FRAUDE EN ENTREPRISE : LES PATRONS INQUIETS FACE À LA MENACE GRANDISSANTE
Pour six entreprises sur dix, la lutte contre la fraude n’est pas une priorité. Le chiffre peut paraître étonnant quand on imagine l’impact que peut avoir la fraude sur l’activité d’une société. Pour six entreprises sur dix interrogées, la lutte contre la fraude n’est pas une priorité selon une enquête du cabinet Euler-Hermes réalisée pour la DFCG, l’association des directeurs financiers et contrôleurs de gestion. Il s’agit de fraudes à travers la cybercriminalité, l’usurpation d’identité, mais aussi, de plus en plus, la fraude aux faux fournisseurs, aux faux clients et… aux faux présidents. Nous avons entendu parler de plusieurs affaires de ce genre récemment : un escroc qui se fait passer pour le patron d’une société. Il parvient à détourner le mail du vrai patron et envoie un message à son directeur financier pour que celui-ci vire une somme d’argent. En confiance, le salarié, s’exécute… et il est trop tard. Il y a aussi ce que l’on appelle le « ransomware » (ou rançongiciel), c’est à dire une demande de rançon via le blocage de serveurs ou de données. Plus personne n’est à l’abri Selon Euler-Hermes, une entreprise sur cinq a été visée par plus de dix tentatives de fraude l’année dernière. Nous étions à une pour dix en 2017. Plus personne n’est à l’abri, sauf à se protéger. Mais, et c’est le deuxième enseignement de cette étude, les chefs d’entreprises sont inquiets. Ils sont conscients que la menace est de plus en plus grande. Pour autant, ils n’investissent pas pour s’en prémunir puisque six entreprises sur dix n’ont toujours pas engagé de budget alloué à la lutte contre ce fléau. Une entreprise sur deux n’a pas de dispositif d’urgence à déclencher en cas d’attaque. Investir a un coût Il ne suffit pas d’investir systématiquement dans des options très coûteuses. L’entrepreneur peut commencer par un audit de sécurité de ses services informatiques (de plus en plus d’entreprises y recourent), ou alors il peut engager des opérations de sensibilisation et de formation. Et puis, comme l’explique Bruno de Laigue, le président de la DFCG, les entreprises doivent faire preuve de bon sens. Il faut donc être discrets et renforcer la collaboration entre les directeurs des affaires financières et les directeurs des services informatiques. Chacun vit trop dans son monde, tous ne se parlent pas suffisamment. Il faut aussi prendre conscience que « cela n’arrive pas qu’aux autres ». Tous les types d’entreprises sont concernés : TPE, PME, ETI, grands groupes… avec un impact important sur les trésoreries et l’image. Victime d’une telle attaque en 2017, le groupe Saint Gobain a perdu, en quelques heures, 220 millions d’euros. Altran, récemment victime d’une demande de rançon, a vu son cours de bourse affecté. C’est toujours très difficile de remonter la pente ensuite. Source : France TV Info Pour en savoir plus, contactez nos services
LA DÉLINQUANCE ÉCONOMIQUE ET FINANCIÈRE EN PLEIN BOOM
Un duo de députés, Ugo Bernalicis (FI) et Jacques Maire (LREM), vient de présenter un état des lieux de la délinquance économique et financière en France. Au-delà de ses propositions, très pointues, le document présente un état des lieux inédit de la structure et de la dynamique de ce type de délits en France. Instructif. Au pays des arnaques Comme souvent lorsque l’on s’intéresse aux comportements déviants, entre faux, arnaques, contrefaçons, travail clandestin, fraude fiscale et autres abus de bien social, il n’est pas évident de trouver des statistiques fiables. Les deux rapporteurs ont donc pris soin de présenter les sources disponibles. Il y en a trois : le ministère de l’Intérieur, le ministère de la Justice et une enquête de victimation menée par l’Insee. Conclusion : « quelles que soient les sources, la tendance dégagée est un accroissement du phénomène », constate le rapport. Les données les plus faciles à utiliser sont celles du ministère de l’Intérieur : elles montrent un accroissement des actes de délinquance économique et financière de 19,8 % entre 2013 et 2018. Au pays des fraudes, les possibilités sont diverses, mais deux catégories ressortent nettement : les arnaques et les fraudes aux moyens de paiement. Les premières représentent plus de la moitié du total des 409 000 infractions répertoriées en 2018 et les secondes un tiers. Dans le questionnaire de l’Insee sur « Cadre de vie et sécurité », une question a été incluse pour la première fois en 2018 sur les arnaques : 3,3 % des Français ont déclaré en avoir été victimes en 2017 et 15 millions, soit 30 % de la population, au moins une fois au cours de leur vie. Les plus courantes ne correspondent pas à des grandes escroqueries à la Madoff, elles sont bien plus banales que cela. Elles consistent à ne pas fournir les produits ou services achetés (36 %) ou bien à les proposer en qualité ou quantité moindres que promis (16 %) ou bien avec des frais supplémentaires (14 %). Par ailleurs, 4,3 % des ménages disposant d’un compte en banque ont subi une escroquerie bancaire. Le nombre de personnes ayant subi des débits frauduleux sur leur compte bancaire a ainsi été multiplié par 2,5 entre 2010 et 2017. Source : Alternatives Economiques Pour en savoir plus, contactez nos services
