Module 02 / 15
🎭

Ingénierie sociale : déjouer la manipulation

Découvrez comment les fraudeurs exploitent la psychologie humaine — et comment ne pas tomber dans le piège.

⏱️ 25 min
📚 7 leçons
🎯 Débutant
🎯 Objectif du module

À la fin de ce module, vous saurez…

  • Définir l'ingénierie sociale et comprendre pourquoi elle fonctionne
  • Reconnaître les 6 leviers psychologiques utilisés par les fraudeurs
  • Identifier les signaux d'alerte d'une tentative de manipulation
  • Appliquer la méthode « ralentir avant d'agir »
  • Adopter les bons réflexes face à une demande inhabituelle
1

Introduction à l'ingénierie sociale

🎬 Mise en situation

Un homme en uniforme de technicien se présente à la réception d'une PME. Il dit avoir rendez-vous pour « vérifier les serveurs ». Personne ne vérifie son identité. En 20 minutes, il branche une clé USB malveillante sur un poste, puis repart tranquillement.

L'ingénierie sociale est l'art de manipuler des personnes pour leur soutirer des informations confidentielles ou les amener à effectuer des actions compromettantes — sans jamais avoir besoin de hacker un système. Pas de code malveillant, pas de vulnérabilité logicielle : juste des mots, un ton de voix, et une mise en scène soigneusement préparée.

C'est pourquoi c'est la technique d'attaque la plus efficace et la plus utilisée dans le monde. Elle peut se produire par courriel, par téléphone, en personne, ou même sur les réseaux sociaux. Et elle peut toucher n'importe qui, peu importe son niveau d'éducation ou d'expérience.

💡
À retenir"L'ingénierie sociale n'exploite pas les ordinateurs — elle exploite les humains."
2

Pourquoi cibler le comportement humain ?

Les systèmes informatiques bien configurés sont difficiles à attaquer directement. Mais les humains ? Ils sont prévisibles. Nous faisons confiance à l'autorité. Nous aidons volontiers. Nous agissons vite quand nous avons peur. Ces tendances naturelles sont de l'or pour un fraudeur.

Kevin Mitnick, l'un des hackers les plus célèbres de l'histoire, disait : « Je n'ai jamais eu besoin de hacker un système — j'ai juste eu besoin de demander poliment. » Avec le bon prétexte, la bonne émotion et la bonne pression, presque n'importe qui peut être amené à révéler un mot de passe ou à effectuer un virement.

✓ Bonnes pratiques

  • Questionnez toujours les demandes inhabituelles, même venant de personnes connues.
  • Vérifiez l'identité de tout visiteur ou appelant avant de donner accès ou information.
💡
À retenir"Il est plus facile de tromper un humain que de pirater un système bien sécurisé."
3

Les 6 leviers psychologiques des fraudeurs

Robert Cialdini, chercheur en psychologie sociale, a identifié des principes d'influence que les fraudeurs exploitent systématiquement :

Urgence

« Votre compte sera bloqué dans 24h si vous n'agissez pas maintenant. » La pression du temps empêche de réfléchir.

👮

Autorité

Se faire passer pour un PDG, un agent du fisc ou un technicien certifié inspire une obéissance automatique.

😨

Peur

« Vous avez un virus. Votre ordinateur sera effacé. » La peur court-circuite le raisonnement critique.

🔍

Curiosité

« Voir qui a consulté votre profil. » Les promesses intrigantes poussent à cliquer sans réfléchir.

🤝

Confiance

Usurper l'identité d'un collègue, d'un ami ou d'une institution connue crée une fausse sécurité.

💰

Appât du gain

« Vous avez gagné un prix. » Les offres trop belles pour être vraies restent des classiques efficaces.

💡
À retenir"Urgence, autorité, peur, curiosité, confiance, appât du gain — reconnaître le levier, c'est déjà désamorcer l'attaque."
4

Les signaux d'alerte

Une tentative d'ingénierie sociale présente presque toujours un ou plusieurs de ces signaux :

  • Un sentiment d'urgence inhabituel : « faites-le maintenant, avant qu'il soit trop tard ».
  • Une demande inhabituelle ou hors procédure normale.
  • Une pression à garder le secret : « n'en parlez à personne ».
  • Un expéditeur ou appelant non vérifiable malgré une identité connue affichée.
  • Des conséquences disproportionnées si vous ne répondez pas.
  • Une récompense inattendue pour une action simple.

✓ Bonnes pratiques

  • Traitez tout message contenant plusieurs de ces signaux comme une tentative d'arnaque jusqu'à preuve du contraire.
  • Consultez un collègue ou votre responsable avant d'agir sur une demande suspecte.

✗ Erreurs fréquentes

  • Répondre à la pression émotionnelle sans prendre le temps de vérifier.
  • Croire qu'un courriel venant d'une adresse connue est forcément légitime.
💡
À retenir"Plus un message crée une émotion forte, plus vous devez ralentir."
5

Exemples concrets d'arnaques

🎬 Mise en situation

Mireille reçoit un appel d'un homme se présentant comme agent de la GRC. Il lui dit qu'un mandat d'arrêt existe à son nom pour fraude fiscale et qu'elle peut éviter l'arrestation en achetant des cartes iTunes pour « payer une caution provisoire ». Elle est terrifiée.

