Entreprises et cyberfraude: comment rester vigilant?

Bien que touchant tous les types d’entreprises, la cyberfraude demeure taboue en raison des importants dégâts redoutés en termes d’image. La sensibilisation est pourtant cruciale, la protection la plus efficace étant simplement de ne pas faciliter la tâche des fraudeurs potentiels.

Selon l’étude annuelle du bureau de consultance BDO sur la fraude, pas moins de trois quarts des sociétés ont été victimes d’au moins une tentative de fraude au cours des cinq dernières années. Petites, moyennes ou grandes, toutes les entreprises sont concernées. “Lors de notre enquête, 22% des entreprises sondées nous ont indiqué avoir été victime d’au moins une fraude au cours de l’année 2018”, précise Cédric Antonelli, responsable du département Forensic & Litigation Support chez BDO Belgique.

En 2019, la cybercriminalité était le troisième type de fraude derrière les fausses factures et le détournement d’actifs (vol, annulation de ventes, encaissement privé). Sa part a toutefois augmenté de 8% à 10% et “il ne serait pas étonnant, étant donné la digitalisation croissante des entreprises, de voir la cybercriminalité dépasser les autres types de fraude dans un avenir proche”.

Un coût plus important qu’il n’y paraît

Globalement, le taux de réussite des tentatives de fraude est d’une sur cinq avec d’importants écarts entre la fraude dite au président (qui consiste à se faire passer pour le dirigeant d’une entreprise afin d’obtenir le paiement d’une somme d’argent), plus facile à déjouer et dont seule une tentative sur 20 aboutit, et le détournement d’actif qui réussit dans 75% des cas. La cybercriminalité se classe dans la moyenne inférieure avec un taux de réussite de 20%.

Autre indicateur a priori plutôt rassurant, la fraude moyenne s’élève à 70.000 euros pour la cybercriminalité contre une moyenne globale de 150.000 euros et même de 350.000 pour l’usurpation d’identité. “Cette perte ne tient compte que du dommage direct, prévient toutefois Cédric Antonelli. Il ne s’agit donc que de la partie émergée de l’iceberg. Les dommages indirects peuvent être importants : conséquences sur la réputation de l’entreprise, perte de clients, etc. En tenant compte de tout cela, la cybercriminalité est certainement l’une des formes de fraude la plus coûteuse.” D’autant plus depuis l’arrivée du RGPD qui impose aux entreprises de nouvelles obligations en matière de gestion des données.

Faciliter d’autres fraudes

Le spécialiste de BDO insiste également sur le fait que ces chiffres ne concernent que la cyberfraude pure et dure. “Concrètement, il s’agit donc de pirates informatiques qui tentent de passer les firewalls, de craquer les sécurités pour s’introduire dans les systèmes numériques de l’entreprise. Quand ils y parviennent, ils peuvent y dérober des données ou bloquer les systèmes jusqu’au paiement d’une rançon, ce qu’on appelle les ‘rançongiciels'”.

L’usurpation d’identité est vieille comme le monde, mais avec la digitalisation croissante, celle-ci est largement facilitée. Les réseaux numériques peuvent ainsi également favoriser d’autres types de fraude. “Une personne mal intentionnée peut par exemple collecter les informations qu’elle trouve sur Internet pour donner plus de crédit à une fraude au président. Utiliser les technologies pour s’immiscer entre le fournisseur et le client afin de détourner la facture. Espionner les membres de l’entreprise. Voire s’approprier les secrets de fabrication d’une organisation.”

Dans l’imaginaire, la cybercriminalité est le fait de surdoués de l’informatique passant des nuits entières derrière leurs écrans. “Dans les faits, il ne faut pas nécessairement être un petit génie de l’informatique pour subtiliser des données, assure le spécialiste. Des tas d’outils existent sur le dark web voire même sur l’Internet traditionnel comme des ‘rançongiciels’, logiciels espions (de type keylogger), etc. Lors d’une séance de sensibilisation chez un client, un collègue avait par exemple réalisé une petite macro-commande qu’il avait intégrée dans la pièce jointe d’un mail. Ce script se limitait à prendre une photo de l’écran du destinataire et d’attacher celle-ci dans la réponse. Cela lui avait pris à peine trois minutes et il a ainsi obtenu un screenshot de plusieurs destinataires du mail sans qu’ils ne se rendent compte de rien. La vocation du code intégré dans la pièce jointe était d’ordre pédagogique et n’avait pas pour objectif de nuire. De façon très similaire, une macro-commande peut intégrer des scripts visant à inventorier les fichiers et dossiers présents sur un ordinateur voire même à obtenir certains de ceux-ci.” Evidemment, on peut souligner le fait que le mail venait d’une personne de confiance mais imiter une adresse n’est pas compliqué, prévient Cédric Antonelli. “Une technique courante est de remplacer une lettre par un caractère similaire de l’alphabet cyrillique. En langage informatique, ce n’est pas la même lettre mais l’oeil humain n’y verra que du feu”.

