regardé encore. Et puis, il y en a un qui va cliquer dans le bas. Ça, ça marche très,

  • Speaker #0

    très bien. Justement, on parlait de sensibilisation aux dirigeants, mais ça ne fonctionne pas toujours. Et concrètement, est-ce qu'il y a des réflexes simples qu'on peut adopter pour se protéger de ces attaques ?

  • Speaker #1

    Les réflexes, ça va être encore une fois beaucoup d'hygiène. d'hygiène informatique, mais une fois qu'on a dit ça, ce n'est pas si simple à mettre en place. Ça va être faire attention à l'expéditeur, comme on évoquait, bien regarder l'adresse mail, bien regarder si on connaît la personne, revalider avec quelqu'un d'autre peut-être, faire une pause, être capable de se dire, justement pour lutter contre le biais de l'urgence, le virement, que je le fasse maintenant ou dans 15 minutes, est-ce que vraiment ça change quelque chose ? Le temps de vérifier ou même de réfléchir, de se dire, c'est quand même bizarre, il ne m'a jamais écrit sur WhatsApp, ou je sais qu'il est à l'étranger, mais enfin bon, mon boss, il ne fait pas comme ça. Donc ça, faire attention. Il y a évidemment le double facteur, c'est-à-dire ce code que vous recevez par SMS ou encore mieux avec une appli externe pour vous authentifier un peu partout. Ça, c'est très important à activer. Ça, ça peut être des choses qui permettent de faire attention et puis se poser des questions. Pourquoi moi ? Pourquoi maintenant ? Vraiment réfléchir à... Quand c'est des gros montants où vraiment on sent quelque chose, normalement on a une intuition quand même qui fonctionne. On le sent que ce n'est pas normal, donc il faut suivre son intuition. Et regarder, être attentif.

  • Speaker #0

    Et justement, il y a des formations, des exercices qui fonctionnent pour parer à ça ?

  • Speaker #1

    Oui, tout à fait. Il y a les campagnes de phishing qui sont menées par les équipes informatiques d'une boîte. Donc ça, vous allez recevoir des mails piégés, généralement les gens ne seront pas forcément au courant. Et puis on va regarder le taux de clics, le taux de réponses, le taux de gens qui l'ont envoyé ou signalé l'équipe informatique pour dire « j'ai reçu ça, ça m'a l'air étrange, est-ce que quelqu'un peut regarder ? » Donc ça, on va regarder les taux de succès. C'est efficace, il faut le faire régulièrement, mais ce n'est pas l'alpha et l'oméga, parce que les gens sont habitués à recevoir des spams et qu'ils trient ça ou ils regardent à peine ça. Il y a la partie de faire des exercices sur table avec un comité de direction, ça peut être toujours utile, notamment pour réagir en cas de fuite de données ou d'attaque, comment on se comporte si jamais on n'apprend qu'un de nos collaborateurs ou un outil à laisser des données sur Internet. Et puis, on peut faire des escape games, des choses un peu ludiques, mais la pédagogie, c'est l'art de la répétition, donc il faut répéter, Et souvent, avoir un canal dédié. Nous, on a un canal qui s'appelle sécurité et sensibilisation, dans lequel régulièrement, on anonymise les spams qu'on reçoit ou on fait de la pédagogie vers tout le monde. On essaie de faire ça.

  • Speaker #0

    Intéressant. Justement, on parle souvent du salarié maillon faible. Mais justement, la responsabilité, est-ce qu'elle ne devrait pas être portée plus par les dirigeants ?

  • Speaker #1

    Alors, la responsabilité, elle est partagée, puisque tout le monde est un maillon de cette chaîne-là. Mais oui, le salarié, ce n'est pas le maillon faible, évidemment. C'est au dirigeant de donner une politique de sécurité, de donner des moyens. donner des outils, mais les outils, ce n'est pas magique, ça ne fait pas tout. Donc, ça n'empêche pas aussi les salariés ou les employés de faire attention, de prendre conscience, de suivre ces formations-là, même si quand on dit qu'on va faire un exercice demain, tout le monde va être impliqué l'après-midi, ça fait chier tout le monde. On ne va pas se mentir. Mais il faut y passer du temps parce que les impacts peuvent être vraiment très graves. Et il y a un côté fait papillon là-dedans. C'est-à-dire, j'ai cliqué sur un lien, je vais changer mon mot de passe, ça va, je vais m'en remettre. Mais en vrai, s'il se passe deux ou trois heures, les attaquants aujourd'hui sont très rapides. Ça peut avoir des impacts extrêmement importants pour une entreprise, même si au départ, on va se dire « Ok, j'ai cliqué, ça m'est déjà arrivé, ça m'arrivera encore » . Donc c'est un sujet qui est pas simple, notamment avec l'intelligence artificielle.

  • Speaker #0

    Justement, on parlait de faire monter les RSSI au COMEX ou au CODIR, du moins. Ça fait partie des bonnes pratiques de gouvernance pour réduire l'impact de ces attaques. Il y en a d'autres éventuellement ?

