Comment votre entreprise peut se prémunir contre la cyberfraude ?

Comment votre entreprise peut se prémunir contre la cyberfraude ?

Chaque année, le nombre de victimes de la cyberfraude augmente. Il faut dire que les pirates informatiques ont recours à des moyens de plus en plus sophistiqués. Quelles sont leurs tactiques les plus fréquentes vis-à-vis des entreprises, et comment peut-on s’en protéger ?

Selon les dernières données du Centre antifraude du Canada, pas moins de 78 millions de dollars auraient été dérobés en 2014, et environ 42 200 plaintes auraient été déposées, essentiellement pour hameçonnage (phishing).

 

Cette technique consiste pour le fraudeur à faire croire à la victime qu’elle s’adresse à une institution de confiance, sa banque par exemple, afin de lui soutirer des renseignements personnels comme ses mots de passe, ses numéros de carte de crédit, etc.

 

Il est difficile d’obtenir des données concernant la cyberfraude contre les entreprises, car il existe une certaine culture de non-divulgation à ce sujet. Néanmoins, on sait que les sociétés n’échappent pas aux stratagèmes des criminels du Web qui tentent de leur dérober des montants d’argent ou des informations sensibles.

 

Des tactiques éprouvées par les fraudeurs

 

Quelles sont les stratégies fréquemment utilisées par les cyberfraudeurs pour prendre des entreprises dans leurs filets ? « Ils ciblent généralement une personne précise au sein de l’entreprise, le directeur financier par exemple », explique Cyrille Aubergier, chargé de cours sur le piratage informatique au certificat en cyberenquête de Polytechnique Montréal, également expert sécurité chez Orange, anciennement France Telecom.

 

Le criminel informatique tente ensuite d’introduire un programme malveillant, communément appelé malware, dans l’ordinateur de cet employé, par l’intermédiaire d’un lien Internet ou d’un fichier contenu dans un courriel. Le malware effectuera alors de la recherche et de la collecte d’informations (coordonnées bancaires, numéros de compte, noms des responsables financiers avec les signatures, etc.) et fouillera l’historique de navigation pour vérifier notamment si on a accédé à des comptes bancaires à partir de l’ordinateur.

 

Il peut aussi installer un capteur des touches utilisées sur le clavier afin de récupérer les mots de passe. « C’est arrivé en 2013 au directeur financier d’une grande chaîne de télévision sportive, BelN Sports. Des virements bancaires ont été effectués par les pirates informatiques pour 2,4 millions d’euros », illustre M. Aubergier.

 

Autre type d’escroquerie fréquente : la « fraude du président ». Dans ce cas, les fraudeurs réunissent beaucoup d’information sur l’entreprise ciblée, sur ses processus, les échelons hiérarchiques, les personnes qui tiennent les cordons de la bourse, etc.

 

Puis, ils font parvenir un courriel au directeur financier ou au comptable de l’entreprise, en lui faisant croire qu’il a été envoyé par le président, dans lequel on lui demande de virer de toute urgence une importante somme sur un compte dont on fournit les coordonnées, afin de pouvoir finaliser une acquisition qui doit demeurer confidentielle. « Le tout se fait généralement dans l’urgence, un vendredi à 17 h. Il ne reste plus que peu d’employés au bureau, et il est difficile d’effectuer des vérifications », explique Cyrille Aubergier.

 

En général, on profite du fait que le président est absent, idéalement en voyage d’affaires à l’étranger. Le comptable transfère la somme, qui se retrouve évidemment entre les mains des pirates informatiques.

 

Autre tactique fréquente des cyberfraudeurs : un courriel émanant faussement d’un fournisseur demandant que les paiements soient désormais effectués sur un autre compte bancaire. Le stratagème n’est découvert que lorsque le véritable fournisseur se plaint de ne pas avoir été payé depuis plusieurs mois.

 

Se protéger… oui, mais comment ?

 

La protection commence par une certaine dose de méfiance. On ne clique pas sur certains liens, et on n’ouvre pas de documents contenus dans des courriels provenant de sources inconnues.

 

Natasha Rocheleau, directrice principale, Solutions de Gestion de trésorerie Entreprises à la Banque Nationale, insiste sur le fait qu’il faut sensibiliser ses employés à la cyberfraude et instaurer de bonnes pratiques à l’interne. « Dans le cas de la fraude du président, il y a des signaux qu’il faut reconnaître : l’urgence, la confidentialité, le fait que le bénéficiaire ne soit pas connu de la personne qui effectue la transaction, etc.

 

Il est essentiel de mettre en place des procédures de vérification et d’identification. Une bonne pratique consisterait, par exemple, à communiquer avec le président à un numéro de téléphone ou à une adresse courriel que l’on connaît pour s’assurer que la demande vient effectivement de lui », suggère-t-elle.

 

Pour les transactions à risque, elle recommande l’utilisation d’une solution d’authentification telle qu’une clé SécurID par exemple, ou tout autre authentifieur ou jeton d’authentification qui affiche un code chiffré à intervalle fixe. Il s’agit d’une protection supplémentaire qui empêche l’accès au site, à moins d’avoir en main la solution d’authentification avec soi et d’entrer la bonne séquence numérique au moment de l’accès au site.

 

La « sécurité renforcée » est une mesure de sécurité supplémentaire qui permet d’accéder à certains sites Web en enregistrant des ordinateurs personnels, qui seront ainsi liés au code d’utilisateur. Lorsqu’une session est ouverte sur un ordinateur non enregistré, le système demandera à l’utilisateur de confirmer son identité en répondant à l’une des trois questions personnelles créées dans le profil.

 

Le recours à des processus de sécurité renforcés est également une bonne façon de se prémunir contre la cyberfraude. « Lorsqu’une transaction est effectuée à partir d’un ordinateur qui n’est pas reconnu par l’institution financière, des questions supplémentaires seront posées pour authentifier l’utilisateur. On peut aussi imposer des limites de montant par employé de l’entreprise, exiger des autorisations supplémentaires d’une autre personne à l’interne, etc.

 

Il existe toute une panoplie de solutions bancaires par Internet qui permettent de se protéger », mentionne Mme Rocheleau. Attention : il est facile de se laisser berner, les messages d’hameçonnage sont de mieux en mieux conçus, bien traduits et sans fautes d’orthographe, et les sujets abordés suscitent la curiosité, la pitié, la surprise… Alors, restez sur vos gardes !

 

Quatre conseils pour se prémunir contre la cyberfraude

 

Limitez l’accès à Internet des ordinateurs qui traitent des informations sensibles.

Effectuez régulièrement les mises à jour de sécurité. Tous les mois, on met à jour Windows, Flash, Macromedia, Java, l’antivirus,

Avant d’autoriser un transfert d’argent, on vérifie directement auprès des intéressés.

Ne comptez pas aveuglément sur l’antivirus ou l’anti-malware pour se protéger : s’il s’agit d’une nouvelle menace, ce logiciel n’est pas encore programmé pour la reconnaître.

Leave a Reply