Aller au contenu

Spécifications des slides — Session B04 : Ingénierie sociale & facteur humain

Parcours : B 20 sessions | Module : A — Fondations | Format : Spécifications Markdown

Slide 1 — Page de garde

  • Type : titre
  • Points clés (bullets) :
  • Ingénierie sociale & facteur humain
  • Décoder les mécanismes de la manipulation psychologique
  • Parcours B — Session B04
  • Notes orateur : Bonjour à tous et bienvenue dans cette quatrième session. Aujourd'hui, nous n'allons pas parler de serveurs ou de lignes de code, mais du maillon le plus ciblé par les attaquants : l'être humain. Nous allons voir comment les pirates manipulent notre psychologie pour contourner les défenses les plus sophistiquées.
  • Visuel suggéré : Fond sombre avec l'illustration stylisée d'un cerveau humain connecté à des engrenages numériques ou un labyrinthe virtuel.
  • alt-text : Graphisme représentant un cerveau humain stylisé avec des connexions de circuits imprimés verts sur fond sombre.
  • Élément interactif : Question sondage pour savoir qui a reçu un SMS ou un appel frauduleux dans la semaine passée.

Slide 2 — Objectifs de la séance & Sommaire

  • Type : contenu
  • Points clés (bullets) :
  • Identifier les 5 leviers psychologiques de la manipulation.
  • Différencier Phishing, Spear-phishing, Smishing et Vishing.
  • Concevoir des règles d'hygiène numérique efficaces pour une entreprise.
  • Sommaire : La psychologie de l'ingénierie sociale (20 min), Les canaux d'attaque (20 min), L'hygiène numérique (15 min), Activité Fiche d'onboarding (25 min), Quiz (10 min).
  • Notes orateur : Au cours de cette séance, nous allons comprendre les ressorts psychologiques derrière les arnaques comme le phishing. Nous étudierons ensuite les différents canaux utilisés (e-mail, SMS, téléphone) avant de rédiger ensemble un kit d'accueil sur l'hygiène cyber.
  • Visuel suggéré : Deux colonnes épurées détaillant d'un côté les objectifs pédagogiques et de l'autre l'organisation temporelle.
  • alt-text : Liste structurée présentant l'agenda minuté de la session et les compétences clés ciblées.

Slide 3 — Qu'est-ce que l'ingénierie sociale ?

  • Type : contenu
  • Points clés (bullets) :
  • Définition : L'art de manipuler des personnes pour les inciter à accomplir des actes ou divulguer des informations confidentielles.
  • Cible les faiblesses cognitives humaines plutôt que les failles matérielles ou logicielles.
  • L'attaquant exploite la confiance naturelle et le désir d'aider.
  • Notes orateur : Pourquoi passer des mois à chercher une faille informatique complexe si un simple email ou appel téléphonique peut convaincre un employé de donner ses identifiants d'accès ? C'est le principe de l'ingénierie sociale : pirater l'humain plutôt que la machine.
  • Visuel suggéré : Illustration d'une marionnette contrôlée par des fils reliés à un clavier d'ordinateur.
  • alt-text : Dessin conceptuel représentant des mains manipulant des fils de marionnette au-dessus d'un poste de travail informatique.

Slide 4 — Les leviers de la manipulation (½)

  • Type : schéma
  • Points clés (bullets) :
  • L'Autorité : Se faire passer pour un supérieur, un policier ou un avocat (Ex : L'arnaque au président).
  • L'Urgence : Empêcher la réflexion logique en instaurant une limite de temps stricte.
  • La Sympathie / Réciprocité : Créer un lien amical ou feindre de rendre service (Ex : Le faux support informatique).
  • Notes orateur : Les manipulateurs utilisent des déclencheurs psychologiques universels. L'autorité nous pousse à obéir sans poser de questions. L'urgence crée un stress qui court-circuite notre esprit critique. La sympathie nous incite à aider quelqu'un qui se montre aimable avec nous.
  • Visuel suggéré : Trois encadrés colorés présentant chacun un levier avec des icônes explicites : un insigne de police (autorité), un sablier (urgence) et un visage souriant (sympathie).
  • alt-text : Schéma conceptuel illustrant l'autorité, l'urgence et la sympathie avec des explications succinctes de cas d'usage cyber.