LA DOUBLE ADMINISTRATION : LA SÉPARATION DES TÂCHES DANS L’ADMINISTRATION DE SON LOGICIEL
La sécurisation du processus de gestion dans l’entreprise passe par la séparation des tâches. Une séparation généralement appliquée uniquement à la gestion courante et pourtant, il faut l’envisager au-delà de ce périmètre en l’étendant à l’administration du logiciel de gestion. Comment et pour quelles raisons ? Notre expert Sylvain KAM vous en donne tous les détails. La séparation des tâches et l’administration Aujourd’hui, la séparation des tâches prévaut pour les tâches de gestion courantes comme la création ou la modification des fournisseurs, l’émission de règlements ou le suivi des factures. On parle beaucoup plus rarement de séparation des tâches dans l’administration de son logiciel de gestion, que ce soit pour la création d’utilisateurs, la modification de permissions, ou pour toute autre modification de paramétrage. Pourtant, c’est ici aussi que se joue une part importante de la sécurité de ses processus de gestion. La complexité du choix d’un administrateur tout puissant Dans la majorité des applications de gestion, il est possible de gérer finement les permissions de chaque utilisateur. Mais cela suppose un profil administrateur en charge de l’attribution ou de la modification de ces droits. Un profil qui, de facto, a la possibilité de s’accorder à lui-même l’ensemble des permissions sur le logiciel. Le choix de la personne, ou des personnes, à qui attribuer ce profil est donc toujours une question cruciale et difficile. Doit-on plutôt déléguer ce profil au service informatique ? Très disponible mais ne comprenant pas tous les enjeux fonctionnels de l’ouverture de tel ou tel droit. Ou à un responsable hiérarchique ? Qui lui n’aura sans doute pas la disponibilité nécessaire. En qui placer une confiance absolue ? Un choix délicat qui ne doit idéalement pas reposer sur une seule tête. Ces questions se posent de manière encore plus péremptoire dans une application comme Mata I/O Bank Suite, dont l’une des principales fonctionnalités est le contrôle et la sécurisation de la chaine de règlement de l’entreprise. Ne pas faire de la double-administration un casse-tête La double-administration c’est l’obligation d’associer au moins deux utilisateurs à toutes les tâches d’administration logicielle. Elle permet donc de déléguer des tâches de paramétrage tout en assurant la sécurité, car un utilisateur aura besoin de l’aval de l’autre, pour effectuer des modifications de paramétrage. Le défi de ce mode de gestion des permissions utilisateurs, est de conserver un système simple et souple. Il ne faut pas, par exemple, qu’un utilisateur ait à se déplacer, ou communiquer des codes par téléphone, ou e-mail. Exemple : Laure a besoin de paramétrer un nouveau chemin de dépôt des fichiers de règlement sur le réseau. Elle est en double-administration avec Martin pour tout ce concerne le paramétrage du logiciel. Dans un système de double administration classique, Laure va devoir joindre Martin, très peu disponible, pour lui expliquer son besoin. Quant à Martin, dès lors qu’il sera informé, il va devoir se déplacer chez Laure pour taper son mot de passe dans une seconde étape d’authentification. Beaucoup de temps et d’efforts pour un paramétrage assez simple et banal, somme toute. La suite Mata I/O Bank Suite prend en considération ces éventualités et permet d’éviter toute perte de temps inutile. La double-administration dans Mata I/O Bank Suite La double-administration a fait son apparition dans Mata I/O Bank Suite 5.6, c’est une option facultative pour chaque paramétrage sensible de l’application. Elle est souple car elle inclut des notifications e-mail automatisées et la possibilité d’accorder l’accès à distance. En reprenant l’exemple précédent : Laure tente d’accéder au paramétrage des chemins de dépôt des fichiers. Ce paramétrage nécessite que l’accès de Laure soit confirmé par Martin. Lorsque Laure va vouloir accéder à la fonction, Mata I/O va lui afficher un message lui proposant de créer automatiquement une demande d’accès, en exigeant un motif qui sera conservé. Suite à la création de cette demande, un e-mail est automatiquement envoyé à Martin l’invitant à prendre connaissance et à valider la demande d’accès de Laure. Martin a jusqu’à 24h pour valider cette demande. Il peut le faire directement depuis son poste, par exemple dans la version Web de Mata I/O. Dès lors, Laure sera à son tour notifiée du retour de Martin et pourra accéder à la fonction. Une administration sûre qui vous garantit la séparation des tâches tout en conservant l’efficacité et la souplesse nécessaire au bon fonctionnement des services.
