Gérer

Comment faire face aux fraudes informatiques

ajouté le 19 mai 2017 à 11h20 - Mots clés : fraude informatique , cybercriminalité ,

  • Agrandir le texte
  • Agrandir le texte
  • Réduire le texte
  • Réduire le texte
  • Envoyez l'article à un ami
  • Imprimez l'article
  • Flux RSS
  • Partager l'article sur Facebook
  • Partager l'article sur Twitter
77 % des entreprises françaises déclarent avoir subi un cas de fraude informatique ces deux dernières années.

Sur les deux dernières années, 77 % des entreprises françaises ont été victimes de fraude informatique. Si la prévention permet en grande partie de faire échouer les tentatives, il convient néanmoins d’envisager le pire en se préparant à affronter la crise.
 

Durant les deux dernières années, 77 % des entreprises françaises déclarent avoir subi un cas de fraude informatique. C’est ce que révèle le dernier baromètre sur les pratiques des entreprises en matière de lutte contre la fraude et la corruption, réalisé par le cabinet Grant Thornton auprès d’un panel de 1.900 entreprises. 

Si la proportion est stable par rapport au précédent baromètre, il convient toutefois de noter qu’elle porte sur les deux dernières années et non sur les cinq dernières comme c’était le cas lors de l’enquête 2015. La fraude est donc plus que jamais une réalité et le rythme des tentatives s’accélère. 

Fraude au président, fraude aux virements, détournement d’actifs, cyber criminalité : la menace est protéiforme mais repose très souvent sur des failles dans le système d’information des entreprises. 

Un enjeu économique 

Quand la fraude impacte l’entreprise, de l’informatique à la production en passant par la supply chain, c’est la pérennité même de cette dernière qui peut-être engagée avec a minima une perte conséquente de chiffre d’affaires. Sans parler du coût financier directement lié à la fraude. « Les coûts financiers pour les entreprises peuvent atteindre des montants exorbitants et représentent un véritable enjeu. 13 % des cas de fraudes avérées ont des conséquences financières d’un montant supérieur à un million d’euros », explique Nicolas Guillaume, associé et directeur de la ligne de services Risk Management de Grant Thornton. 



Il est possible de déjouer la plupart des fraudes


Pour éviter d’en arriver là, « il y a un gros travail de cartographie du risque à faire en amont et surtout de la sensibilisation auprès des salariés. On se rend compte que si l’on sensibilise le personnel aux cas de fraudes potentielles et qu’on les déculpabilise par rapport à ça, on élimine une proportion de fraudes absolument incroyable. À titre d’exemple, 80 % des tentatives de fraude au président échouent », développe Nicolas Guillaume. 

Quand le mal est fait, l’entreprise doit rapidement réagir. « Il faut avoir prévu un véritable schéma de gestion de crise avec une cellule dédiée et un plan de continuité. Il ne s’agit pas d’avoir prévu tous les scénarios mais ceux qui nous concernent vraiment. Il vaut mieux prioriser les risques pour faire les bons investissements que de faire du saupoudrage sur une dizaine de scénarios », conclut Nicolas Guillaume.

Les 4 principales menaces informatiques à surveiller en 2017

Ces dernières années, les cyber attaques ont particulièrement évolué pour devenir de plus en plus sophistiquées. Tour d’horizon des principales menaces en vogue



1. Les logiciels de rançon
 

Les logiciels de rançon sont très en vogue depuis le début de l’année. « Il s’agit de logiciels malveillants qui prennent en otage des données et qui demandent à leur propriétaire d’envoyer de l’argent en échange de la clé qui permettra de déchiffrer les données. Cela représente aujourd’hui environ 80 % des attaques informatiques. Récemment un hôtel de luxe en Autriche en a été victime. Les pirates ont bloqué les portes des chambres de l’hôtel si bien que les clients ne pouvaient plus entrer dans leur chambre. Pour débloquer l’accès, l’hôtel a été contraint de payer la rançon demandée par les pirates informatiques », explique Yannick Bouchet, expert en cyber sécurité et directeur de l’innovation et du développement au sein du Syndicat intercommunal des technologies de l’information pour les Villes (SITIV). 