Voici quelques arnaques d'ingénierie sociale courantes au Canada :

  • Arnaque à la GRC ou à l'ARC : faux agents gouvernementaux qui menacent d'arrestation ou d'amendes.
  • Arnaque au support technique : fenêtre pop-up alarmante annonçant un virus, suivie d'un appel d'un faux technicien Microsoft.
  • Arnaque amoureuse : relation en ligne construite sur des semaines, suivie d'une demande d'argent urgente.
  • Arnaque au recruteur : offre d'emploi exceptionnelle demandant des documents personnels ou un paiement pour « frais de formation ».
  • Arnaque grand-parent : faux appel d'un petit-enfant en détresse demandant de l'argent d'urgence.

PME : l'arnaque au président (BEC) cible les PME. Un faux PDG par courriel demande un virement urgent à un comptable. Former les équipes financières à toujours valider verbalement les virements inhabituels.

Parents : vos enfants peuvent être ciblés sur les jeux en ligne ou les réseaux sociaux. Un faux «ami» peut leur demander des informations personnelles ou de l'argent pour des items dans un jeu.

Aînés : l'arnaque grand-parent est particulièrement fréquente. Un fraudeur appelle en se faisant passer pour un petit-enfant en urgence. Établissez un mot de code familial pour vérifier l'identité.

💡
À retenir"Aucune institution officielle ne demande des cartes-cadeaux, de la cryptomonnaie ou un virement Western Union."
6

Ralentir avant d'agir

La meilleure défense contre l'ingénierie sociale est de ralentir délibérément. Les attaquants construisent leur scénario sur la précipitation. En vous donnant 60 secondes pour réfléchir, vous brisez leur mécanique.

La méthode STOP-VÉRIFIER-AGIR :

  1. STOP : je ne fais rien immédiatement, même si c'est urgent.
  2. VÉRIFIER : je contacte la personne ou l'organisation par un canal indépendant (appel téléphonique au numéro officiel, visite en personne).
  3. AGIR : seulement après confirmation, j'effectue l'action demandée — ou je signale la tentative.

✓ Bonnes pratiques

  • Ne rappelez jamais au numéro fourni dans le message suspect.
  • Cherchez le numéro officiel sur le site web de l'organisation.
  • Consultez toujours un collègue ou un proche avant un acte financier urgent.
💡
À retenir"STOP — VÉRIFIER — AGIR. Trois étapes qui déjouent la grande majorité des arnaques."
7

Les bons réflexes face à une demande inhabituelle

🎬 Mise en situation

Votre responsable vous envoie un message Teams vous demandant de virer 3 000 $ à un nouveau fournisseur. Il dit être en réunion et de ne pas l'appeler. La demande semble venir de son compte officiel.

Face à toute demande inhabituelle — qu'elle vienne d'un supérieur, d'un client, ou d'un service gouvernemental — appliquez ces réflexes :

  • Ne pas agir sous la pression : les vraies urgences permettent toujours une vérification rapide.
  • Changer de canal pour vérifier : si la demande vient par courriel, vérifiez par téléphone ou en personne.
  • Consulter un collègue : une deuxième paire d'yeux détecte souvent ce que nous ne voyons plus.
  • Signaler même si vous n'êtes pas sûr : mieux vaut une fausse alerte qu'une brèche réelle.

✓ Bonnes pratiques

  • Établissez des procédures claires pour les virements et les demandes d'accès dans votre organisation.
  • Créez un mot de code familial pour les situations d'urgence réelles.
  • Signalez les tentatives à votre responsable TI — même celles auxquelles vous n'avez pas cédé.

✗ Erreurs fréquentes

  • Avoir honte d'avoir presque été trompé et ne pas signaler la tentative.
  • Croire que ce genre de chose n'arrive qu'aux autres.
  • Agir seul sur une demande financière inhabituellement urgente.
💡
À retenir"Se faire tenter n'est pas une honte — céder sans vérifier, c'est ce qu'on veut éviter."

🎮 Démo — Identifiez le levier psychologique

Lisez chaque scénario et cliquez sur le levier psychologique utilisé par le fraudeur.

« Votre compte PayPal a été compromis. Vous avez 2 heures pour confirmer votre identité sinon votre compte sera définitivement suspendu. »

« Bonjour, ici le service TI de votre entreprise. Je dois accéder à votre poste à distance pour une mise à jour critique de sécurité. Donnez-moi votre mot de passe temporaire. »

« Félicitations ! Vous avez été sélectionné pour recevoir un MacBook Pro gratuit. Cliquez ici pour réclamer votre prix avant minuit. Seuls les frais de livraison de 4,99 $ sont requis. »

« ⚠️ ALERTE VIRUS : votre ordinateur a été infecté par 5 menaces critiques. Votre webcam a été activée sans autorisation. Appelez notre numéro d'urgence immédiatement. »

Quiz du module

Testez vos acquis avec 4 questions sur l'ingénierie sociale.