ESCROQUERIES AU “FAUX PRÉSIDENT”… LA PJ DE LILLE EXPLIQUE COMMENT S’EN PRÉMUNIR
Après l’escroquerie à 800 000 euros dont a été victime le département du Nord, la Police judiciaire a lancé une campagne de prévention. Ce n’est pas vraiment leur mission, mais face à l’ampleur des sommes volées, il a fallu agir… et surtout prévenir: la brigade financière de la Police judiciaire de Lille met en garde les entreprises, quelle que soit leur taille, contre les escroqueries aux fausses factures et aux faux ordres de virement. C’est ce dont a été victime le département du Nord au mois d’août : un escroc s’est fait passer, vrais documents et informations crédibles à l’appui, pour le comptable d’une société de BTP chargée du contournement nord de Valenciennes et a établi au fil des appels une relation de confiance avant de se faire payer une fausse facture de 800 000 euros. La supercherie n’a été révélée qu’en septembr,e lorsque la véritable entreprise de BTP a fourni la vraie facture. Mais ces escroqueries peuvent aussi concerner des entreprises de toutes tailles. Selon la PJ, elles « ont généré un préjudice global d‘environ 300 millions d’euros pour les faits commis et 500 millions d’euros pour les faits tentés« , ces dernières années. Souvent basés à l’étranger (en Israël dans le cas du département du Nord), les escrocs se renseignent d’abord par mail et par téléphone pour collecter le plus d’informations possibles sur l’entreprise, puis lancent l’opération sur les personnes capables d’opérer ces vrement en prétextant « une opération d’importance capitale et confidentielle, afin d’abuser l’interlocuteur et obtenir un ou plusieurs virements internationaux« . Les policiers en distinguent plusieurs types : Escroqueries au « faux président » : avec la complicité d’un prétendu cabinet d’avocats ou de notaire, l’escroc se fait passer pour un des dirigeants d’une société L’escroquerie au « changement de RIB » : l’escroc prétend être un représentant du bailleur ou un de ses fournisseurs, indique un changement de coordonnées bancaires et demande à ce que le virement soit réalisé vers un autre pays, en prétextant une délocalisation à l’étranger. L’escroquerie « au virement SEPA, à l’informatique » : l’escroc se fait passer pour un technicien et demande à ce qu’on lui confie l’identifiant et le mot de passe pour effectuer des virements tests. Il peut également envoyer un mail accompagné d’une pièce jointe dans laquelle se trouve un logiciel prenant le contrôle de l’ordinateur pour voler ces informations confidentielles. Comment s’en prémunir ? Plusieurs indices doivent vous mettre la puce à l’oreille. La demande est généralement urgente et confidentielle, et l’escroc se montre souvent très affable, utilise la flatterie ou la menace pour manipuler son interlocuteur. Il multiplie également les détails sur l’entreprise, son personnel et son environnement pour brouiller les pistes. Pour ne pas faciliter le travail des escrocs, la PJ recommande : De ne pas communiquer d’informations qui pourraient leur servir, telles que les noms des managers, des chefs de division, des personnes en charge du paiement des fournisseur,s mais aussi les techniques de règlement, la liste des fournisseurs, etc. De sensibiliser le personnel susceptible d’être contacté, mais aussi les partenaire (banque, cabinet d’avocats, fournisseurs… De se renseigner via la presse, la communication des pouvoirs publics ou les associations professionnelles sur l’évolution des pratiques d’escroquerie De faire preuve de bon sens et de faire attention aux demandes inhabituelles ou illogiques, ainsi que de résister aux tentatives d’intimidation. Si le mal a déjà été fait et si le virement est déjà exécuté, de faire un compte-rendu de l’événement à sa hiérarchie, demander à la banque le retour des fonds et déposer plainte en apportant un maximum d’éléments. Source : https://france3-regions.francetvinfo.fr/hauts-de-france/nord-0/lille/escroqueries-aux-fausses-factures-pj-lille-explique-comment-s-premunir-1552932.html Pour en savoir plus, contactez nos services
ALLIANZ – SE PROTÉGER DES CYBERATTAQUES : UN ENJEU VITAL POUR LES ENTREPRISES
Les cyberattaques deviennent de plus en plus complexes avec des répercussions parfois catastrophiques : atteinte à l’image, paralysie des infrastructures, conséquences économiques et financières… Devant la multiplication des attaques, les entreprises prennent conscience de ce risque stratégique, mais certaines sont encore insuffisamment préparées. Une récente étude de PWC a montré que 4.165 cyberattaques ont été détectées en France pour un montant moyen de pertes financières estimé à 1,5 million d’euros. Les principaux cyber risques en entreprise La motivation des cyber attaquants n’est pas seulement financière. Hacker, cracker, militant, fraudeur externe ou interne, espion… Les profils des malfaiteurs sont multiples et les intentions variées. Déstabilisation Prise de contrôle du système d’information, divulgation de données, défiguration de sites : les attaques de déstabilisation visent à nuire à l’image de l’entreprise. Espionnage Conduit par des groupes