  • Speaker #1

    Je vais dire oui, toutes les... toutes les doubles authentifications, comme on l'a évoqué, vraiment mettre ces principes de ceinture et bretelles. Alors moi, comme je suis dans le monde depuis longtemps, je suis un peu plus paranoïaque que les autres. Mais moi, je suis très pour la séparation du pro et du perso, parce qu'on a encore trop de gens, et je ne jette la pierre à personne, parce que moi, le premier. C'est-à-dire, vous n'avez pas d'imprimante chez vous, vous avez un mail personnel Vous l'envoyez sur l'adresse mail du boulot, vous l'imprimez, vous repartez avec parce que c'est un formulaire SERFA, parce qu'il vous faut l'imprimer papier. On l'a tous fait, moi le premier. Mais de temps en temps, il peut y avoir un PDF qui est vérolé ou quelque chose comme ça. Et là, vous allez propager l'attaque qui était sur votre compte personnel à votre entreprise. Ça, c'est vraiment compliqué. Moi, j'ai deux téléphones. Il y a des applications que je n'ai pas sur mon téléphone professionnel parce que je n'ai pas assez confiance. Je n'ai pas WhatsApp, je n'ai pas ce genre de choses sur mon téléphone professionnel. Mais je comprends qu'avoir deux téléphones, c'est embêtant pour les poches, c'est embêtant la journée, ça fait deux choses qui sonnent. Déjà qu'une, c'est bien suffisant, ça fait deux écrans à scroller, donc c'est beaucoup de contraintes, mais ça me paraît efficace. En tout cas, d'expliquer à tout le monde qu'il faut vraiment faire attention à la séparation professionnelle-personnelle, notamment dans les mots de passe, tout ce qui est authentifiant, et pas se dire juste, les deux numéros que j'ai mis à la fin du nom de mon chien comme mot de passe, je vais changer, je vais mettre plus un pour l'entreprise. qu'en fait ça, ça se fait en moins de deux secondes avec un ordinateur, on peut tester toutes les combinaisons.

  • Speaker #0

    Intéressant, ça, pour séparer le pro du perso, j'imagine que c'est le conseil prioritaire que vous donnez en général, c'est l'objet de mes dernières questions, si on devait donner un seul conseil aux auditeurs du Cybermoi, que ce soit des collaborateurs en entreprise ou pour leur vie perso même.

  • Speaker #1

    Moi je dirais, oui, séparer le pro du perso, ça c'est extrêmement important pour ne pas devenir la source d'une attaque plus grande. Déjà, si vous êtes invité personnellement, c'est compliqué. Mais si en plus, vous devenez l'électeur d'entrée de votre entreprise, vous allez passer une mauvaise journée sûrement. Ça, c'est important. Et je dirais bien, encore une fois, faites attention à vos mots de passe, utilisez des gestionnaires ou des choses comme ça. Mais je sais que ce n'est pas si simple que ça. Ça dépend aussi. Nous, on est dans le domaine, donc ça paraît intuitif pour nous. Mais quand je discute avec mon père, il n'a aucune conscience de tout ça. Enfin, il a conscience parce qu'on discute tous les deux. Mais lui, avoir un mot de passe pour Netflix, un mot de passe pour sa boîte mail, un mot de passe pour sa banque, s'en rappeler tous par cœur. il y a un moment c'est pas possible donc soit avoir un gestionnaire informatique pour créer ses mots de passe proprement et bien les gérer ça prend du temps mais c'est efficace mon père a un cahier en tiroir mais ça marchera aussi du moment qu'il n'est pas affiché sur son PC avec ses mots de passe à

  • Speaker #0

    part se faire cambrioler c'est un autre problème ça et peut-être pour terminer au-delà d'écouter ce podcast si les gens entendent ça c'est qu'ils sont allés jusqu'au bout donc c'est qu'ils ont écouté vos conseils Est-ce qu'il y a d'autres ressources utiles que vous recommandez pour se prémunir ?

  • Speaker #1

    Sur le site de l'ANSI, on trouve pas mal de choses plutôt pour les entreprises. Il y a cybermalveillance.gouv.fr, qui est un GIP qui est là plutôt pour protéger. Si je caricature, l'ANSI prend par le haut, infrastructure critique qui va descendre jusqu'où ils peuvent en fonction de leurs ressources. Cybermalveillance, c'est plutôt le citoyen et monter sur les toutes petites entreprises. Ça va se rejoindre à un moment. Donc, en fonction de la catégorie où vous êtes, les deux disposent de ressources. Assez simple, une page, deux pages avec les guides d'hygiène numérique ou des sensibilisations, pour apprendre comment faire attention à tout ça. Et puis, il y a pas mal de ressources sur Internet disponibles en cherchant un peu, en faisant attention là où on cherche, pour ne pas tomber sur des mauvaises choses. Aujourd'hui, c'est vraiment une question d'hygiène et de discipline, sans que ce soit une contrainte incroyable, mais il faut juste y penser régulièrement et ça suffit.

