Citée 4 fois dans le Top 5 du récent baromètre Euler-Hermès – DFCG, l’usurpation d’identité arrive en tête des techniques utilisées par les pirates obstinés qui multiplient les attaques pour arriver à leurs fins. Quelles formes prend-elle ? Peut-on s’en prémunir ? Explications…
Les entreprises craignent la fraude et notamment la cyberfraude. Il y de quoi car les chiffres sont éloquents. D’après l’étude réalisée par Euler-Hermès (leader de l’assurance fraude) et l’Association nationale des Directeurs Financiers et de Contrôle de Gestion (DFCG) auprès de plus de 200 entreprises implantées en France :
- plus de 7 entreprises sur 10 ont été victimes d’au moins une tentative de fraude ;
- 29 % des répondants ont subi plus de 5 tentatives (24 % en 2018) ;
- 27 % des entreprises interrogées ont subi au moins une fraude avérée (26 % en 2018).
Parmi les types de fraude affectant les entreprises, l’usurpation d’identité se détache singulièrement ; elle suppose une bonne connaissance de l’entreprise ciblée, grâce à la somme de renseignements collectés par les escrocs, et peut prendre différentes formes :
LA FRAUDE AU FAUX FOURNISSEUR
Citée par 48 % des entreprises, elle dépasse la fraude au faux président depuis 2018. Il s’agit d’une attaque par ingénierie sociale, appelée parfois « science du piratage humain », qui permet de manipuler un individu en invoquant, par exemple, le caractère d’urgence d’une action. Le principe est on ne peut plus simple : le fraudeur, se faisant passer pour un fournisseur de l’entreprise, signale au service comptable un changement de compte bancaire destiné au règlement des factures. Ni vu ni connu jusqu’au moment où le vrai fournisseur réclame les sommes qui lui sont dues… Un exemple ? Celui de l’entreprise Michelin, victime en 2014 d’une arnaque à hauteur de 1,6 millions d’euros, comme le rapporte Capital.fr. Pourtant, dans ce cas, un simple appel auprès du fournisseur afin de vérifier ses coordonnées bancaires aurait suffi à éviter le piège tendu.
LA FRAUDE AU FAUX PRÉSIDENT
Citée par 38 % des entreprises, et en progression également, elle utilise les mêmes ressorts. Elle consiste à convaincre le collaborateur d’une entreprise d’obéir à un prétendu ordre du dirigeant. Le plus souvent, il s’agit d’effectuer en urgence un virement important à un tiers sous prétexte d’une dette à régler, d’une provision à verser sur un contrat en cours ou autre. Ça peut aller loin, comme le prouve la fraude, rapportée par notre confrère Le Parisien, ayant visé en 2018 le groupe de cinéma Pathé via sa filiale aux Pays-Bas : les fraudeurs ont réussi à convaincre le directeur financier et la directrice de la filiale de transférer 19,2 millions d’euros destinés à financer une prétendue acquisition à Dubaï. Le moyen utilisé : des emails envoyés depuis une fausse adresse électronique semblant provenir de la direction du Groupe !
LA FRAUDE AU FAUX CLIENT
Citée par 24 % des entreprises, elle« consiste à détourner de la marchandise en se faisant passer pour un prospect ou un client », lit-on sur le blog Euler-Hermès. Elle est suffisamment fréquente pour que la DGCCRF alerte les entreprises sur l’existence de telles escroqueries. Car le mode opératoire des fraudeurs ne laisse rien au hasard : le soi-disant client fournit les coordonnées d’un distributeur, français ou étranger, dont l’identité a été usurpée, ainsi que les documents susceptibles de mettre le vendeur en confiance (extrait K-Bis, compte bancaire…). Il ne lui reste qu’à passer une grosse commande payable à 30 ou 45 jours après réception. Payable oui, mais…
Parmi les autres fraudes citées par 31 % des entreprises, se trouvent celles aux banques, aux avocats, aux commissaires aux comptes… Ces usurpations sont loin d’être les seules, et de nombreuses administrations en font régulièrement les frais, comme nous le rappelions dans HACKING : LES SERVICES PUBLICS DANS LA LIGNE DE MIRE.