structurés, l’espionnage a pour but de capter de l’information stratégique. Il est par principe discret et l’entreprise peut s’en rendre compte très tardivement. Sabotage Il vise à rendre inopérant tout ou partie d’un système d’information via une attaque informatique. Il provoque une désorganisation plus ou moins coûteuse à réparer. La cyber criminalité Le « rançongiciel » (ou ransomware) introduit sur l’ordinateur de la victime un logiciel malveillant qui chiffre ses données et demande une rançon en échange du mot de passe de déchiffrement. Surtout ne jamais payer ! Autre technique, le « hameçonnage » (ou phishing) consiste à demander via un courriel d’apparence légitime, les coordonnées bancaires ou les identifiants de connexion à des services financiers, afin de dérober de l’argent… 10 règles simples pour limiter les risques d’attaque informatique Choisir des mots de passe complexes : 12 caractères (composés de majuscules, minuscules, chiffres, caractères spéciaux) sans lien avec ses noms, date de naissance… et différent pour chaque accès Mettre à jour régulièrement logiciels et système d’exploitation : navigateur, antivirus, bureautique, pare-feu Effectuer des sauvegardes fréquentes : quotidiennes de préférence ou hebdomadaires, sur des supports ou systèmes distincts de votre système d’information Se méfier du WI-FI : sécuriser l’accès au WI-FI de l’entreprise et éviter de se connecter au WI-FI public à l’extérieur, non sécurisé Séparer compte « utilisateur » et compte « administrateur » : n’ouvrir que des comptes utilisateurs aux salariés Ne pas mélanger personnel et professionnel : ne pas utiliser de clés USB ou disques durs externes personnels sur un terminal professionnel et inversement Ne jamais ouvrir les mails douteux : ne pas cliquer sur une pièce jointe, liens ou messages d’un expéditeur inconnu sans vérifier sa provenance Naviguer sur des sites officiels : privilégier la saisie de l’adresse du site dans la barre d’adresse du navigateur Rester prudent lors des déplacements : se limiter aux données nécessaires à la mission, surtout à l’étranger Être aussi prudent avec les smartphones, tablettes, objets connectés moins bien sécurisés que les ordinateurs Votre entreprise est victime d’une attaque, comment réagir ? Déconnecter les machines compromises du réseau sans les éteindre Alerter immédiatement le responsable sécurité SI ou le prestataire informatique disposant du label CERT-FR (centre gouvernemental de veille, d’alerte et de réponse aux attaques informatiques) Sauvegarder les fichiers importants sur des supports de données isolés Porter plainte auprès d’un service de Police ou de Gendarmerie Réinstaller entièrement le système d’exploitation et appliquer tous les correctifs de sécurité avant de le reconnecter Source : https://www.allianz.fr/assurances-professionnels-entreprises/allianz-et-moi/conseils-pratiques/cyber-risques/ Pour en savoir plus, contactez nos services
COMMENT LES CYBERATTAQUES IMPACTENT L’ACTIVITÉ DES ENTREPRISES
Phishing, malwares, « attaque au président »… 8 entreprises sur 10 ont subi des cyberattaques ces douze derniers mois, selon un sondage OpinionWay pour le Cesin. Le Cesin (Club des experts de la sécurité de l’information et du numérique) publie la 4e édition de son baromètre de la cybersécurité des entreprises en France. 174 membres, dont 84% de RSSI de grandes sociétés et administrations, ont été interrogés. Selon le sondage OpinionWay pour le Cesin, 80% des organisations ont été la cible d’une ou plusieurs cyberattaques au cours des douze derniers mois. Malgré ce taux élevé, le nombre d’attaques est resté stable par rapport à l’an dernier pour une majorité (53%). En revanche, la proportion d’entreprises déclarant un impact négatif sur leur activité a augmenté de 10 points à 59%. Le ralentissement de la production (pour 26% des organisations visées) et l’indisponibilité temporaire d’un site web (23%) sont les effets des cyberattaques sur « le business » les plus souvent cités. Les retards de livraison (12%), la perte de chiffre d’affaires (11%) et l’arrêt de la prodution « pendant une période significative » (9%) arrivent ensuite. HARPONNAGE ET INGÉNIERIE SOCIALE Les entreprises visées ont été la cible de cinq types différents d’attaques en moyenne en douze mois. Le phishing (hameçonnage) ou spear phishing (harponnage) est le type d’attaque le plus souvent constaté (73%). Les cyber-escrocs utilisent donc encore largement l’email ou tout site web contrefait pour obtenir et détourner des données personnelles à l’insu d’individus et de corporations. Les escrocs peuvent également cibler spécifiquement des personnes dans l’entreprise et se faire passer pour un dirigeant afin d’obtenir un virement bancaire. Cette « arnaque au président » est citée par 50% du panel. Elle devance ainsi les attaques par logiciels malveillants (malwares) et rançongiciels (ransomwares) (44% des reponses respectivement). Suivent les techniques d’ingénierie sociale utilisées pour tromper le chaland (40%). CLOUD, IA, IOT Le partage accidentel ou intentionnel de données sensibles n’est pas le seul gros risque à gérer pour les RSSI. LeShadow IT l’est aussi. Ainsi, les professionnels de la sécurité des systèmes d’information s’inquiètent également de la diffusion de services cloud hors contrôle de l’IT et de l’utilisation d’applications non approuvées (64%). En outre, 80% des RSSI estiment que la sécurisation des données stockées dans le cloud requiert des solutions spécifiques en plus des outils fournis par des prestataires. Ils s’intéressent aussi aux solutions de protection ou de détection basées sur l’intelligence artificielle (IA). 