2. Les attaques par les objets connectés 

La seconde menace à surveiller concerne les attaques de déni de service distribué (DDos) basée sur l’internet des objets.
« On donne l’ordre à un objet connecté de questionner une machine en lui envoyant une multitude de requêtes jusqu’à ce que la machine arrive à saturation et plante. C’est ce qui est arrivé à l’hébergeur OVH qui a subi une attaque de déni de service distribué via 22.000 caméras piratées au niveau mondial. En cela, les objets connectés représentent une grosse faille de sécurité car il s’agit d’un dialogue de machine à machine où l’être humain n’intervient pas », développe Yannick Bouchet. 


3. Le vol de données personnelles 

Le vol de données personnelles n’est pas l’attaque la plus fréquente mais sans doute celle que les entreprises doivent le plus redouter sur le plan économique. Et pour cause, une nouvelle réglementation européenne sur la protection des données, la GDPR, entrera en vigueur en mai 2018.
« Avec cette nouvelle réglementation, les entreprises vont devoir assurer la confidentialité des données personnelles de leurs clients, fournisseurs et salariés. En cas de non-respect et si quelqu’un porte plainte, l’entreprise sera directement responsable et s’exposera à une amende qui pourra atteindre jusqu’à 4 % de son chiffre d’affaires annuel mondial », expose Yannick Bouchet.
Problème, selon un sondage Ipswitch, 52 % des entreprises européennes sondées ne sont pas prêtes à assurer la confidentialité de ses données personnelles. 


4. Les malwares ciblés sur les applications
 

L’essor de la mobilité au travail a fait apparaître un nouveau type de menace : les malwares ciblés sur les applications. De nos jours, les employés nomades utilisent une kyrielle d’applications pour accéder aux ressources de l’entreprise depuis différents terminaux. Un smartphone infecté par un malware peut rapidement ouvrir les portes de l’entreprise aux cyber criminels.
  
  

Réagir à une cyber attaque

Les cyber attaques représentent 13 % des cas de fraudes en entreprise. Une menace non négligeable que les entreprises doivent être en mesure de prévenir mais surtout de guérir.


« La question n’est pas de savoir si l’entreprise sera victime d’une cyber attaque, mais quand », confirme Yannick Bouchet, expert en cyber sécurité et directeur de l’innovation et du développement au sein Syndicat intercommunal des technologies de l’information pour les villes (SITIV). 


Prévoir une cellule de crise
 

Pour éviter de se retrouver complètement déstabilisée par une attaque informatique, l’entreprise doit prévoir en amont une cellule de crise.
Généralement, une cellule de crise dédiée aux cyber attaques et plus largement aux fraudes en entreprise se compose du directeur financier, de la personne en charge du juridique, du responsable du service communication, d’un « risk manager », pour les entreprises d’une certaine taille, et du top management pour prendre les décisions qui s’imposent dans un contexte de gestion de crise.
Cette cellule de crise doit également inclure des experts techniques qui vont réaliser un audit du système d’information, déterminer d’où vient l’attaque, ses conséquences techniques et financières pour donner ainsi au top management toutes les clés pour prendre les bonnes décisions et adapter la communication de l’entreprise vis-à-vis de ses clients et fournisseurs. 


Le plan de reprise d’activité 

Une fois cet audit réalisé, la cellule de crise va devoir activer le plan de reprise d’activité (PRA) défini en amont de la crise.
« L’objectif du PRA est de définir sous combien d’heures on va pouvoir redémarrer les différents pans du système d’information de l’entreprise : la messagerie sous quatre heures, la facturation sous 24 ou 48heures,etc. Certaines entreprises ne peuvent pas rester deux jours sans fonctionner. Dans ce cas, le PRA peut prévoir une reprise d’activité sur toutes les données vieilles de deux jours par exemple. Certes on perd deux jours de données mais au moins on peut reprendre l’activité », développe Yannick Bouchet. 


