Début novembre, une étude de l’Observatoire National de la Délinquance et des Réponses Pénales a mis en avant la chute du nombre de braquages en France depuis 2009. En parallèle, on constate une recrudescence des fraudes et attaques informatiques. L’ingénierie sociale, qui consiste à manipuler un interlocuteur d’une entreprise afin qu’il effectue une transaction bancaire frauduleuse, ou encore les cyberattaques qui s’appuient sur les nouvelles technologies pour détourner des fonds, sont des techniques de plus en plus utilisées par les fraudeurs. Selon l’Office Central pour la Répression de la Grande Délinquance Financière, depuis 2010, les pertes cumulées liées aux fraudes aux faux virements s’élèvent à plus de 650 millions d’euros en France sur 1800 sociétés. Par ailleurs, un sondage OpinionWay* révèle qu’en 2015, 81% des entreprises françaises ont été visées par des cyberattaques.

La lutte contre la fraude et la cybercriminalité représentent dorénavant un enjeu majeur pour les entreprises, indépendamment de leur taille ou secteur d’activité.

L’ingénierie sociale : la fraude au président ou au changement de coordonnées bancaires

Avant de passer à l’action, les fraudeurs récupèrent le plus d’informations possibles sur l’entreprise (organigrammes, adresses mail…) ainsi que des informations personnelles sur les interlocuteurs qu’ils prévoient de contacter. Par la suite, en utilisant l’urgence et la confidentialité d’une opération financière accompagnées de flatteries, d’une mise en confiance ou, à l’inverse, de menaces de sanctions, ils obtiennent d’un collaborateur qu’il effectue un virement frauduleux. Ce type de fraude est de plus en plus connu, notamment suite aux relais dans la presse ou au cinéma comme l’histoire de l’inventeur de la fraude dite « au président » adaptée par Pascal Elbé en 2015 dans « Je compte sur vous ».

Depuis quelques années, on note l’apparition de variantes qui semblent, malheureusement, aussi efficaces. Comme le cas d’un « faux » Jean-Yves Le Drian rentrant en contact avec des chefs d’entreprises et des dirigeants étrangers pour leur subtiliser des millions d’euros en vue de financer des opérations « spécifiques ».

Une autre technique de fraude par ingénierie sociale de plus en plus en plus utilisée : la fraude au changement de coordonnées bancaires. Elle consiste à usurper une identité pour changer les coordonnées bancaires et détourner des fonds.

Les cyberattaques, une autre forme d’escroquerie qui s’amplifie

Phishing et malware sont les principales formes de cyberattaques. Elles permettent de récupérer des informations personnelles et confidentielles ou encore de diffuser un virus sur un poste informatique via un email avec une pièce-jointe ou un lien frauduleux. Ces pratiques commencent à être connues mais sont de plus en plus compliquées à détecter.

Les ransomwares, elles, bloquent les données d’un ordinateur et demandent une rançon pour les débloquer. Cette variante des malwares a beaucoup fait parler d’elle l’été dernier lors de la fameuse vague WannaCry. Avec plus de 150 pays concernés et des dizaines d’entreprises touchées à travers le monde, dont le service public de santé britannique (NHS), cette attaque a mis en avant les failles que peuvent présenter les nouvelles technologies.

La mise en place d’actions préventives et correctrices pour sensibiliser les collaborateurs

Il est primordial pour les entreprises de mettre en place un plan de prévention pour sensibiliser les collaborateurs aux différents types d’attaques. Pour cela, il est important de communiquer car il s’agit de la meilleure protection, mais également d’organiser des opérations spécifiques comme, par exemple, la mise en place de fausses vagues de phishing. Il y a quelques mois, le ministère des Finances a fait le test en envoyant un « faux » email de phishing à ses collaborateurs pour gagner des places de cinéma. Selon le Figaro, sur 145 000 mails envoyés, plus de 30 000 clics auraient été enregistrés sur le lien en moins de deux heures, soit un taux de clics d’environ 20%. Ces résultats peu rassurants montrent qu’il est capital de communiquer sur différents types de fraudes afin de mieux sensibiliser les collaborateurs.

Les entreprises doivent mesurer l’importance de mettre en place des procédures pour que les collaborateurs réagissent au plus vite lors d’une escroquerie. Si les actions nécessaires sont prises à temps, les dégâts peuvent parfois être réduits. C’est pourquoi chacun doit prévenir sa banque dès la détection d’une fraude. Si cette dernière est rapidement informée, les fonds pourront sûrement être bloqués à temps. Dans le cas d’un virement frauduleux, par exemple, les fonds sont souvent définitivement perdus 24h ou 48h après leur émission. Il est même indispensable de déposer une plainte auprès de la police pour aider les services spécialisés en cybercriminalité à opérer à des recoupements avec d’autres tentatives de fraudes.

Afin d’éviter les cyberattaques, le site internet du gouvernement recommande aux entreprises d’avoir des logiciels et antivirus à jour et d’effectuer des sauvegardes quotidiennes des données informatiques.
En octobre dernier, le mois européen de la cyber sécurité a mobilisé de nombreux acteurs en France et en Europe, et a permis à plusieurs entreprises de participer à des conférences ou ateliers pour mieux comprendre les enjeux liés à la sécurité du numérique.

Les fraudeurs s’adaptent en permanence à leur environnement et notamment aux nouvelles technologies pour trouver de nouvelles astuces de plus en plus sophistiquées en vue d’extorquer des fonds. Leur capacité à innover en continu est un réel défi pour les entreprises qui doivent mettre en place une veille constante et préparer au mieux leurs collaborateurs pour qu’ils puissent déjouer les futures attaques.

Par Laury Arechavaleta consultante senior du cabinet ADWAY

*Sondage OpinionWay pour le club des experts de la sécurité de l’information et du numérique

(2 commentaires)

Laisser un commentaire

Entrez vos coordonnées ci-dessous ou cliquez sur une icône pour vous connecter:

Logo WordPress.com

Vous commentez à l'aide de votre compte WordPress.com. Déconnexion /  Changer )

Photo Google+

Vous commentez à l'aide de votre compte Google+. Déconnexion /  Changer )

Image Twitter

Vous commentez à l'aide de votre compte Twitter. Déconnexion /  Changer )

Photo Facebook

Vous commentez à l'aide de votre compte Facebook. Déconnexion /  Changer )

w

Connexion à %s

This site uses Akismet to reduce spam. Learn how your comment data is processed.