56% déclarent que de telles solutions sont déjà déployées et en production. 33% envisagent de le faire. Toutefois, lorsqu’il est question de décision et de remédiation, 55% des répondants estiment que l’IA ne doit pas décider à la place de l’humain. Les RSSI qui redoutent de nouvelles failles liées à l’Internet des objets (IoT) en entreprise, veulent donc garder le contrôle. 5% DU BUDGET IT Qu’en est-il des budgets alloués pour gérer le risque ? Dans 59% des entreprises interrogées, la sécurité représente moins de 5% du budget IT. Toutefois, près de 6 organisations sur 10 prévoient d’augmenter les budgets alloués à la protection des cyber risques dans les mois à venir. Par ailleurs, 84% des entreprises souhaitent acquérir de nouvelles solutions techniques (84%) dans ce domaine. Enfin, une entreprise sur deux envisage d’augmenter les effectifs dédiés. Mais la pénurie de profils en sécurité freine les recrutements pour 91% des répondants. Source : https://www.cesin.fr/article-cybersecurite-comment-les-cyberattaques-impactent-lactivite-des-entreprises-siliconfr.html Pour en savoir plus, contactez nos services
COMMENT ÉVITER LES FAUX ORDRES DE VIREMENTS INTERNATIONAUX (FOVI) ?
Les FOVI (Faux Ordres de Virement) communément appelés « arnaques au président » sont des attaques très ciblées qui consistent, par de manœuvres frauduleuses, à obtenir de la part d’une entreprise victime un virement bancaire indu sur des comptes étrangers et portant généralement sur des sommes importantes. Les FOVI, qu’est-ce que c’est ? Sous leur forme utilisée de nos jours, les arnaques par FOVI s’effectuent par l’envoi de messages électroniques ou par appels téléphoniques. L’arnaqueur demande à l’entreprise d’effectuer un virement en urgence sur un compte généralement à l’étranger. Et ce, sous prétexte d’une opération confidentielle, mais cruciale pour l’entreprise. Étape 1 : social engineering L’arnaqueur constitue d’abord l’ingénierie sociale de l’entreprise cible. Il achète par internet, auprès d’organismes tels qu’Infogreffe, les informations pertinentes sur l’entreprise (extrait K-bis, procès-verbaux d’assemblée générale, endettement, comptes annuels, etc.). Il effectue ensuite une recherche internet complète sur l’entreprise à savoir l’effectif du personnel, le logo, les dossiers profils sociaux des dirigeants, parfois même « le mot du directeur ». Tout ceci lui donne une vision complète de l’entreprise, son langage et son fonctionnement. Étape 2 : arnaque proprement dite Suffisamment renseigné, l’escroc se fait alors passer pour le président ou l’un des dirigeants de l’entreprise. Dans ses messages électroniques ou appels téléphoniques, il va insister sur le caractère confidentiel et crucial du virement pour l’entreprise. Ainsi faisant, il va presser les assistants de direction et les secrétaires comptables à agir avec promptitude et diligence et à suivre ses instructions. Notez que vous pouvez prévenir ce genre d’arnaque par la mise en place de logiciels antispam, anti-ransomware externalisés tels que Altospam. Il peut aussi procéder en justifiant cette demande inhabituelle par la réalisation d’une opération boursière, l’imminence d’un contrôle fiscal, et utilise des stratagèmes psychologiques tels que la flatterie ou la menace. Le FOVI « classique » Supplanté depuis 2011 par les autres modes de FOVI, il reste toutefois d’actualité. Ces faux ordres de virement, apposés de la signature usurpée du dirigeant d’une entreprise, sont adressés par courrier ou par fax, à la banque de l’entreprise visée. Pour ne pas trop attirer l’attention des banquiers qui les reçoivent, ils portent généralement sur des sommes inférieures à 10 000 €. Dans un premier temps, un individu soi-disant dirigeant de l’entreprise téléphone à la banque pour faire état du changement du numéro de téléphone de sa société. Puis, quelques jours plus tard, il transmet à la banque, un (faux) ordre de virement traditionnel. Le banquier fait généralement un contre-appel, afin de vérifier l’effectivité de la demande de transfert de fonds. Son interlocuteur, qui est en fait l’escroc lui-même ou un complice, lui confirme alors l’ordre de virement. Le taux de réussite de ce type de FOVI est devenu faible. En effet, les banquiers connaissent généralement bien leurs clients et sont sensibilisés régulièrement sur les différents modes opératoires utilisés par les escrocs, par l’Office Central pour la Répression de la Grande Délinquance Financière. Vous pouvez bien sûr en savoir plus sur l’OGRGDF et ses attributions. Le FOVI par « mail-phishing », à la nigériane Dans