Mon compte Devenir membre Newsletters

Cyberfraude: la menace (presque) fantôme

Publié le par

Comment se défendre quand on ne voit pas le danger? C'est l'une des difficultés soulevées par les participants de la conférence "Cyberfraudes: bonnes pratiques et moyens d'action" qui s'est tenue à l'occasion du Congrès des Daf, le 7 juillet dernier. Retour sur cet événement.

Cyberfraude: la menace (presque) fantôme

140 jours. C'est le délai moyen entre la survenance d'une cyberattaque et le moment où l'entreprise victime découvre qu'elle a été piratée. Soit près de 5 mois durant lesquels les fraudeurs ont tout le loisir d'exploiter les données, de les revendre, de monter des arnaques sur mesure pour s'attaquer à cette société... Ce chiffre de 140 jours, avancé par Helena Pons-Charlet, head of legal chez Microsoft, à l'occasion du dernier Congrès des Daf et directeurs financiers(1) qui s'est tenu le 7 juillet 2016 à Paris, jette une lumière crue sur l'un des dangers sous-estimés de la cybercriminalité: son invisibilité. Or, si une entreprise sera parfaitement consciente de subir une attaque lorsqu'un cryptovirus infecte son système, une grande partie de l'iceberg de la cybercriminalité reste immergée, alors que la menace est quotidienne.

Les données, graal du hacker

En 2015, selon les données de Microsoft, la fraude a provoqué 400 Md€ de perte de CA au niveau mondial. Et la menace ne fait que s'étendre: 71% des entreprises déclarent avoir été victimes d'une tentative de fraude, selon l'éditeur de logiciels. Et il ne s'agit là que de celles qui ont identifié l'attaque... Mais que cherchent les hackers? Bien souvent, une chose dont les dirigeants n'ont pas encore bien mesuré l'entière valeur : les données de l'entreprise. "Les données, c'est la nouvelle monnaie du XXIe siècle", affirme Helena Pons-Charlet.

En effet, "une cyberattaque est bien souvent le point d'entrée d'un mécanisme de fraude", avertit Sébastien Hager, souscripteur assurance France chez Euler Hermes. Elle permet de recueillir des informations confidentielles qui constitueront la base d'une tentative de détournement crédible, du type fraude au président. Et l'essor du BYOD (bring your own device) ne fait qu'accroître le danger: non seulement il entraîne des failles de sécurité en laissant des appareils privés, pas toujours bien protégés, accéder au système d'information de la société, mais en cas d'attaque, il offre également au fraudeur un accès à un panel de données encore plus large, professionnelles et personnelles.

La cybercriminalité se professionnalise

Les petites entreprises sont des cibles de choix pour les hackers.

"Ma structure est bien trop petite pour intéresser les fraudeurs", se disent beaucoup de chefs d'entreprise. Grave erreur! "Il est plus difficile aujourd'hui de s'attaquer aux grandes entreprises via leur SI", souligne François Nogaret, associé chez Mazars. Ces dernières disposent de moyens suffisants pour protéger efficacement leur SI. C'est pourquoi les petites entreprises, qui n'ont pas forcément mis en place autant de procédures de sécurité que les grands comptes, deviennent des cibles de choix pour les hackers.

Parallèlement, les activités de cybercriminalité se sont démocratisées. Deux raisons à cela: la disponibilité de l'information (par exemple grâce aux réseaux sociaux, très pratiques pour tout savoir sur la famille, les relations amicales et dates de vacances des collaborateurs) et l'industrialisation des outils de fraude. "Aujourd'hui, un hacker va vendre son produit à des fraudeurs qui ne sont pas forcément qualifiés", révèle François Beauvois, commissaire de police, chef de la division anticipation et analyse à la sous-direction de la lutte contre la cybercriminalité. Tutoriels de formation en ligne, service après-vente... Les hackers sont devenus des businessmen, fournissant aux fraudeurs toute une gamme d'outils prêts à l'emploi. "Nous assistons au développement d'une sous-traitance du crime, en mode "crime as a service"!", déclare François Beauvois. On est loin de l'image d'Épinal de l'étudiant surdoué qui joue les hackers: "Les entreprises sont face à des mafias", résume David Luponis, senior manager chez Mazars.

Comment se déroule une tentative de fraude?

Olivier Peiffer, CEO de Polimiroir Group, ETI industrielle spécialisée dans les prestations mécaniques et de sous-traitance étendues, a apporté un retour d'expérience sur les tentatives de fraude subies par son entreprise. Polimiroir est une société multisite, composée de plusieurs petites structures d'une cinquantaine de personnes, et qui développe une importante activité à l'export.

La société a été victime de tentatives de fraude au président: des personnes très bien informées, connaissant parfaitement la vie de l'entreprise et des collaborateurs (recours au tutoiement ou au vouvoiement dans les échanges, prénoms des enfants des salariés, dates de congés ou d'arrêt maladie des uns et des autres, etc.), ont mené des attaques très ciblées en empruntant l'identité d'Olivier Peiffer. En utilisant le mail et le numéro de téléphone de ce dernier, le fraudeur contactait des assistants et jouait sur la persuasion pour les convaincre d'effectuer des virements. "Les fraudeurs n'agissent pas au hasard, ils étudient toutes les informations en amont pour avoir une approche logique. Ils essayent tout jusqu'à trouver une faille, et jouent sur la rapidité des échanges téléphoniques", témoigne Olivier Peiffer. Ces attaques, qui n'ont heureusement pas abouti, se sont renouvelées tous les jours pendant deux mois. Jusqu'à ce qu'Olivier Peiffer échange directement avec l'imposteur au téléphone, celui-ci comprenant alors qu'il était démasqué.

Cette expérience illustre bien le caractère sensible des données de l'entreprise et des collaborateurs. Des informations en apparence anodines, telles que les dates de vacances ou les prénoms des enfants, susceptibles d'être partagées sur les réseaux sociaux, se transforment en failles de sécurité lorsqu'un fraudeur décide de mener une enquête minutieuse en vue de monter une arnaque. De même, accéder via une cyberattaque invisible aux mails des interlocuteurs-clés de l'entreprise permet de tout savoir du style, du ton et de la teneur des échanges entre collaborateurs. Pour mieux les imiter.

(1) Les propos cités dans cet article ont été recueillis lors de la conférence "Cyberfraudes: bonnes pratiques et moyens d'action".

>> Lire la suite en page 2.