L’ingénierie sociale est une pratique employée par des cybercriminels pour extorquer des renseignements sur une entreprise ou ses systèmes informatiques en manipulant leurs utilisateurs.

Les cybercriminels emploient l’ingénierie sociale pour recueillir l’information dont ils ont besoin pour commettre une fraude ou accéder aux systèmes informatiques. Ils semblent sérieux et honnêtes. Ils peuvent même vous dire qu’ils ont un lien légitime avec votre entreprise (p. ex. en tant que client ou par l’entremise d’une autre entreprise) et offrir des « preuves ». Certains se font passer pour un représentant du gouvernement. Ils peuvent demander des renseignements, comme des numéros de téléphone ou de l’information sur un compte, ou vous demander d’ouvrir des courriels avec des pièces jointes ou de visiter des sites Web particuliers. Ce n’est que plus tard que les victimes se rendent compte que ces demandes étaient une duperie et qu’elles ont été manipulées.

Ces tactiques sont populaires parce qu’elles fonctionnent. Il est important de vérifier à qui vous avez affaire avant de divulguer des renseignements personnels ou professionnels.

Soyez prudents. Protégez votre entreprise et vos employés en leur demandant d’agir de la façon suivante :

• Être sur leurs gardes lorsqu’ils reçoivent des appels téléphoniques, des visites ou des courriels de gens qui posent des questions sur des employés, leurs familles et sur des données professionnelles délicates. Un programme continu de sensibilisation à la sécurité devrait être mis en place;
• Demander à toutes les personnes qui font des demandes inhabituelles de confirmer leur identité à l’aide de documents officiels.
• En cas de doutes, demander l’aide d’un superviseur ou d’un collègue;
• Suivre les pratiques de sécurité à l’égard des courriels, du réseautage social et autres (telles que décrites tout au long du présent guide) et toujours protéger les renseignements personnels en ligne;
• Toujours rapporter les activités suspectes, notamment les tentatives d’ingénierie sociale, à un superviseur. Cela est particulièrement important si vous pensez que votre entreprise a été compromise;
• S’il est possible que votre entreprise ait perdu ou révélé des renseignements de nature délicate au cours d’un tel incident, ou si un modèle suspect de demandes circule, déterminer quels biens peuvent être à risque et prenez des mesures pour les protéger davantage. Par exemple, si vous avez des raisons de croire que quelqu’un a obtenu les renseignements bancaires de votre entreprise, avertissez votre banque immédiatement et demandez de l’aide pour protéger vos comptes;
• Envisager de signaler l’incident à la police;
• Prendre contact avec le Centre antifraude du Canada et demandez des conseils ou faites un rapport.

En grande partie, la cybersécurité consiste à être vigilants lorsque des choses semblent sortir de l’ordinaire.