  • Speaker #0

    Oui, et tout nouvel employé devrait bénéficier de ces documents, d'ailleurs en arrivant. Ça devrait être même une charte à signer ?

  • Speaker #1

    Normalement, il y a des chartes informatiques dans la plupart des entreprises. Nous aussi, on en a une. La question, c'est comme tous les documents que vous signez, est-ce que vous la lisez vraiment ? Ça, c'est le premier point. Ou est-ce que ça fait partie du paquet de 50 documents que vous allez signer en arrivant ? Et puis après, une fois l'avoir signé, il faut encore l'appliquer. Donc ça, c'est vraiment une discipline. Souvent, il faut qu'il nous arrive un truc pour qu'on pense à l'appliquer. Donc, c'est une fois qu'il vous a avéré un problème, ou que votre écran s'est éteint, ou des choses comme ça, le coup d'après, oui, vous faites attention. Malheureusement, on est encore trop souvent dans « il faut qu'il se passe une attaque pour qu'on comprenne ce qu'il faut faire » .

  • Speaker #0

    Très bien. Merci beaucoup, François, pour tous vos conseils. Avec plaisir. Merci pour l'invitation. On se retrouve à Lille en avril 2026.

  • Speaker #1

    Avec plaisir.

  • Speaker #0

    Merci beaucoup. Merci d'avoir suivi cet épisode d'Incyber Mrs. Si ça vous a plu, abonnez-vous et laissez-nous 5 étoiles.

Description

CYBERMOIS !

Dans cet épisode d'INCYBER Voices, nous recevons François Deruty, Chief Intelligence Officer chez Sequoia.io, après un long parcours à l’ANSSI et au ministère des Armées.
Avec son expérience de terrain, il nous éclaire sur l’ingénierie sociale, cette “science de la persuasion” qui reste la première porte d’entrée des cyberattaques.

Au programme :

  • Pourquoi l’ingénierie sociale est redoutable et toujours d’actualité.

  • Les techniques les plus utilisées par les cybercriminels : phishing, vishing, faux logos, campagnes de fraude ciblées…

  • Des exemples concrets d’attaques inventives, y compris sur la domotique et les services financiers.

  • Les services en entreprise les plus ciblés (finance, RH, direction) et pourquoi ils sont vulnérables.

  • Les réflexes à adopter : vérifier l’expéditeur, prendre le temps avant d’agir, séparer usages pro et perso, gérer ses mots de passe.

  • L’importance d’une gouvernance cyber forte et du rôle des dirigeants pour soutenir les RSSI.

  • Des ressources pratiques pour aller plus loin : l’ANSSI et Cybermalveillance.gouv.fr.

👉 Un échange concret, émaillé d’anecdotes, qui rappelle que la vigilance humaine reste la première barrière face aux cyberattaques.

Un podcast de la marque INCYBER


Hébergé par Ausha. Visitez ausha.co/politique-de-confidentialite pour plus d'informations.

Transcription

  • Speaker #0

    Bonjour à tous et bienvenue dans ce nouvel épisode d'Incyber Voices. Pour le cyber mois, on va mettre le focus sur une menace qui cible notamment les entreprises. L'ingénierie sociale, un faux mail de la compta, un appel un peu trop insistant, voire un deepfake vocal et la machine peut s'emballer, jusqu'à une fraude pouvant atteindre plusieurs centaines de milliers d'euros. La vraie question finalement, c'est comment outiller les équipes pour repérer ces attaques et comment réagir au bon moment. Pour en parler, j'ai le plaisir d'accueillir François Derutti, directeur des opérations chez Sequoia et ancien responsable des opérations et du CERT-FR à l'ANSI. François, j'ai rappelé votre parcours en quelques mots, mais le mieux, c'est de vous laisser compléter. Comment vous aimez vous présenter aujourd'hui ?

  • Speaker #1

    François Derutti, je suis en charge de tout ce qui est suivi des groupes d'attaquants, renseignements sur les menaces cyber chez Sequoia.io. Ça fait à peu près 4 ans et demi maintenant que j'ai rejoint cette entreprise française. Et avant, j'étais à la tête des opérations à l'ANSI pendant 6 ans. pour détection, analyse de la menace et réponse aux incidents. Et puis, j'ai toujours baigné un peu dans l'analyse géopolitique ou technique avec mes 15 années avant au ministère des Armées, dans ce genre de domaine également.

  • Speaker #0

    Rien que ça. Du coup, avec toute cette expérience que vous avez accumulée, notamment sur le terrain, est-ce que vous pouvez nous expliquer pourquoi l'ingénierie sociale est si dangereuse ? Qu'est-ce qui vous intéresse particulièrement dans ce type de menace ? Et est-ce qu'on peut parler d'une science de la persuasion ?