Prévoir un plan B pour continuer à fonctionner


En parallèle du PRA, la cellule de crise doit aussi activer le plan de continuité d’activité (PCA), qui lui aussi doit avoir été pensé en amont de la crise.
« Le PCA doit permettre à l’entreprise, quelle que soit l’attaque, de fonctionner sur son cœur de business. Si vous êtes un Alibaba ou un Amazon, votre priorité c’est la vente et la livraison. Donc il faut avoir un PCA qui va vous permettre coûte que coûte de continuer l’activité. Sur le reste, vous pouvez vous contenter de faire un PRA », expose Yannick Bouchet.
Et de conclure : « Pour une petite entreprise, un plan de continuité peut coûter facilement 500.000 euros. C’est cher, mais il faut avoir conscience que si l’informatique s’arrête, c’est l’activité de l’entreprise qui risque de s’arrêter également. Au final, cela peut donc coûter encore plus cher pour l’entreprise ». 
  
  

Déjouer une fraude au président

Fraude au président, fraude aux faux virements : pour ne pas devenir la victime d’une usurpation d’identité, il convient de mettre en place des procédures.


La fraude en entreprise peut revêtir des formes diverses et variées. Parmi les menaces les plus sérieuses, on trouve les usurpations d’identité et notamment la désormais célèbre fraude au président. Fraude, qui selon le dernier baromètre de Grant Thornton sur la lutte contre la fraude et la corruption en entreprise, concerne 18 % des fraudes constatées en 2016. 


Comment un pirate opère 

Le principe ? « Un pirate muni d’un téléphone et d’un accès internet va d’abord commencer par se renseigner sur une entreprise. Il va recueillir des informations sur les personnes clés qui travaillent à la trésorerie et aux finances. Une fois ces éléments récupérés, il va se renseigner sur le P-dg de l’entreprise et profiter du départ de ce dernier à l’étranger pour rentrer en contact avec une des personnes de la comptabilité et, via un mail ou par téléphone, pousser ce dernier à réaliser une transaction financière non requise », explique Michaël Bittan, associé responsable des activités de gestion des risques cyber chez Deloitte. 

« En général, le pirate se fait passer pour un conseil du président, son avocat par exemple, et prétexte une opération de croissance externe confidentielle pour demander à son interlocuteur de faire un virement d’un montant généralement significatif. Quand cette opération est bien faite, elle n’est pas déclenchée par hasard et auprès de n’importe qui. Il y a tout un travail en amont d’ingénierie sociale, c’est-à-dire de surveillance sur les réseaux sociaux et internet pour reconstituer l’organigramme de la société et repérer la personne vulnérable : un intérimaire qui remplace la comptable partie en congés maternité par exemple », précise Nicolas Guillaume, associé et directeur de la ligne de services risk management de Grant Thornton. 

Variante de la fraude au président : la fraude aux faux virements. « C’est le même principe sauf que là, le pirate se fait passer pour un fournisseur. Il appelle l’entreprise, explique que la sienne change de système de paiement, va désormais passer par une société d’affacturage par exemple et transmet le nouveau RIB. L’encaissement des factures allant ainsi directement dans les poches du pirate », explique Nicolas Guillaume. 


La parade  : sensibiliser, vérifier et simuler 

Pour éviter de tomber dans le panneau de ces fraudes basées sur des usurpations d’identité, la seule solution est de sensibiliser en amont ses collaborateurs.
« Il faut expliquer à ses équipes ce qu’est une fraude au président ou une fraude aux faux virements. Et surtout leur rappeler que jamais au grand jamais, il ne faut faire un virement sans respecter la procédure. En général, cela suffit à éliminer ce genre de scénario », explique Nicolas Guillaume.
« Il ne faut jamais croire ce que l’on vous dit et toujours vérifier non pas en appelant le numéro indiqué dans le mail mais en allant chercher dans votre système d’information le contact de l’entreprise et de la personne avec qui vous pensez être au bout du fil », ajoute Michaël Bittan. 


La riposte du fraudeur

Attention toutefois à ce que le pirate n’ai pas pris le soin de vous avoir fait changer les coordonnées de votre contact (fournisseur, banque, éditeur de logiciel, etc.) en amont. « C’est malheureusement fréquent. Le fraudeur vous appelle pour changer son numéro de téléphone et son adresse quelques semaines ou mois avant. Tant et si bien que lorsque vous respectez la procédure pour le rappeler, vous tomber sur lui », prévient Nicolas Guillaume.
Même si le changement de coordonnées n’apparaît pas comme une donnée sensible, il peut donc s’avérer quand même utile de prévoir une procédure de confirmation.
  