Informations publiques

Retrouver l’adresse mail d’un responsable dans une entreprise est également un jeu d’enfant. Soit, elle est directement disponible sur le site de l’entreprise, soit il suffit d’un compte LinkedIn Premium pour l’obtenir via le réseau social professionnel. Et les conséquences peuvent être importantes.

“C’est ce qui est arrivé à un client qui a fait appel à nos services. Un pirate avait réussi à détourner les mails de l’entreprise belge et de son fournisseur à Hong Kong. Il a ensuite créé une fausse adresse mail ressemblant à s’y méprendre à l’originale. Le stratagème mis en place, il n’avait qu’à faire suivre les messages jusqu’à l’envoi de la facture. Il l’a interceptée et a modifié le numéro de compte. Une fois le pot aux roses découvert, l’argent avait déjà circulé de compte en compte et de pays en pays, rendant toute récupération quasiment impossible.”

C’est en effet l’autre particularité de la cybercriminalité au sens large : elle implique des intervenants de différents pays. Le hackeur peut se trouver en Russie, caché derrière des serveurs des quatre coins du monde. Ces pirates font régulièrement partie d’organisations mafieuses. “Parvenir à récupérer même une partie de la fraude est donc plutôt rare”, avertit Cédric Antonelli.

Cela ne signifie évidemment pas qu’il faille se contenter de passer l’éponge. “Traditionnellement, les entreprises contactent tout d’abord un avocat spécialisé, apte à appréhender les aspects techniques ou juridiques, précise Cédric Antonelli. L’avocat contacte ensuite une entreprise comme BDO afin d’évaluer le préjudice total, de remonter le fil de la fraude. Le pirate peut notamment avoir bénéficié de complicité ou de laxisme en interne.”

Justice et fisc

Vient ensuite l’aspect judiciaire. “Les entreprises ne portent pas systématiquement l’affaire en justice. Beaucoup renoncent en raison des frais et de la crainte de publicité négative. La justice est de plus souvent bien démunie face des organisations internationales”.

L’entreprise doit enfin décider sa stratégie par rapport à la presse et surtout au fisc. Dans les cas de fraudes internes, elle risque même d’être taxée sur les fonds détournés voire, dans le pire des cas, faire l’objet d’une cotisation spéciale pour commission secrète de 103%. “Il est nécessaire de prendre contact avec l’administration fiscale afin de lui présenter les événements et de négocier une déduction du préjudice subi”, recommande Cédric Antonelli.

“Comme pour les fraudes internes, pour éviter tous ces désagréments, la meilleure stratégie demeure la prévention”, insiste le spécialiste. Le premier élément est évidemment de sécuriser l’infrastructure informatique que l’on peut de plus en plus comparer au système nerveux d’une entreprise. Sans elle, l’information ne circule plus et l’activité est l’arrêt. “Chez BDO, nous offrons, par exemple, des scans de vulnérabilité voire un programme de simulation d’intrusion tant physique – en essayant de rentrer dans les locaux et d’accéder à un terminal – qu’informatique. Le secret de la réussite de telles simulations est que très peu de personnes sont mises au courant, ce qui nous permet de mettre en avant les failles tant matérielles qu’au niveau des procédures.”

Evidemment, de tels services sont plutôt destinés aux grandes entreprises. “Mais nous proposons aussi des services de consultance pour les plus petites entreprises, notamment celles qui veulent sécuriser un élément bien précis comme des éléments de propriété intellectuelle.”

Petites entreprises et professions libérales

Contrairement aux idées reçues, les organisations de plus petites tailles peuvent également être ciblées par des cyberattaques. Beaucoup de petites entreprises et professions libérales ignorent la richesse des données dont elles disposent aux yeux des tiers. C’est notamment le cas d’un dossier en procédure pénale que s’est obtenu un hackeur en pénétrant les systèmes d’information d’un avocat pour la partie adverse. Les données des organisations sont un des actifs les plus précieux de celles-ci, qu’il s’agisse de propriété intellectuelle ou plus simplement de listing clients et fournisseurs voire même d’employés. L’exposition de ces données peut mettre une entreprise en difficulté lorsqu’elles sont entre de mauvaises mains.

Outre ces données, toute organisation est exposée aux attaques de masse notamment par des “rançongiciels” qui sont déployés par des hackeurs. Ces menaces peuvent paralyser des entreprises durant des jours voire mener à une faillite si elle ne dispose pas d’un système de sauvegarde performant pour permettre la restauration de ses systèmes et de ses données.