  • Speaker #1

    Oui, l'ingénierie sociale, c'est souvent le... Le premier point, c'est ce qu'on appelle dans les phases d'une attaque, c'est la partie reconnaissance. C'est-à-dire, je vais trouver ma cible, comprendre comment elle fonctionne et trouver un moyen de l'attraper d'une façon ou d'une autre, ou lui faire faire quelque chose contre sa volonté, mais sans qu'elle se rende compte de l'impact que ça peut avoir. Donc d'un côté, on a une course technologique permanente à des équipements de sécurité, de la protection automatisée, et pourtant, on a toujours cette capacité à utiliser les biais humains pour rentrer dans la scène d'information ou pour avoir les premières phases d'une attaque. Donc oui, on peut parler de science de la persuasion dans le sens où... L'ingénierie sociale, c'est provoquer chez l'humain un comportement inattendu ou désiré, mais inattendu de la part de la victime, en utilisant des biais cognitifs, l'autorité, l'urgence, la sympathie. Je me fais passer pour votre patron et je vous force à faire quelque chose de rapidement, je vous dis que c'est pour dans deux minutes parce qu'on n'a pas le choix, ou alors je crée une relation un peu long terme et je vous force à me donner des éléments que vous ne m'auriez pas donné normalement, donc de la persuasion.

  • Speaker #0

    Et le gain derrière, c'est pécunier, c'est des données qui vont être vendues. Quel est l'intérêt pour le criminel de faire ça ?

  • Speaker #1

    Ça dépend du type de criminel. Il peut y avoir beaucoup d'objectifs différents. On peut avoir le premier objectif tout simple, c'est-à-dire je vais récupérer vos informations bancaires et je vais vous voler de l'argent. C'est lucratif. Je vais vous faire cliquer sur un lien. Votre colis a été livré. Pour ne pas parler de quelque chose qu'on reçoit tous les jours. Maintenant, ils ne sont plus livrés, ils ne rentrent plus dans la boîte à lettres.

  • Speaker #0

    Je suis devant votre porte.

  • Speaker #1

    Exactement. Ça, ça marche régulièrement, mais on a aussi des gens qui vont essayer de récupérer des données un peu plus, soit techniques, soit des logins de mots de passe, ou vous faire installer un code malveillant sur votre PC sans que vous vous en rendiez compte. Tout ça pour ensuite récupérer un accès soit à votre réseau chez vous, soit à votre réseau d'entreprise. Et là, on peut avoir des attaques beaucoup plus graves, avec des cibles à criminels qui ne visent pas vous en tant que personne, mais qui visent vous en tant que chemin pour accéder à une cible plus grosse.

  • Speaker #0

    Alors, quand on parle d'ingénierie sociale, on pense tout de suite au phishing, mais les attaquants ne s'arrêtent pas là. Et concrètement, ça peut prendre plein d'autres formes. Est-ce que vous pouvez nous en citer quelques-unes ?

  • Speaker #1

    Oui, tout à fait. Le phishing, c'est le plus commun. Après, ça se décline, vous allez avoir tous les noms en « ing » qui vont exister. Vous allez avoir le vichy, donc ça va être plutôt quelqu'un qui vous appelle. qui se fait passer pour quelqu'un. Donc ça, vous l'avez tous les jours avec le compte personnel formation ou les factures d'énergie. Bon, ça, j'allais dire, on est à peu près habitués, ça se bloque assez facilement, même si c'est, comment dire, agaçant au quotidien. Mais vous pouvez avoir aussi des choses plus élaborées avec l'usurpation d'un vrai numéro de votre banque ou des choses comme ça. C'est-à-dire que quand votre téléphone va afficher le numéro, s'il est enregistré, vous allez pouvoir avoir écrit « banque » parfois et pourtant, ce sera quelqu'un derrière qui n'est pas avec le bon numéro. Et ça, ça peut vous mettre une forme de pression. Donc ça, c'est le viching. Il y a le smishing. Je déteste tous ces noms. Peu importe. Ça, c'est des SMS que vous recevez. Donc, le colis a été livré ou autre chose. On a le quishing maintenant, donc les QR codes. Ça, c'est les QR codes qui sont piégés. Il y a un exemple, il y a quelques... Il doit y avoir 18 mois, 2 ans maintenant, sur des bornes de recharge de voitures électriques. Les attaquants avaient collé des faux QR codes. Ce qui fait qu'au moment où vous voulez payer votre recharge, vous allez sur un faux site web et vous donnez votre argent à quelqu'un d'autre. On en voit aussi sur des tables de restaurants parisiens. En tout cas, moi je dis parisien parce que je vis à Paris, mais là où il y a le menu, on a vu déjà des attaquants coller des faux QR codes avec des faux sites web sur des tables pour essayer de vous faire payer l'addition sur un autre site. C'est ce qu'on appelle le phishing, le phishing par QR code, si on veut être un peu plus... Et puis après, on a des choses plus techniques. Aujourd'hui, avec l'intelligence artificielle, il y a l'impersonnation de quelqu'un. Vous avez vu sûrement passer cette histoire d'une meeting d'exécutif comité d'une grosse boîte en Asie où la seule personne qui était victime était une vraie personne. Tous les autres étaient d'intelligence artificielle avec du deepfake et des fausses images. Il y avait son patron, il y avait son directeur financier. Et là, on parle de millions d'euros qui ont été détournés. Et puis le dernier cas qu'on voit le plus, c'est ce qu'on appelle les... Alors ça n'a pas de nom en ligne, celui-là particulièrement, mais c'est plutôt des faux profils LinkedIn ou des faux profils de réseaux sociaux qui vont essayer de créer un lien avec vous pour vous recruter, vous faire remplir des documents et récupérer des informations. On a à peu près toutes les catégories classiques de reconnaissance sociale.