ce type d’escroquerie, les auteurs, agissant à partir de l’Afrique subsaharienne, interfèrent exclusivement par un courrier électronique (jamais par téléphone), dans une transaction en cours entre une entreprise française et son fournisseur asiatique. Voici deux cas d’escroquerie vécue par des entreprises locales. Cas d’une entreprise spécialisée dans le domaine de la puériculture Le 6 août 2013, une S.A.S. clermontoise recevait un mail à entête de l’un de ses sous-traitants à Taiwan, l’informant que, suite à des dysfonctionnements bancaires, le paiement de la prochaine facture, qui en l’occurrence s’élevait à 94 213 $, devrait s’effectuer au bénéfice d’un nouveau compte bancaire « plus sécurisé », ouvert au nom d’une société britannique, à la Barclay’s Bank en Grande-Bretagne. Dès le lendemain, la facture était réglée par virement vers ce nouveau compte. Douze jours plus tard, le dirigeant de la S.A.S. clermontoise apprenait que son vrai partenaire asiatique n’avait aucunement changé de compte bancaire et qu’il attendait toujours les 94 213 $ qui lui étaient dus. L’auteur de cette escroquerie, qui avaient clairement connaissance des rapports commerciaux habituels entre la société clermontoise et son sous-traitant à Taïwan, avait utilisé une adresse mail identique, à une lettre près, de la véritable adresse de la société asiatique. Par ailleurs, l’entête et la signature électronique du mail frauduleux étaient conformes, mais la police d’écriture utilisée pour le corps du message était différente de celle utilisée habituellement par le fournisseur. Cas d’une entreprise spécialisée dans les semences Le 1er octobre 2013, la comptable de la société anonyme auvergnate recevait sur sa messagerie professionnelle, un courriel dont le texte était le suivant : « Bonjour. Merci d’établir le règlement de la facture ci-jointe immédiatement. Veuillez vous mettre en contact avec Mr Olivier Lefébure, de l’Autorité des Marchés Financiers, pour la remise des coordonnées bancaires. Merci pour votre rapidité dans la transaction financière en cours. Afin de conserver toute discrétion (AMF), merci de ne pas répondre à ce mail. » Coordonnées : lefebure.amf@mail.com. Le PDG. Les trois « ingrédients » des FOVI se retrouvent dans ce mail : L’autorité (en l’occurrence des Marchés Financiers, mais aussi celle du PDG) ; L’urgence ; La confidentialité. S’agissant d’une société régulièrement visée par ce genre d’attaque, la comptable avait été sensibilisée sur le fléau. Elle n’a donc pas donné suite au mail frauduleux et a de suite avisé son service juridique. Le vrai PDG a déposé plainte pour tentative d’escroquerie et pour usurpation de son identité. L’escroquerie « au président » Cette technique est de loin la plus redoutable. Elle est à l’origine de tous les virements frauduleux supérieurs au million d’euros et n’est pas accessible à tous les arnaqueurs. En effet, elle requiert une autorité naturelle, un certain aplomb et, il faut bien le reconnaître, un don pour la comédie. Apparue en 2011, elle a permis à des escrocs d’origine franco-israélienne de faire partir vers différents pays et principalement la Chine, des sommes d’argent comprises entre 50.000 et 14.000.000 €, en fonction de la taille de l’entreprise visée. Très rapidement, ces sommes sont rapatriées en Israël. Dans ce type d’arnaque, l’escroc s’adresse par téléphone, à un employé du service comptabilité ou trésorerie d’une entreprise, généralement en se faisant
BERCY VEUT AIDER LES ENTREPRISES À LUTTER CONTRE LA FRAUDE AUX EMAILS PAR LE FIGARO
Pour éviter les tentatives de hameçonnage, le ministère de l’Économie et des Finances lance plusieurs outils pour sécuriser les emails envoyés par les entreprises. Parmi eux, un service de vérification des domaines de messagerie. L’année dernière, le service de sécurité des systèmes informatiques de Bercy avait envoyé un faux email frauduleux à ses agents. Le but: vérifier s’ils étaient suffisamment attentifs pour ne pas céder aux sirènes du hameçonnage, une technique de piratage informatique qui consiste à se faire passer pour une organisation ou une personne, et d’inciter un internaute à cliquer sur un lien véreux. Les résultats furent éloquents. Sur 145.000 personnes ayant reçu le message, qui promettait des places de cinéma gratuites, plus de 30.000 ont cliqué sur le lien. Une prise de conscience Les employés du ministère de l’Économie ne sont pas les seuls à se laisser avoir par ce phénomène. En 2017, une entreprise française sur trois a subi une fraude informatique avérée, d’après une étude réalisée par Euler Hermes, pour le compte de l’association nationale des Directeurs Financiers et des Contrôles de Gestion. Il s’agit souvent d’usurpations d’identité, sous la forme d’emails envoyés par des fausses banques, fournisseurs, avocats, etc… faisant peser un risque sur les données des entreprises. À l’occasion du «Cyberoctobre», la campagne annuelle du gouvernement pour le mois de la cybersécurité, Bercy fait une série d’annonces pour aider les entreprises à améliorer leurs pratiques en la matière. Parmi elles, la mise en place d’un service de