Recherche
En ce moment En ce moment

/ Risques / Assurances

DossierLe risk management s'étend aux ETM

Publié par Bénédicte Gouttebroze le

6 - [Panorama des risques] Les cyber-risques

Préoccupation croissante des risk managers, les cyber-attaques et risques touchant la confidentialité des données de l'entreprise se développent à vitesse grand V. Une problématique à laquelle le 5e Congrès des Daf et directeurs financiers a consacré une conférence en juillet 2016.

  • Imprimer

140 jours. C'est le délai moyen entre la survenance d'une cyberattaque et le moment où l'entreprise victime découvre qu'elle a été piratée. Soit près de 5 mois durant lesquels les fraudeurs ont tout le loisir d'exploiter les données, de les revendre, de monter des arnaques sur mesure pour s'attaquer à cette société... Ce chiffre de 140 jours, avancé par Helena Pons-Charlet, head of legal chez Microsoft, à l'occasion du dernier Congrès des Daf et directeurs financiers(1) qui s'est tenu le 7 juillet 2016 à Paris, jette une lumière crue sur l'un des dangers sous-estimés de la cybercriminalité: son invisibilité. Or, si une entreprise sera parfaitement consciente de subir une attaque lorsqu'un cryptovirus infecte son système, une grande partie de l'iceberg de la cybercriminalité reste immergée, alors que la menace est quotidienne.

Les données, graal du hacker

En 2015, selon les données de Microsoft, la fraude a provoqué 400 Md€ de perte de CA au niveau mondial. Et la menace ne fait que s'étendre: 71% des entreprises déclarent avoir été victimes d'une tentative de fraude, selon l'éditeur de logiciels. Et il ne s'agit là que de celles qui ont identifié l'attaque... Mais que cherchent les hackers? Bien souvent, une chose dont les dirigeants n'ont pas encore bien mesuré l'entière valeur : les données de l'entreprise. "Les données, c'est la nouvelle monnaie du XXIe siècle", affirme Helena Pons-Charlet.

En effet, "une cyberattaque est bien souvent le point d'entrée d'un mécanisme de fraude", avertit Sébastien Hager, souscripteur assurance France chez Euler Hermes. Elle permet de recueillir des informations confidentielles qui constitueront la base d'une tentative de détournement crédible, du type fraude au président. Et l'essor du BYOD (bring your own device) ne fait qu'accroître le danger: non seulement il entraîne des failles de sécurité en laissant des appareils privés, pas toujours bien protégés, accéder au système d'information de la société, mais en cas d'attaque, il offre également au fraudeur un accès à un panel de données encore plus large, professionnelles et personnelles.

La cybercriminalité se professionnalise

Les petites entreprises sont des cibles de choix pour les hackers.

"Ma structure est bien trop petite pour intéresser les fraudeurs", se disent beaucoup de chefs d'entreprise. Grave erreur! "Il est plus difficile aujourd'hui de s'attaquer aux grandes entreprises via leur SI", souligne François Nogaret, associé chez Mazars. Ces dernières disposent de moyens suffisants pour protéger efficacement leur SI. C'est pourquoi les petites entreprises, qui n'ont pas forcément mis en place autant de procédures de sécurité que les grands comptes, deviennent des cibles de choix pour les hackers.

Parallèlement, les activités de cybercriminalité se sont démocratisées. Deux raisons à cela: la disponibilité de l'information (par exemple grâce aux réseaux sociaux, très pratiques pour tout savoir sur la famille, les relations amicales et dates de vacances des collaborateurs) et l'industrialisation des outils de fraude. "Aujourd'hui, un hacker va vendre son produit à des fraudeurs qui ne sont pas forcément qualifiés", révèle François Beauvois, commissaire de police, chef de la division anticipation et analyse à la sous-direction de la lutte contre la cybercriminalité. Tutoriels de formation en ligne, service après-vente... Les hackers sont devenus des businessmen, fournissant aux fraudeurs toute une gamme d'outils prêts à l'emploi. "Nous assistons au développement d'une sous-traitance du crime, en mode "crime as a service"!", déclare François Beauvois. On est loin de l'image d'Épinal de l'étudiant surdoué qui joue les hackers: "Les entreprises sont face à des mafias", résume David Luponis, senior manager chez Mazars.

Comment se déroule une tentative de fraude?

Olivier Peiffer, CEO de Polimiroir Group, ETI industrielle spécialisée dans les prestations mécaniques et de sous-traitance étendues, a apporté un retour d'expérience sur les tentatives de fraude subies par son entreprise. Polimiroir est une société multisite, composée de plusieurs petites structures d'une cinquantaine de personnes, et qui développe une importante activité à l'export.

