Ce qui s'est passé
Une plateforme de paiement appelée Drift a découvert qu'un vol massif de 285 millions d'euros n'était pas dû à une faille informatique classique, mais à une technique bien plus sournoise : le social engineering. Des pirates nord-coréens se sont donné beaucoup de mal pendant 6 mois. Ils ont créé de faux profils, envoyé des messages qui semblaient venir de vrais collègues, établi une confiance progressivement, puis ont demandé l'accès à des systèmes sensibles. Les employés, persuadés de discuter avec leurs collègues, ont accordé cet accès sans méfiance.
C'est l'arme préférée des cybercriminels en 2026 : pourquoi chercher à forcer une porte quand tu peux sonner et demander gentiment qu'on te l'ouvre ?
Est-ce que ça me concerne ?
Oui, directement. Cette technique ne vise pas que les grandes entreprises. Les petites et moyennes entreprises sont même des cibles idéales parce que vous avez moins de défenses et que vos équipes sont plus proches, plus accessibles. Un pirate peut :
- Se créer un faux compte LinkedIn avec le nom d'un fournisseur que tu connais
- T'envoyer des messages sur Teams, WhatsApp ou email en prétendant être ton comptable, ton responsable IT ou un client important
- Demander l'accès à ton espace client bancaire "pour vérifier une facture"
- Te faire installer un logiciel "de mise à jour urgente"
- T'extorquer un virement "pour un paiement urgent" d'un client
Si tu as une équipe, des accès à des données sensibles ou des accès bancaires, tu es concerné.
Que faire maintenant ?
- Forme ton équipe immédiatement. Une réunion de 15 minutes : expliquez que personne ne demandera jamais un mot de passe ou un accès par message. Les demandes sérieuses passent par des canaux officiels vérifiés. Montrez des exemples concrets.
- Mets en place une vérification simple pour tout ce qui touche à l'argent ou l'accès. Si quelqu'un (même un dirigeant) demande un virement, un accès bancaire ou un code par message, tu dois appeler la personne par téléphone à un numéro que tu connais déjà pour confirmer. C'est ennuyeux, mais ça sauve ton entreprise.
- Sécurise tes accès email et bancaires avec une double authentification. Même si un pirate connaît ton mot de passe, il ne pourra pas accéder sans un code supplémentaire qu'il ne possède pas.
- Désactive les appels de fonction dans les paramètres de tes outils collaboratifs. Sur Teams, Slack ou email, vérifie que les intégrateurs externes ne peuvent pas exécuter des commandes sans confirmation manuelle.
- Crée une culture de doute sain. Tes employés doivent pouvoir signaler quelque chose qui leur paraît suspect sans crainte de passer pour un paranoïaque. Un pirate détecté c'est un vol évité.
Et si je ne suis pas sûr ?
Cette attaque est difficile à détecter seul parce qu'elle n'utilise pas de failles techniques, mais la psychologie. Un audit de sécurité pour PME peut vérifier si tes employés cliquent sur les mauvais liens ou donnent trop facilement des accès. Notre équipe peut tester tes défenses avec des simulations réalistes et te montrer exactement où renforcer ta vigilance → Demander un audit gratuit