LES CONSEILS D’EXPERT : LA PRÉVENTION !
Déjouer ce type de fraude relève essentiellement de mesures de bon sens qu’on a tous tendance à négliger par manque de temps, surcharge de travail ou simple fatigue… Pourtant l’humain n’est pas seul en cause. Aussi élaborée soit-elle, l’usurpation d’identité repose la plupart du temps sur un faux nom de domaine (typosquatting), une fausse adresse mail (phishing), un faux profil réseaux sociaux, un faux site web, une fausse annonce (places de marché), une fausse facture… Autant de “faux” qu’il est possible d’anticiper en appliquant ces mesures préventives :
1. QUAND VIGILANCE RIME AVEC SURVEILLANCE
De nos jours, ne pas surveiller Internet revient à conduire sans ceinture de sécurité ! Au sein de l’entreprise, le premier geste de prévention consiste donc à détecter ces faux avant qu’ils ne soient exploités par les escrocs : surveillez les dépôts de noms de domaine, détectez l’activation d’adresses mail et ajoutez systématiquement à la liste noire de votre système informatique les noms frauduleux identifiés. Rappelons qu’une surveillance de noms de domaine identique ou contenant une marque coûte moins de 250 €HT par mois, un « budget sécurité des noms de de domaine » relativement modeste eu égard aux risques encourus. En effet, s’en passer peut coûter très cher à l’entreprise comme en témoignent les exemples que nous avons cités.
Attention toutefois à ne pas confondre surveillance de noms de domaine et surveillance de marques : il s’agit de deux services différents, complémentaires et non substituables l’un à l’autre.
2. QUAND URGENCE RIME AVEC MÉFIANCE
L’urgence de la demande doit alerter, davantage encore lorsqu’elle arrive le vendredi soir à 18 h 00. Il est d’autant plus impératif de prendre le temps d’effectuer les vérifications qui s’imposent et de respecter les procédures internes mises en place, quelle que soit l’urgence ou la confidentialité invoquée. Cette vérification doit prendre la forme de :
- Un contre-appel auprès du partenaire commercial ou financier, en utilisant les coordonnées figurant dans le fichier interne de l’entreprise ;
- Une consultation des factures antérieures en cas de rappel pour non-paiement et une vérification systématique des coordonnées bancaires avant de procéder à tout règlement ;
- Une contre-validation orale et de visu auprès de sa hiérarchie (les outils de visio-conférence s’y prêtent fort bien, même et surtout en télétravail).
3. QUAND CONNEXION RIME AVEC DOUBLE AUTHENTIFICATION
Oui, une procédure de validation des ordres (financiers, d’achat ou de livraison) doit être clairement définie et respectée au sein de l’entreprise. Peu importe sa taille. Activez l’authentification à deux facteurs (aussi appelée Validation à deux étapes ou Authentification à deux facteurs) partout où c’est possible et notamment pour accéder aux interfaces bancaires, registrar, fournisseurs… Celle-ci permet de renforcer la sécurité de la connexion à votre compte en ligne en ajoutant une étape de validation complémentaire. Ainsi la réception d’un code unique sur votre smartphone complète le traditionnel couple “nom d’utilisateur-mot de passe”. Pour en savoir plus sur la double authentification, lire notre article PROTEGEZ L’ACCÉS À VOTRE COMPTE REGISTRAR GRÂCE À L’AUTHENTIFICATION À DEUX FACTEURS.
4. QUAND SENSIBILISATION RIME AVEC COMMUNICATION
Les collaborateurs de l’entreprise doivent être conscients que celle-ci peut être à tout moment victime d’une tentative d’escroquerie. Ainsi vous devez communiquer sur l’importance des procédures et présenter des exemples concrets de fraude. Relayer en interne les articles qui en parlent est un bon réflexe. Chefs d’entreprise et cadres dirigeants doivent être les premiers à respecter les procédures même si celles-ci sont contraignantes.
Sans être exhaustifs, ces conseils permettent de limiter les risques d’incidents. N’hésitez pas impliquer tous les services de l’entreprise afin d’identifier les potentiels points sensibles liés à votre activité.
Par Raphaël TESSIER et Sophie AUDOUSSET
À lire également :
Always good to remember