Pour les entreprises qui ne peuvent s’offrir des services de consultance, Cédric Antonelli insiste sur la nécessité de disposer des sécurités de base (antivirus, firewall, sauvegardes de données) et surtout de les mettre à jour très régulièrement. Les outils des pirates évoluent sans cesse et un antivirus est rapidement dépassé s’il n’est pas actualisé. La mise à jour permet aussi de détecter des logiciels malveillants, comme un cheval de Troie qui serait passé une première fois entre les mailles du filet.

Le SPF Economie a également créé un site, cybersecurityscan.be, où les PME et indépendants peuvent tester si leur infrastructure informatique est bien protégée. A l’issue de ce scan d’une dizaine de questions, vous recevez des conseils pratiques pour renforcer le niveau de sécurité de votre entreprise.

Sensibilisation et formations

Dans tout processus de gestion des risques, il convient de considérer le maillon faible comme prépondérant. En termes de sécurité informatique, une société peut être à la pointe de la protection mais ses travailleurs sont susceptibles de présenter une faille de choix dans laquelle les hackeurs ne manqueront pas de s’engouffrer. Pour le spécialiste de BDO, l’équipement matériel et applicatif ne constitue ainsi qu’une partie de la sécurisation des infrastructures informatiques et de l’entreprise en général. “Les mesures de sécurité techniques doivent s’accompagner d’une sensibilisation accrue des travailleurs aux risques de fraude, sans quoi une organisation qui a dépensé des dizaines voire centaines de milliers d’euros en sécurité verra cet argent gaspillé. Malheureusement, on constate que les entreprises qui y sont le plus sensibles sont celles qui en ont été déjà victimes.”

Des formations et séminaires existent. Ils mêlent cours techniques et soft skills permettant de déceler des éléments de comportement suspects. “Il est également crucial que tous les membres d’une entreprise adoptent les bons réflexes”. Le comptable qui s’assure de la véracité d’une demande de paiement en contactant le directeur sur un numéro de téléphone habituel – pas celui figurant dans le mail. La personne à l’accueil qui vérifie que le technicien doit bel et bien intervenir dans un local informatique. Ne donner aucune information quand on n’est pas certain de l’identité de la personne que l’on a au bout du fil, etc.

Evidemment, la gestion des courriels est cruciale en matière de cyberfraude. “Chaque détail a son importance, insiste Cédric Antonelli. Le fait qu’une personne signe de son nom complet alors qu’il signe habituellement de son prénom doit alerter le destinataire.” La méfiance doit donc être de mise et pas seulement s’il s’agit d’une demande de versement. Il existe également des technologies visant à assurer l’authentification de l’expéditeur d’un courriel.

Mesures et procédures méthodiques

Les fraudeurs et pirates tentent d’exploiter avant tout notre naïveté. La meilleure protection réside donc dans un ensemble de mesures / procédures appliquées méthodiquement par tous les membres de l’entreprise. Les chiffres démontrent que les tentatives de fraude les plus courantes sont aussi les plus simples, telles que la fraude au président.

Ainsi, rien ne sert de disposer des meilleurs firewalls si vous ouvrez n’importe quelle pièce jointe d’un mail, cliquez sur n’importe quoi sur Internet, dévoilez (par des photos) un tas d’informations sensibles sur les réseaux sociaux, ouvrez des clés USB sans les contrôler ou laissez facilement une personne étrangère accéder à un terminal.

Enfin, il est indispensable de veiller aux possibilités de contrôle, selon Cédric Antonelli. “Nous avons par exemple été appelés par le management d’une entreprise qui avait l’impression que le responsable informatique lisait leurs mails. La vérification s’est avérée extrêmement compliquée car c’est la personne soupçonnée qui avait paramétré l’ensemble du réseau.” Un simple regard extérieur sur l’organisation informatique aurait pu permettre au management de garder une possibilité de contrôle…

Le RGPD : une avancée en termes de sécurité informatique?

Depuis le 25 mai 2018, toute organisation traitant des données à caractère personnel est tenue de respecter certaines règles. Celles-ci sont édictées par le Règlement général sur la protection des données, plus connu sous le sigle RGPD ou sa version anglophone GDPR.

Sans entrer dans les détails, le RGPD impose aux organisations de référencer les différents traitements de données et la mise en place de mesures de sécurité adéquates tant au niveau des procédures qu’au niveau des mesures de sécurité techniques. Avec l’entrée en vigueur de cette législation, de plus en plus d’organisations sont sensibilisées aux besoins de sécurité informatique.

Cédric Antonelli, du cabinet BDO, observe ainsi que de plus en plus d’entreprises tant publiques que privées définissent des plans d’actions clair pour accroître leur maturité et leur maîtrise des cybermenaces depuis l’introduction du RGPD.

Les sanctions peuvent en effet être lourdes. L’Autorité de protection des données (ADP), compétente en Belgique, peut imposer des amendes pouvant atteindre 10 millions d’euros ou 2 % du chiffre d’affaires annuel mondial dans le cas de manquements aux obligations formelles. C’est même le double en cas de manquements aux principes de base du règlement.