Le vol d’informations personnelles, cela n’arrive pas qu’aux autres ! Il suffit parfois d’un simple coup de téléphone pour déjouer tous les dispositifs de cybersécurité et dérober des millions d’euros…
Depuis des années, la « fraude au président » a été largement médiatisée, mais les entreprises, faute d’avoir les bons réflexes, continuent de faire les beaux jours des escrocs. Le groupe Pathé en a fait l’amère expérience en mars 2018 : ce sont plus de 19 millions d’euros qui ont été virés sur le compte d’arnaqueurs professionnels par l’ex-directeur financier de la filiale des Pays-Bas (source).
Aux Etats-Unis, le préjudice s’élèverait à 2,3 milliards de dollars entre 2013 et 2016. En France, sur les 6 dernières années, il atteindrait 485 milliards d’euros ! (source)
Mais attention à ne pas croire que seules les grandes organisations sont concernées ! Les PME et les TPE, encore plus fragiles, constituent des cibles de choix pour les fraudeurs.
La meilleure protection : la prévention
Le fonctionnement de cette arnaque est bien rodé et d’une redoutable efficacité :
- Les fraudeurs effectuent un solide travail de préparation en amont pour tout savoir sur leur cible et avoir l’air crédibles.
- Ils jettent alors leur dévolu sur un employé ayant le pouvoir de prendre certaines décisions dans la société (comptable, directeur financier…)
- Ils se font passer pour un dirigeant pour réclamer un ou plusieurs virements bancaires sur un compte basé à l’étranger.
- Pour obtenir gain de cause, ils mettent une vraie pression sur l’employé en mettant en avant la confidentialité de l’opération et son urgence.
- Ils exigent que les communications soient faites exclusivement par e-mail (notamment via une adresse e-mail personnelle créée pour l’occasion).
Après avoir effectué le virement, la victime réalise, bien trop tard, qu’elle s’est fait avoir…
Ce piège est d’autant vicieux qu’il est indétectable par les logiciels de sécurité informatique ! Les escrocs n’ont pas besoin d’élaborer des systèmes de phishing complexes ou des virus sophistiqués, tout repose sur l’humain et sur le manque de formation des collaborateurs.
Il est donc indispensable de mettre en place des actions de prévention !
Un outil utile : le « serious game » sur la fraude au présiden
Pour sensibiliser tous les salariés à cette problématique, Issa France Chapter et la start-up Interopsys ont développé en 2016 un serious game proposant à chaque joueur d’incarner un escroc afin de :
- découvrir les leviers utilisés par les fraudeurs : manipulation, culpabilité, intervention d’un tiers, confusion organisationnelle de l’entreprise, isolement….
- rappeler les bons réflexes en matière de cybersécurité : pas de divulgation d’informations personnelles par téléphone, utilisation d’une solution de chiffrement interne pour les communications sensibles, vigilance en cas d’emails douteux, ….
- anticiper les stratégies des arnaqueurs en faisant l’expérience de toutes les faiblesses qui peuvent être exploitées par des personnes mal intentionnées
L’idée est d’avoir une approche plus pédagogique et plus ludique pour marquer les esprits et bien faire passer le message. Parce qu’il ne faut pas se mentir : la plupart des collaborateurs pensent que la sécurité informatique est un sujet forcément contraignant ou complexe. De plus, ils ne mesurent pas toujours les enjeux liés à leurs propres comportements.
Vous pouvez découvrir ce serious game ici : Saurez-vous détourner des millions en un coup de téléphone ?
Pour aller plus loin, les entreprises peuvent aussi mettre en place des bonne pratiques pour renforcer la cybersécurité dans l’entreprise : envoyer un email pour expliquer qu’il n’y aura jamais d’ordre direct confidentiel concernant une opération de rachat, nommer des référents pour les opérations exceptionnelles, instaurer l’obligation d’une double signature, séparer les tâches (une personne valide le paiement, une autre l’effectue), exiger une vérification systématique auprès des signatures, rassurer les employés en valorisant le principe de précaution et de vérification…
L’avis de Laurent Brault de MDK Solutions
La fraude au Président est une escroquerie majeure qui est complètement basée sur le « maillon faible »: l’être humain. C’est pour cela qu’elle est aussi efficace ! Heureusement, c’est sûrement la fraude la plus simple à éviter. Il n’y a pas besoin de super logiciel, il suffit simplement que tous les intervenants de l’entreprise adoptent un comportement de « sécurité numérique ».
D’où l’importance de la présenter en interne et de réaliser des séances de sensibilisation afin d’apprendre aux collaborateurs à adopter naturellement les bons réflexes !
Dans ce contexte, le concept d’un « serious game » est intéressant, mais l’idée de faire ouvrir des pièces jointes sur un lien pouvant être « suspect » est contradictoire avec le comportement recherché. Il ne faudrait pas ajouter de la confusion et diffuser un mauvais message ! La solution est donc d’encadrer chaque séance de « jeu » en les proposant lors de sessions de formation. Le caractère « sain » des pièces jointes ne fera ainsi aucun doute dans l’esprit des joueurs.