Slide 5 — Les leviers de la manipulation (2/2)

  • Type : schéma
  • Points clés (bullets) :
  • La Peur / Intimidation : Utiliser des menaces de sanctions pour forcer l'action (Ex : Faux mails d'amendes administratives).
  • La Preuve sociale : Faire croire que les collègues ont déjà effectué l'action pour rassurer la victime.
  • L'erreur humaine est souvent le résultat d'une pression psychologique extrême.
  • Notes orateur : Nous complétons nos leviers avec la peur, qui paralyse et force l'obéissance immédiate sous la menace de sanctions. Enfin, la preuve sociale joue sur notre instinct grégaire : si l'attaquant nous affirme que toute notre équipe a déjà mis à jour son mot de passe sur le lien fourni, nous le ferons avec moins de méfiance.
  • Visuel suggéré : Deux encadrés comparatifs avec des icônes de panneau de danger (peur) et de groupe de personnes (preuve sociale).
  • alt-text : Graphique présentant la peur et la preuve sociale comme facteurs clés de décision sous contrainte dans un contexte d'entreprise.

Slide 6 — Phishing vs Spear-phishing

  • Type : contenu
  • Points clés (bullets) :
  • Phishing (Hameçonnage de masse) :
    • Email générique envoyé à des milliers de cibles.
    • Imitation de marques grand public (banque, poste, impôts).
  • Spear-phishing (Hameçonnage ciblé) :
    • Email ultra-personnalisé visant une personne ou une entreprise spécifique.
    • Utilise des informations réelles collectées en amont (LinkedIn, organigrammes).
  • Notes orateur : Le phishing traditionnel est une pêche au filet : on envoie le même mail à des milliers de personnes en espérant que quelques-unes mordent à l'hameçon. Le spear-phishing, lui, est une pêche au harpon : le mail est tellement personnalisé et crédible qu'il est presque impossible de ne pas douter au premier regard.
  • Visuel suggéré : Illustration comparative montrant un filet de pêche jeté en mer (phishing) à côté d'un pêcheur visant une cible unique au harpon (spear-phishing).
  • alt-text : Illustration schématique opposant le phishing de masse (filet de pêche) et le spear-phishing ciblé (harpon sur un seul poisson).

Slide 7 — Smishing & Vishing

  • Type : contenu
  • Points clés (bullets) :
  • Smishing (SMS Phishing) :
    • Messages texte frauduleux contenant un lien raccourci.
    • Usurpation d'identité mobile (ex : livraison de colis, amendes ANTAI).
  • Vishing (Voice Phishing) :
    • Hameçonnage vocal par téléphone.
    • L'attaquant usurpe le conseiller bancaire pour extorquer des codes MFA de validation.
  • Notes orateur : Les attaquants se diversifient et passent sur nos smartphones. Le smishing utilise l'immédiateté du SMS pour nous faire cliquer sur des liens frauduleux. Le vishing est encore plus redoutable : un attaquant poli et professionnel vous appelle pour "bloquer une fraude en cours" sur votre compte, tout en vous demandant en réalité de valider la transaction à votre insu.
  • Visuel suggéré : Visuel montrant un écran de smartphone affichant un SMS frauduleux avec un lien suspect, et un appel téléphonique entrant nommé "Faux Conseiller Bancaire".
  • alt-text : Maquette de smartphone montrant un SMS d'alerte de livraison suspect et une icône d'appel vocal entrant.

Slide 8 — L'hygiène numérique en entreprise

  • Type : récap
  • Points clés (bullets) :
  • L'hygiène cyber : ensemble de réflexes quotidiens simples pour réduire la surface de vulnérabilité.
  • La sécurité humaine est le premier et le dernier rempart de l'entreprise.
  • L'erreur humaine n'est pas une fatalité : valoriser le signalement rapide plutôt que la sanction.
  • Notes orateur : Face à ces menaces de manipulation, la meilleure réponse est d'adopter des règles d'hygiène numérique strictes. De la même façon que l'on se lave les mains pour éviter les maladies, on applique des gestes barrières informatiques pour protéger l'infrastructure.
  • Visuel suggéré : Icône de trousse de premiers secours cyber avec des symboles de bouclier, de cadenas et d'un utilisateur.
  • alt-text : Icône moderne d'une valise de secours médicale verte contenant un bouclier blanc au centre.