  • Speaker #0

    Très bien, et dans votre carrière justement, vous avez déjà été surpris, vous, par une attaque d'ingénierie sociale particulièrement inventive ?

  • Speaker #1

    Les deux cas qui me viennent à l'esprit, il y en a un qui a quelques années maintenant, mais c'est un logiciel qu'on appelait Emotet. C'était son petit nom de code en tant que logiciel malveillant. Et lui, il avait la différence de... En fait, il s'intégrait dans une ancienne boucle de mail à vous. Et il vous reprenait ce mail-là en répondant comme si je vous avais relancé un an et demi après, avec le compte-rendu de votre réunion ou le word que vous avez associé. C'est juste qu'il mettait une petite modification dans le document ou une face-pilier dans le document. Et quand vous recevez le mail, vous dites, mais c'est moi qui l'ai envoyé il y a deux ans, quelqu'un relance ou me répond. Vous avez tendance à cliquer plus facilement. Ça, c'était vraiment nouveau. plutôt que le mail tout fait avec le logo EDF. payer votre facture, là c'était vraiment un mail à vous qui ressurgissait dans votre boîte mail, une vieille conversation avec, on n'a pas reparlé de ce sujet-là, il faudrait qu'on en rediscute, et là vous vous faites attraper facilement. Donc ça c'est vraiment un cas que j'avais trouvé pertinent, et d'autres sur lesquels des affaires que j'ai traitées à l'ANSI, où la personne avait pris beaucoup de temps pour créer du lien avec la victime sur des Ausha de jeux vidéo. Donc ça c'était plutôt, on joue la même chose, petit à petit on crée une relation, je ne vais pas dire amicale, mais en tout cas on joue régulièrement avec la même personne, en tout cas le même pseudo. et puis un jour, il vous demande un coup de main, il vous demande quelque chose, il apprend que vous travaillez dans tel domaine et puis vous faites avoir parce que la sympathie. Ça, c'est des gens qui sont patients. C'est très dangereux. Quand on va vite, quand on fait du phishing au quotidien avec l'intelligence artificielle, vous recevez des spams, vous en avez des kilomètres dans votre boîte mail. Par contre, quand on crée une relation...

  • Speaker #0

    Comme Brad Pitt avec cette pauvre femme.

  • Speaker #1

    Exactement.

  • Speaker #0

    Ça, clairement, c'est de l'ingénierie sociale. C'est derrière.

  • Speaker #1

    Ça joue sur les biais des gens, sur un manque de quelque chose. ce sentiment d'urgence ou de sympathie. Il ne m'a pas écrit, moi, à bras de pique. Mais je ne désespère pas qu'il m'écrit bientôt.

  • Speaker #0

    J'espère que je ne serai pas faite à voir, même si ça reste une très belle figure masculine.

  • Speaker #1

    On sait que j'appelle les pièges parfois les plus gros, sont les plus efficaces. C'est tellement surprenant.

  • Speaker #0

    J'ai déjà payé une amende pour un excès de vitesse que je n'avais pas fait. En plus,

  • Speaker #1

    c'est un peu la pire à personne.

  • Speaker #0

    Il y a quelques années. Aujourd'hui, je suis plus à son sou.

  • Speaker #1

    Hier, on voyait une capture d'écran avec, vous savez, souvent... Pour les sites, on a remplacé le 1 par un I, des choses comme ça, pour faire cliquer sur le monde avec le E à la place d'un 3. Il y en a un qui est sorti hier, qui tourne beaucoup dans les réseaux sociaux, qui est le site de Microsoft. Mais au lieu de commencer par un M, c'est un R et un N. Ce qui fait que visuellement, ça ressemble à un M. Tout le monde tombe dedans.

  • Speaker #0

    Là, on va parler des entreprises face à la menace, parce qu'on a parlé quelque part aussi des particuliers. Et de ce que j'ai pu comprendre, c'est que les fonctions qui sont les plus visées, c'est la finance, les RH, la direction, bien entendu. Pourquoi ces services en particulier, ces portes d'entrée privilégiées ?

