Société générale, un webinaire sur la cybercriminalité
Les entreprises sont de plus en plus victimes d’attaques de cybercriminels. En France, pas moins de sept entreprises sur dix ont subi au moins une tentative de fraude en 2018, avec des conséquences souvent dramatiques : 13% de celles qui ont été attaquées ont subi un préjudice supérieur à 100 000 euros. D’où la nécessité de mieux sécuriser ses transactions bancaires et de se protéger de la cybercriminalité. Le 5 novembre dernier, le centre d’affaires Société générale de Compiègne organisait le webinaire "Fraudes bancaires et cybercriminalité : les connaître et s’en protéger avec des solutions adaptées", pour sensibiliser et informer les entreprises Hauts-de-France Sud.
Aujourd’hui, le chiffre d’affaires mondial évalué de la cybercriminalité tourne autour des 600 milliards d’euros (une activité qui a dépassé depuis 2006 celle du trafic de drogue). 80% des entreprises en France déclarent avoir été victime d’une attaque dans l’année, les 20% restants l’ont été, mais ne le savent pas ou pas encore. Et les TPE, PME, collectivités et associations ne sont pas épargnées par la cybercriminalité, des cibles moins rentables mais plus faciles à atteindre parce que souvent moins sécurisées que les grands groupes.
Des experts de la fraude
L’expert en cybercriminalité au sein du groupe Société générale qui assure la sécurité des portails de banque à distance, a dressé une typologie des fraudeurs : « Ce sont des bandes organisées, des entreprises criminelles avec des têtes de réseau et des spécialistes à chaque étape de la fraude. Ils collectent de l’information, pour présenter une demande qui paraisse légitime, leur première source, c’est le site Internet de l’entreprise. Viennent ensuite les moteurs de recherche, les réseaux sociaux, les premiers contacts avec l’entreprise, via des appels anodins pour mieux en comprendre l’organisation interne et Infogreffe pour récupérer les comptes et savoir quelle somme demander pour que l’opération soit plausible. »
Commence alors l’attaque par ingénierie sociale, une forme de délinquance “astucieuse” qui consiste à manipuler une personne en lui faisant croire qu’elle a affaire à un interlocuteur légitime en vue de lui faire réaliser une action, le plus souvent un virement. « Ce sont des attaques assez longues à mettre en place mais qui rapportent beaucoup au fraudeur, avec des conséquences financières importantes, voire des licenciements et faillites », note l’expert. Objectif : que la personne ciblée dans l’entreprise soit isolée, ne prenne pas de recul sur la situation et ne communique pas avec ses collègues, « on appelle ça le tunnel psychologique de la fraude ». Si le plan échoue, le cybercriminel se rabat généralement sur une autre cible de l’entreprise.
Outils légaux
Parmi les autres outils utilisés par les fraudeurs pour attaquer les entreprises : le téléphone et le fax, qui leur permettent d’orchestrer depuis un pays à la législation plus souple, ou avec lequel la France n’a pas d’accord judiciaire, et sans possibilité pour l’entreprise de remonter jusqu’à la source de l’appel. « Les fraudeurs utilisent également des outils légaux, à mauvais escient, comme l’e-mail, le téléphone/ fax ou le sms avec usurpation d’identité, facilement réalisable via des outils que l’on trouve sur Internet. La prise de main à distance est aussi appréciée des cybercriminels, lorsqu’on donne la main à un technicien sur son poste, il faut rester vigilant », observe l’expert. « On estime que le phishing est à l’origine de 90% des attaques cybercriminelles, c’est grâce à lui que les pirates mettent un pied dans l’entreprise ou qu’ils récupèrent des informations essentielles pour une attaque ultérieure », complète David Prache, co-fondateur d’Oppens, filiale de la Société Générale spécialisée en cybercriminalité.
Pour se protéger, l’entreprise dispose de plusieurs leviers : créer une culture risque en sensibilisant ses collaborateurs, respecter les procédures opérationnelles, réaliser de fréquents contrôles, être vigilante sur la nature des informations diffusées en lignes, assurer la sécurité du système d’information avec des anti-virus professionnels, imposer une gestion rigoureuse des mots de passe, mettre à jour l’ensemble des logiciels, sauvegarder régulièrement les données. Des points de vigilance essentiels lorsque l’on sait que pendant le premier confinement, les cyberattaques ont augmenté de 400% (source : cybermalveillance.gouv.fr).
Les principales fraudes à connaître
- La fraude au président : il s’agit d’usurper l’identité du dirigeant pour exiger d’un collaborateur qu’il effectue un virement ne respectant pas les procédures internes, sous prétexte d’urgence et confidentialité.
- Faux test de virement : l’usurpateur se présente comme appartenant au service informatique d’une banque ou d’un éditeur, et invoque des tests de compatibilité avec l’entreprise cliente pour demander à la victime d’effectuer un virement bancaire, voire pour prendre la main sur l’ordinateur.
- Fraude aux changements de coordonnées bancaires : elle consiste à prétendre d’un changement de coordonnées bancaires pour que la victime effectue un virement sur le compte du fraudeur.
- Les malwares : installation d’un logiciel malveillant, comme le cheval de Troye qui permet d’accéder au poste de travail de la victime.
- Phishing : la technique consiste à soutirer des informations confidentielles via un faux site ou faux mail en se faisant passer pour un organisme de confiance.