  

Des algorithmes pour lutter contre les détournements d'actifs

Détournement de chèque par un collaborateur, facture fictive, double paiement d’un salarié, vols de matière première, etc. : le détournement d’actifs pèse pour 29% des fraudes subies par les entreprises.


« L’informatique joue souvent un rôle clé dans le détournement d'actifs, dans la mesure où il laisse une personne avoir accès à différentes sources d’information dans le système d’information et à des droits très étendus. On laisse souvent une même personne passer à la fois une commande, la valider et la payer. Cela ne devrait pas être possible si on respectait des principes de contrôles basiques », argumente Nicolas Guillaume, associé et directeur de la ligne de services risk management de Grant Thornton. 


Des contrôles industrialisés


Si une meilleure ségrégation des droits dans le système d’information peut réduire la fenêtre de tir et le phénomène d’opportunité très présent dans le détournement d’actifs, il existe aussi des solutions technologiques pour réduire le risque et surtout identifier assez rapidement si une fraude est en cours et perdure. Des algorithmes permettent ainsi d’industrialiser les contrôles. Ceux-ci « vont permettre de rechercher dans le système d’information des écritures ou des opérations atypiques : une facture que l’on paie alors que le bon de commande est arrivé après la facture ; une opération qui dépasse les montants habituels… Les algorithmes vont traquer ces opérations bizarres et alerter le management qui va pouvoir ensuite vérifier et valider ou non l’opération », développe Nicolas Guillaume. 


Un préjudice de plus de 10 millions d'euros

Et de poursuivre : « Le détournement d’actifs est le scénario où les montants du préjudice pour l’entreprise sont les plus importants. Cela peut aller de quelques milliers d’euros à plusieurs millions d’euros. Dans notre étude, le cas le plus élevé a atteint plus de 10 millions d’euros ».  Autant donc miser sur les algorithmes pour éviter que la fraude s’installe dans le temps et que la facture ne devienne trop salée.
  
  

Adaptez votre communication

Dans la gestion de crise, l’un des volets fondamental est la communication. Mais qui ne peut pas être la même que lors d'une crise standard.


« Le problème c’est que dans le cas d’une fraude en entreprise et notamment une crise cyber, on ne peut pas communiquer de la même façon de lors d’une crise standard. Quand l’entreprise est victime d’une catastrophe naturelle ou d’un incendie, on doit parler aux médias, rassurer les collaborateurs, les clients et fournisseurs. Là, la communication autour d’une cyber crise est un peu différente car au moment où l’on va prendre la parole, l’attaque peut continuer à grandir. On ne connaît pas l’ampleur des dégâts finaux. Il faut donc faire très attention à ce que l’on va dire ou ne pas dire », explique Michaël Bittan, associé responsable des activités de gestion des risques cyber chez Deloitte.
La communication doit être d’autant plus précautionneuse qu’en matière de système d’information et de cybercriminalité, l’entreprise peut être soumise à des obligations de déclaration.
 

Attention aux réglementations
 
« Il faut faire très attention car dans certains secteurs d’activité comme la défense, la communication doit être très précise et en concordance avec la loi de programmation militaire (LPM). Il faudra aussi bientôt tenir compte de la réglementation européenne sur la protection des données personnelles (GDPR). Il existe aussi des délais de notification sous 72 heures », détaille Michaël Bittan.
Pour accompagner les entreprises dans cette communication de crise un peu particulière, certaines sociétés proposent une offre de cellule de crise clé en main avec des experts en cyber sécurité, des spécialistes de la communication cyber et également de juristes avisés.
  
  

Palmarès des entreprises 2016

Hors-Série Palmares des entreprises - Novembre2015

Hors-Série Ressources humaines - Septembre 2016


Espace abonnementpapier - web - packChoisissez votre formule


Besoin d'aide ?
Numéro Azur : 0810 500 301

Téléchargez le numéro du mois

JDE édition 44 - juin 2012