  • Speaker #1

    Tout simplement parce que c'est souvent là que se prennent les décisions, où circule beaucoup d'informations sensibles. Ce sont des gens qui ont accès à beaucoup de données généralement, que ce soit des données personnelles en tant qu'employé, les RH, vous avez accès au salaire, à la raison sociale, aux adresses, au numéro de téléphone, au numéro de banque. Et puis la partie comité de direction, ces choses-là, c'est souvent des équipes qui sont amenées à prendre des décisions rapidement, sous pression ou en tout cas dans l'urgence, ou en tout cas être toujours agiles. Ce sentier d'urgence est le plus efficace. Et parfois, c'est aussi encore malheureusement des équipes qui sont moins sensibilisées que les autres. Donc, elles ont accès à beaucoup d'informations. Et souvent, c'est pour ça qu'on a fait monter la partie CISO, les DSI, ou ce rôle-là, les RSSI, le plus haut possible dans les chaînes de décision, pour sensibiliser aussi les comités exécutifs, qui ont parfois tendance à mélanger le pro et le perso sur leurs équipements. Il n'y a qu'un seul téléphone et à faire un peu tout avec la même chose pour aller vite. pour gagner du temps, ce qui s'entend, mais ce qui crée aussi des maillons faibles.

  • Speaker #0

    Vous avez des exemples de sociétés qui, justement, en France ou ailleurs, dont le DG, par exemple, le président s'est fait avoir ?

  • Speaker #1

    Alors, j'en connais, mais je ne vous donnerai pas de nom,

  • Speaker #0

    parce que ce n'est pas l'objet. Mais est-ce que ça arrive régulièrement ?

  • Speaker #1

    Oui, régulièrement, oui. Et puis, pendant longtemps, on attaquait les entreprises directement. Les cidres criminels ou les attaquants étatiques attaquaient un Airbus, un EDF, un Thales directement. Aujourd'hui, on a quand même beaucoup progressé depuis dix ans. Ces sociétés-là sont bien protégées, elles ont des équipes internes, des équipements. Donc on a beaucoup parlé de ce qu'était la supply chain attack, c'est-à-dire je passe par vos prestataires, par vos fournisseurs pour rentrer là. Maintenant aujourd'hui on attaque plutôt les personnes. C'est-à-dire que si je connais le cas d'un par exemple d'un CEO d'un grand groupe français qui s'est fait attraper parce qu'ils ont piégé ses routers de domotique, c'est-à-dire tout son équipement qui permet de baisser ses stores, voilà il a son appli de téléphone et avant de rentrer chez lui l'hiver il peut allumer le chauffage, ouvrir les stores, quand il arrive chez lui tout est bien. Ça, ça passe par des équipements qui ont un réseau Wi-Fi, qui sont généralement peu sécurisés. Donc là-dedans, je mets un malware, je récupère votre mot de passe personnel. Et puis avec un peu de chance, ce sera le même que celui de votre compte en banque ou celui de votre compte pro. Donc je vais essayer et une fois sur X, ça va marcher. C'est-à-dire que maintenant, vous n'êtes plus une cible en tant que dirigeant d'entreprise, vous êtes une cible personnelle pour atteindre votre entreprise.

  • Speaker #0

    Donc là, on parle de domotique et en général, les attaques les plus courantes sur les collaborateurs, c'est ?

  • Speaker #1

    C'est souvent le phishing. On a beaucoup de choses au docusign en ce moment, tout ce qui est documents électroniques signés. Nous, on a une équipe de réponse à l'incident interne pour protéger notre entreprise. Les attaquants sont malins. On a levé des fonds il y a un an et quelques maintenant. Juste après, quelques mois après, on a reçu une grosse campagne de phishing avec des augmentations, les process d'action. Dans le cas d'une entreprise, quand on va vite, on se dit OK, ils ont levé des fonds, on propose une augmentation. On me propose peut-être de regarder pour avoir des actions de la boîte, je clique. Parce que d'un seul coup, ça devient intéressant.

  • Speaker #0

    Ça fait sens par rapport à l'histoire récente de la boîte.

  • Speaker #1

    Si on discute un peu, il y a quelqu'un d'autre qui va dire, moi aussi, je l'ai reçu, je n'ai pas regardé encore. Et puis, il y en a un qui va cliquer dans le bas. Ça, ça marche très,

  • Speaker #0

    très bien. Justement, on parlait de sensibilisation aux dirigeants, mais ça ne fonctionne pas toujours. Et concrètement, est-ce qu'il y a des réflexes simples qu'on peut adopter pour se protéger de ces attaques ?

  • Speaker #1

    Les réflexes, ça va être encore une fois beaucoup d'hygiène. d'hygiène informatique, mais une fois qu'on a dit ça, ce n'est pas si simple à mettre en place. Ça va être faire attention à l'expéditeur, comme on évoquait, bien regarder l'adresse mail, bien regarder si on connaît la personne, revalider avec quelqu'un d'autre peut-être, faire une pause, être capable de se dire, justement pour lutter contre le biais de l'urgence, le virement, que je le fasse maintenant ou dans 15 minutes, est-ce que vraiment ça change quelque chose ? Le temps de vérifier ou même de réfléchir, de se dire, c'est quand même bizarre, il ne m'a jamais écrit sur WhatsApp, ou je sais qu'il est à l'étranger, mais enfin bon, mon boss, il ne fait pas comme ça. Donc ça, faire attention. Il y a évidemment le double facteur, c'est-à-dire ce code que vous recevez par SMS ou encore mieux avec une appli externe pour vous authentifier un peu partout. Ça, c'est très important à activer. Ça, ça peut être des choses qui permettent de faire attention et puis se poser des questions. Pourquoi moi ? Pourquoi maintenant ? Vraiment réfléchir à... Quand c'est des gros montants où vraiment on sent quelque chose, normalement on a une intuition quand même qui fonctionne. On le sent que ce n'est pas normal, donc il faut suivre son intuition. Et regarder, être attentif.