Slide 9 — Règles d'or : Mots de passe & Double Facteur

  • Type : contenu
  • Points clés (bullets) :
  • Mots de passe :
    • Minimum 12 à 15 caractères (préférer les "phrases de passe").
    • Uniques pour chaque compte, stockés dans un gestionnaire sécurisé.
  • MFA (Multi-Factor Authentication) :
    • Double validation obligatoire sur tous les accès.
    • Bloque l'accès même si le mot de passe est compromis.
  • Notes orateur : Deux gestes simples éliminent 99 % des risques d'usurpation de compte : utiliser des phrases de passe robustes et activer la double authentification. Le MFA est crucial : si un pirate réussit à obtenir votre mot de passe par phishing, il sera bloqué car il ne possède pas le code temporaire envoyé sur votre téléphone.
  • Visuel suggéré : Schéma d'une clé physique insérée dans une serrure, doublée d'un écran de smartphone affichant un code d'accès temporaire de validation.
  • alt-text : Schéma montrant la combinaison d'un mot de passe (clé) et d'un code MFA sur un téléphone mobile pour déverrouiller un cadenas virtuel.

Slide 10 — Règles d'or : Verrouillage & Doute systématique

  • Type : contenu
  • Points clés (bullets) :
  • Verrouillage de session : Touches Windows + L ou Cmd + Ctrl + Q dès que l'on s'éloigne.
  • La culture de la vérification :
    • Douter de toute demande inhabituelle ou urgente.
    • Valider la demande par un canal de communication alternatif connu.
  • Signaler tout comportement suspect aux équipes de sécurité immédiatement.
  • Notes orateur : Pour finir, prenez le réflexe de verrouiller votre poste de travail, même pour aller chercher un café. De plus, instaurez le doute systématique : si un collègue ou un fournisseur vous demande un changement de RIB ou une action confidentielle urgente, appelez-le par son numéro officiel pour vérifier la demande de vive voix.
  • Visuel suggéré : Une silhouette d'employé de bureau s'éloignant de son écran d'ordinateur verrouillé affichant un cadenas géant.
  • alt-text : Bureau d'entreprise désert avec un écran affichant un fond de sécurité verrouillé et une icône de cadenas verte.

Slide 11 — Activité pratique : Kit d'onboarding PME

  • Type : étude de cas
  • Points clés (bullets) :
  • Objectif : Rédiger les "5 règles d'or de l'hygiène cyber" pour les nouveaux arrivants d'une PME.
  • Pas de jargon technique, ton positif, règles courtes et concrètes.
  • Expliquer clairement le comportement attendu et le risque évité.
  • Durée : 25 minutes en groupes.
  • Notes orateur : Nous allons maintenant travailler sur votre livrable. Vous allez concevoir un dépliant d'accueil destiné aux nouveaux salariés d'une entreprise. Ce document doit lister les 5 réflexes de sécurité indispensables à adopter dès leur premier jour, rédigés dans un langage simple et accessible.
  • Visuel suggéré : Modèle de dépliant de poche épuré avec des lignes blanches prêtes à accueillir les 5 règles d'hygiène.
  • alt-text : Prototype de fiche d'onboarding à cinq sections vides pour documenter les consignes de sécurité d'un nouvel employé.
  • Élément interactif : Travail collaboratif en groupes avec restitution orale.

Slide 12 — Conclusion & Travail autonome

  • Type : récap
  • Points clés (bullets) :
  • Points clés : L'humain comme cible principale, les 5 leviers de manipulation, et l'importance des règles d'hygiène cyber.
  • Devoirs : Suivre le cours IBM SkillsBuild "Social Engineering" (~1h00).
  • Recherche : S'informer sur le concept d'OSINT (renseignement en sources ouvertes).
  • Prochaine session : Fondamentaux réseau pour la sécurité (B05).
  • Notes orateur : Bravo pour vos propositions de kits d'onboarding ! À retenir : la technique ne peut rien sans la vigilance humaine. Pour la semaine prochaine, connectez-vous sur SkillsBuild pour suivre le module sur l'ingénierie sociale afin de compléter cette séance. Bonne fin de journée !
  • Visuel suggéré : Visuel du badge SkillsBuild "Social Engineering" et icône de calendrier pour la prochaine séance.
  • alt-text : Graphisme du badge numérique de réussite de cours IBM SkillsBuild sur l'ingénierie sociale.