La société a été victime de tentatives de fraude au président: des personnes très bien informées, connaissant parfaitement la vie de l'entreprise et des collaborateurs (recours au tutoiement ou au vouvoiement dans les échanges, prénoms des enfants des salariés, dates de congés ou d'arrêt maladie des uns et des autres, etc.), ont mené des attaques très ciblées en empruntant l'identité d'Olivier Peiffer. En utilisant le mail et le numéro de téléphone de ce dernier, le fraudeur contactait des assistants et jouait sur la persuasion pour les convaincre d'effectuer des virements. "Les fraudeurs n'agissent pas au hasard, ils étudient toutes les informations en amont pour avoir une approche logique. Ils essayent tout jusqu'à trouver une faille, et jouent sur la rapidité des échanges téléphoniques", témoigne Olivier Peiffer. Ces attaques, qui n'ont heureusement pas abouti, se sont renouvelées tous les jours pendant deux mois. Jusqu'à ce qu'Olivier Peiffer échange directement avec l'imposteur au téléphone, celui-ci comprenant alors qu'il était démasqué.

Cette expérience illustre bien le caractère sensible des données de l'entreprise et des collaborateurs. Des informations en apparence anodines, telles que les dates de vacances ou les prénoms des enfants, susceptibles d'être partagées sur les réseaux sociaux, se transforment en failles de sécurité lorsqu'un fraudeur décide de mener une enquête minutieuse en vue de monter une arnaque. De même, accéder via une cyberattaque invisible aux mails des interlocuteurs-clés de l'entreprise permet de tout savoir du style, du ton et de la teneur des échanges entre collaborateurs. Pour mieux les imiter.

Dès lors, les attaques se multiplient, et on assiste à une diversification des modes opératoires: ransomwares en perpétuel renouvellement, fraude au président, piratage télécom... Les arnaqueurs sont sur tous les fronts. Sébastien Hager (Euler Hermes) constate ainsi qu'en un an, près d'un tiers des entreprises ne sont pas parvenues à déjouer toutes les fraudes dont elles étaient la cible. Dans le "top 3" des fraudes ciblant les entreprises, on retrouve la fraude au président, le faux fournisseur, ou encore le faux partenaire (factor, banquier...). Du côté des cryptologiciels, la créativité des hackers semble sans limite: Locky, CryptXXX, Petya... de nouveaux ransomwares apparaissent tous les mois. François Beauvois cite l'exemple du crypto-ransomware Cerber, apparu en février 2016, qui se cache dans divers processus Windows et incite l'utilisateur à réactiver les macros pour s'installer et lancer le cryptage des données.

Quelles solutions pour protéger son entreprise de la cyberfraude?

"La meilleure défense, c'est l'attaque", dit le proverbe. Et quoique certains prennent le temps de le mettre en application, pour les PME et ETI, la meilleure des défenses passe surtout par la prévention. "Les entreprises doivent se concentrer sur la surveillance de leur SI", martèle François Nogaret (Mazars), et non se contenter de prendre des mesures lorsque surviennent des attaques. Car sur le long terme, le danger que représente la disparition de données, dont on ne se rend pas compte de suite, est bien plus inquiétant qu'une attaque de cryptovirus qui peut être rapidement contrée par une intervention sur service informatique et une restauration des données cryptées via les sauvegardes.

"Les entreprises doivent se concentrer sur la surveillance de leur SI"
François Nogaret (Mazars)

La sensibilisation et la formation des équipes aux questions de cybercriminalité est également incontournable. Cependant, les experts constatent qu'en dépit de ces opérations de prévention, la vigilance quotidienne est loin d'être devenue un réflexe pour tous les salariés. Dès lors, Olivier Peiffer, CEO de Polimiroir Group, qui a été victime de nombreuses tentatives de fraude, insiste sur la nécessité de "contrôler toutes les procédures internes" et de les consigner par écrit, pour bien marquer l'engagement de la direction.

François Nogaret (Mazars) alerte également sur le manque de discipline qui affecte de nombreuses sociétés. "Plus on monte dans la hiérarchie, moins on a de mots de passe", s'agace l'expert. Le mot de passe est pourtant le premier moyen de défense face à la fraude. Par ailleurs, avec le développement des technologies telles que les ERP, le contrôle de l'information par l'oeil humain tend à disparaître: or, maintenir un tel contrôle permet de mieux maîtriser les événements et d'identifier les failles. Développer l'esprit critique de ses collaborateurs, la meilleure des protections face à la cyberfraude?

(1) Les propos cités dans cet article ont été recueillis lors de la conférence "Cyberfraudes: bonnes pratiques et moyens d'action".

Sur le même sujet

S'abonner
au magazine
Retour haut de page