  • Speaker #0

    Et justement, il y a des formations, des exercices qui fonctionnent pour parer à ça ?

  • Speaker #1

    Oui, tout à fait. Il y a les campagnes de phishing qui sont menées par les équipes informatiques d'une boîte. Donc ça, vous allez recevoir des mails piégés, généralement les gens ne seront pas forcément au courant. Et puis on va regarder le taux de clics, le taux de réponses, le taux de gens qui l'ont envoyé ou signalé l'équipe informatique pour dire « j'ai reçu ça, ça m'a l'air étrange, est-ce que quelqu'un peut regarder ? » Donc ça, on va regarder les taux de succès. C'est efficace, il faut le faire régulièrement, mais ce n'est pas l'alpha et l'oméga, parce que les gens sont habitués à recevoir des spams et qu'ils trient ça ou ils regardent à peine ça. Il y a la partie de faire des exercices sur table avec un comité de direction, ça peut être toujours utile, notamment pour réagir en cas de fuite de données ou d'attaque, comment on se comporte si jamais on n'apprend qu'un de nos collaborateurs ou un outil à laisser des données sur Internet. Et puis, on peut faire des escape games, des choses un peu ludiques, mais la pédagogie, c'est l'art de la répétition, donc il faut répéter, Et souvent, avoir un canal dédié. Nous, on a un canal qui s'appelle sécurité et sensibilisation, dans lequel régulièrement, on anonymise les spams qu'on reçoit ou on fait de la pédagogie vers tout le monde. On essaie de faire ça.

  • Speaker #0

    Intéressant. Justement, on parle souvent du salarié maillon faible. Mais justement, la responsabilité, est-ce qu'elle ne devrait pas être portée plus par les dirigeants ?

  • Speaker #1

    Alors, la responsabilité, elle est partagée, puisque tout le monde est un maillon de cette chaîne-là. Mais oui, le salarié, ce n'est pas le maillon faible, évidemment. C'est au dirigeant de donner une politique de sécurité, de donner des moyens. donner des outils, mais les outils, ce n'est pas magique, ça ne fait pas tout. Donc, ça n'empêche pas aussi les salariés ou les employés de faire attention, de prendre conscience, de suivre ces formations-là, même si quand on dit qu'on va faire un exercice demain, tout le monde va être impliqué l'après-midi, ça fait chier tout le monde. On ne va pas se mentir. Mais il faut y passer du temps parce que les impacts peuvent être vraiment très graves. Et il y a un côté fait papillon là-dedans. C'est-à-dire, j'ai cliqué sur un lien, je vais changer mon mot de passe, ça va, je vais m'en remettre. Mais en vrai, s'il se passe deux ou trois heures, les attaquants aujourd'hui sont très rapides. Ça peut avoir des impacts extrêmement importants pour une entreprise, même si au départ, on va se dire « Ok, j'ai cliqué, ça m'est déjà arrivé, ça m'arrivera encore » . Donc c'est un sujet qui est pas simple, notamment avec l'intelligence artificielle.

  • Speaker #0

    Justement, on parlait de faire monter les RSSI au COMEX ou au CODIR, du moins. Ça fait partie des bonnes pratiques de gouvernance pour réduire l'impact de ces attaques. Il y en a d'autres éventuellement ?

  • Speaker #1

    Je vais dire oui, toutes les... toutes les doubles authentifications, comme on l'a évoqué, vraiment mettre ces principes de ceinture et bretelles. Alors moi, comme je suis dans le monde depuis longtemps, je suis un peu plus paranoïaque que les autres. Mais moi, je suis très pour la séparation du pro et du perso, parce qu'on a encore trop de gens, et je ne jette la pierre à personne, parce que moi, le premier. C'est-à-dire, vous n'avez pas d'imprimante chez vous, vous avez un mail personnel Vous l'envoyez sur l'adresse mail du boulot, vous l'imprimez, vous repartez avec parce que c'est un formulaire SERFA, parce qu'il vous faut l'imprimer papier. On l'a tous fait, moi le premier. Mais de temps en temps, il peut y avoir un PDF qui est vérolé ou quelque chose comme ça. Et là, vous allez propager l'attaque qui était sur votre compte personnel à votre entreprise. Ça, c'est vraiment compliqué. Moi, j'ai deux téléphones. Il y a des applications que je n'ai pas sur mon téléphone professionnel parce que je n'ai pas assez confiance. Je n'ai pas WhatsApp, je n'ai pas ce genre de choses sur mon téléphone professionnel. Mais je comprends qu'avoir deux téléphones, c'est embêtant pour les poches, c'est embêtant la journée, ça fait deux choses qui sonnent. Déjà qu'une, c'est bien suffisant, ça fait deux écrans à scroller, donc c'est beaucoup de contraintes, mais ça me paraît efficace. En tout cas, d'expliquer à tout le monde qu'il faut vraiment faire attention à la séparation professionnelle-personnelle, notamment dans les mots de passe, tout ce qui est authentifiant, et pas se dire juste, les deux numéros que j'ai mis à la fin du nom de mon chien comme mot de passe, je vais changer, je vais mettre plus un pour l'entreprise. qu'en fait ça, ça se fait en moins de deux secondes avec un ordinateur, on peut tester toutes les combinaisons.