vérification des domaines de messagerie, qui signale leur niveau de sécurité et donc la possibilité qu’ils soient utilisés pour des emails de contrefaçon. Chaque nom de domaine (ce qui se trouve derrière le «@» d’une adresse mail) se voit attribuer une note, de E à A++, selon plusieurs critères techniques (présence des normes de sécurité DKIM ou SPF, origine du serveur dont sont envoyés les mails, etc.). «Pour lutter contre le hameçonnage, on a appris aux internautes à être attentifs aux contenus de leurs emails. Mais on demande trop à l’utilisateur de combler les failles de sécurité de tout un système qu’il ne contrôle pas», juge Jean-Philippe Papillon, responsable de la sécurité des systèmes d’information pour le Ministère de l’Économie et des Finances, auprès du Figaro. «Il faut faire remonter la responsabilité là où il est encore possible d’améliorer les choses, au niveau des entreprises et de leurs intermédiaires.» Bercy espère ainsi une prise de conscience des entreprises afin qu’elles sécurisent davantage leur système mis en place pour envoyer des emails, à leurs employés, partenaires ou clients. Deuxième outil proposé aux entreprises: l’installation, sur le site d’une entreprise, d’un bandeau indiquant aux internautes si leur navigateur Web dispose de la mise à jour la plus récente. Il est disponible via une bibliothèque publiée sur le site Github. «Cet outil vise particulièrement les professionnels. Les particuliers pensent généralement à mettre à jour leur navigateur. C’est plus compliqué en entreprise, où les salariés n’ont souvent pas le droit de télécharger eux-mêmes la dernière version de leur navigateur», explique Jean-Philippe Papillon. «Nous voulons attirer l’attention de l’employé, et donc de son entreprise.» Source : Le Figaro
CYBERSÉCURITÉ : DES PROGRÈS À FAIRE POUR LES TPE ET PME PAR CHEF D’ENTREPRISE
L’enquête de la CPME sur la cybersécurité des TPE et PME, présentée au Forum International de la Sécurité le 22 janvier 2019, montre que toutes les mesures ne sont pas encore prises pour contrer le risque d’attaque informatique. La CPME (Confédération des Petites et Moyennes Entreprises) continue de s’impliquer sur la nécessaire évolution digitale. Ainsi, pour la deuxième année consécutive, François Asselin, président de la CPME, a conduit au CES de Las Vegas une délégation d’une centaine de TPE, PME et start-up. C’est dans ce contexte, avec ses partenaires tels que la chambre professionnelle des TPE-PME du numérique, le club de la sécurité de l’informatique français et d’autres, que l’organisation a mené une enquête* sur la sensibilité, l’intérêt et les actions des TPE-PME en matière de cybersécurité, auprès de 374 dirigeants d’entreprise. Les graphiques ci-dessous sont issus de l’enquête et permettent de faire le point sur la protection utilisée par les entreprises pour se protéger. Installation d’une protection (antivirus, firewall, solution anti-spam) La solution anti-spam est peu utilisée par les entreprises. 55% d’entre elles en disposent pour leurs ordinateurs de bureau et 42% pour leur réseau. Les solutions de protection apparaissent comme relativement utilisées, notamment l’antivirus, assez répandu. Pour autant, la protection n’est pas complète, surtout en ce qui concerne le réseau d’entreprise, globalement moins protégé que les ordinateurs de bureau. Changement du mot de passe 33% des entreprises changent les mots de passe de leurs ordinateurs de bureau peu régulièrement, soit entre tous les 6 et 12 mois. Une majorité des entreprises ne modifie pas régulièrement ses mots de passe. Elles s’exposent ainsi à plus de risques d’intrusions informatiques. Près d’une sur trois ne change jamais ses mots de passe. Attaques ou tentatives d’attaque subies par les entreprises 41% des TPE interrogés ont déjà subi une ou plusieurs attaques ou tentatives d’attaques informatiques, soit presque autant que les PME. Il est intéressant de souligner qu’une petite partie des entreprises interrogées ne sait pas si elle a déjà été victime d’une attaque ou d’une tentative d’attaque informatique. Ces chiffres démontrent que les entreprises n’ont probablement pas suffisamment assimilé le cyber-risque. Reste que moins d’une entreprise sur deux a déjà été victime d’une ou plusieurs attaque(s) informatique(s). Mise en place de dispositifs de protection Seules 14% des TPE disposent d’une assurance contre les attaques informatiques contre 23% des PME. Si on peut dire que les salariés semblent en grande partie sensibilisés aux risques informatiques, moins d’un quart des TPE et PME disposent d’une assurance en cas de cyberattaque. Cela permet de montrer que des progrès restent à faire dans la prise en charge complète de ce type de risque, en constante augmentation. * Source : La cybersécurité des Entreprises (mois de 50 salariés), enquête CPME réalisée en partenariat avec CINOV-IT, le CLUSIF (Club de la sécurité de l’information français), membres avec la CPME du dispositif cybermalveillance.gouv.fr, l’Union-IHEDN, la Cyber task force ainsi que les associations Hexatrust et ACN (Association Confiance Numérique), Janvier 2019.
SEPAmail Diamond : état des lieux du service bancaire de vérification des iban
Spécialiste de la sécurisation des flux financiers depuis 1999, MATA édite la solution Mata I/O Sécurité qui sécurise les règlements en validant 100% des comptes payés. Ce processus de validation peut être fastidieux : collecte de documents, contre-appels… C’est pourquoi, dès le début, nous nous sommes intéressés au service Diamond de la messagerie bancaire SEPAmail. Pour mémoire, SEPAmail Diamond ne peut pas être considéré comme une solution exhaustive de sécurisation des règlements, puisque le service ne couvre qu’une partie des IBAN, et n’est pour le moment proposé que pour la France. En revanche, l’intégration de ce service à notre offre globale de sécurité nous permet de gagner en productivité en validant de manière automatique 70 à 80% des comptes bancaires français. Historique d’une interface optimisée pour chaque banque Courant 2017, le service Diamond a été remanié avec l’adoption d’une évolution des formats XML des requêtes de demande et de réponse. Nous avons donc attendu fin 2017, et des formats définitifs, pour nous lancer dans le développement d’une interface automatisée entre Mata I/O Sécurité et le service SEPAmail Diamond. A l’origine, seules les banques CIC et SOCIETE GENERALE étaient en mesure de proposer ce service par l’intermédiaire du protocole EBICS. La société MATA n’étant pas cliente de la SOCIETE GENERALE, nous avons ouvert un compte bancaire pour réaliser nos tests. Nos premiers envois de demandes ont été réalisés courant février 2018 auprès de ces deux banques. Ensuite, en août 2018, nous avons travaillé avec la BANQUE POSTALE à la demande de l’un de nos clients, pour tester, là encore, le service SEPAmail Diamond fourni par cette banque sur EBICS. Enfin en octobre 2018 nous avons procédé aux premières mises en œuvre du service SEPAmail Diamond chez nos clients Mata I/O Sécurité. A ce jour nous sommes en contact avec d’autres partenaires bancaires afin de tester leurs offres d’accès au service Diamond. Des différences de format Dès le début de nos tests avec les banques CIC et SOCIETE GENERALE, nous nous sommes aperçus que, malgré l’utilisation de standards dans les formats des fichiers échangés, ces deux banques avaient interprété de manière différente le traitement de certaines informations dans les fichiers. Cela nous a conduit à développer des formats de requêtes différents pour la SOCIETE GENERALE et le CIC. Nous avons à cette occasion fait le lien entre ces deux banques, les deux premières à proposer le service, pour mettre l’accent sur leurs spécificités et travailler avec elles à plus de standardisation. Par la suite, la BANQUE POSTALE s’est avérée respecter les standards établis précédemment. Des différences de traitement dans les réponses Nous avons constaté à l’usage des différences dans la qualité des réponses apportées par les différentes banques. Par exemple : lorsque nous interrogeons la validité d’un compte IBAN domicilié dans une banque non adhérente au service SEPAmail Diamond, le CIC nous retourne une réponse précisant que la validité de l’IBAN ne pourra pas être vérifiée avec la mention « Banque non adhérente », alors que la SOCIETE GENERALE ne retourne aucune réponse à l’interrogation de ce compte. Des délais de réponse qui se raccourcissent et un taux de service qui progresse Lors de nos premières mises en œuvre du service SEPAmail Diamond dans notre solution MATA I/O, nous constations un délai moyen d’attente de la réponse variant entre 24 et 36 heures. Ce délai n’a pas cessé de se réduire, et à aujourd’hui, certaines réponses sont retournées 4h après l’envoi de l’interrogation. Nous avons pu élaborer des statistiques avec nos plus anciens clients sur le service. Ces statistiques nous montrent un taux de couverture du service en progression. Au dernier trimestre 2018 : 70 % des comptes français interrogés chaque mois faisait l’objet d’une réponse de la banque. Ce taux s’établit à 80% sur le mois de janvier 2019. Les absences de réponses s’expliquent encore par des banques non adhérentes à ce jour au service SEPAmail Diamond, principalement : HSBC et LCL, ainsi que par des interrogations qui portent sur des comptes détenus par des factors, pour lesquels les banques n’ont pas l’intégralité des informations permettant d’établir le contrôle.