  • Speaker #0

    Intéressant, ça, pour séparer le pro du perso, j'imagine que c'est le conseil prioritaire que vous donnez en général, c'est l'objet de mes dernières questions, si on devait donner un seul conseil aux auditeurs du Cybermoi, que ce soit des collaborateurs en entreprise ou pour leur vie perso même.

  • Speaker #1

    Moi je dirais, oui, séparer le pro du perso, ça c'est extrêmement important pour ne pas devenir la source d'une attaque plus grande. Déjà, si vous êtes invité personnellement, c'est compliqué. Mais si en plus, vous devenez l'électeur d'entrée de votre entreprise, vous allez passer une mauvaise journée sûrement. Ça, c'est important. Et je dirais bien, encore une fois, faites attention à vos mots de passe, utilisez des gestionnaires ou des choses comme ça. Mais je sais que ce n'est pas si simple que ça. Ça dépend aussi. Nous, on est dans le domaine, donc ça paraît intuitif pour nous. Mais quand je discute avec mon père, il n'a aucune conscience de tout ça. Enfin, il a conscience parce qu'on discute tous les deux. Mais lui, avoir un mot de passe pour Netflix, un mot de passe pour sa boîte mail, un mot de passe pour sa banque, s'en rappeler tous par cœur. il y a un moment c'est pas possible donc soit avoir un gestionnaire informatique pour créer ses mots de passe proprement et bien les gérer ça prend du temps mais c'est efficace mon père a un cahier en tiroir mais ça marchera aussi du moment qu'il n'est pas affiché sur son PC avec ses mots de passe à

  • Speaker #0

    part se faire cambrioler c'est un autre problème ça et peut-être pour terminer au-delà d'écouter ce podcast si les gens entendent ça c'est qu'ils sont allés jusqu'au bout donc c'est qu'ils ont écouté vos conseils Est-ce qu'il y a d'autres ressources utiles que vous recommandez pour se prémunir ?

  • Speaker #1

    Sur le site de l'ANSI, on trouve pas mal de choses plutôt pour les entreprises. Il y a cybermalveillance.gouv.fr, qui est un GIP qui est là plutôt pour protéger. Si je caricature, l'ANSI prend par le haut, infrastructure critique qui va descendre jusqu'où ils peuvent en fonction de leurs ressources. Cybermalveillance, c'est plutôt le citoyen et monter sur les toutes petites entreprises. Ça va se rejoindre à un moment. Donc, en fonction de la catégorie où vous êtes, les deux disposent de ressources. Assez simple, une page, deux pages avec les guides d'hygiène numérique ou des sensibilisations, pour apprendre comment faire attention à tout ça. Et puis, il y a pas mal de ressources sur Internet disponibles en cherchant un peu, en faisant attention là où on cherche, pour ne pas tomber sur des mauvaises choses. Aujourd'hui, c'est vraiment une question d'hygiène et de discipline, sans que ce soit une contrainte incroyable, mais il faut juste y penser régulièrement et ça suffit.

  • Speaker #0

    Oui, et tout nouvel employé devrait bénéficier de ces documents, d'ailleurs en arrivant. Ça devrait être même une charte à signer ?

  • Speaker #1

    Normalement, il y a des chartes informatiques dans la plupart des entreprises. Nous aussi, on en a une. La question, c'est comme tous les documents que vous signez, est-ce que vous la lisez vraiment ? Ça, c'est le premier point. Ou est-ce que ça fait partie du paquet de 50 documents que vous allez signer en arrivant ? Et puis après, une fois l'avoir signé, il faut encore l'appliquer. Donc ça, c'est vraiment une discipline. Souvent, il faut qu'il nous arrive un truc pour qu'on pense à l'appliquer. Donc, c'est une fois qu'il vous a avéré un problème, ou que votre écran s'est éteint, ou des choses comme ça, le coup d'après, oui, vous faites attention. Malheureusement, on est encore trop souvent dans « il faut qu'il se passe une attaque pour qu'on comprenne ce qu'il faut faire » .

  • Speaker #0

    Très bien. Merci beaucoup, François, pour tous vos conseils. Avec plaisir. Merci pour l'invitation. On se retrouve à Lille en avril 2026.

  • Speaker #1

    Avec plaisir.

  • Speaker #0

    Merci beaucoup. Merci d'avoir suivi cet épisode d'Incyber Mrs. Si ça vous a plu, abonnez-vous et laissez-nous 5 étoiles.

Share

Embed

You may also like