Comment se prémunir contre la cyberfraude

Comment se prémunir contre la cyberfraude
Banque Nationale Entreprises Entreprises

La cyberfraude peut toucher n’importe quelle entreprise. Ses victimes se multiplient et les méthodes utilisées se diversifient. Heureusement, il existe plusieurs façons de protéger votre entreprise.

En 2017, la cyberfraude représentait des pertes de 600 milliards de dollars à l’échelle mondiale. Au Canada seulement, près de la moitié des PME sont victimes de ce type d’attaques. Cette tendance est malheureusement à la hausse, le taux de cybercrimes ayant bondi de 45 % entre 2014 et 2016 selon l’éditeur de logiciels antivirus McAfee.

Des exemples de cyberfraude

Les techniques utilisées sont nombreuses et évoluent rapidement, ce qui les rend difficiles à prévenir. Les fraudeurs « ciblent généralement une personne précise au sein de l’entreprise, le directeur financier par exemple », explique Cyrille Aubergier, chargé de la gestion de la sécurité pour SITAONAIR et chargé de cours en cybersécurité à Polytechnique Montréal. Voici quelques-unes des cyberfraudes les plus fréquentes :

La « fraude du président » : Les fraudeurs réunissent beaucoup d’information sur l’entreprise ciblée, ses processus, les échelons hiérarchiques, les personnes qui tiennent les cordons de la bourse, etc. Puis, ils font parvenir un courriel au directeur financier ou au comptable de l’entreprise en lui faisant croire qu’il a été envoyé par le président. Le message ordonne de virer de toute urgence une importante somme sur un compte dont on fournit les coordonnées afin de pouvoir finaliser une acquisition qui doit demeurer confidentielle. « Le tout se fait généralement dans l’urgence, un vendredi à 17 h. Il ne reste que peu d’employés au bureau, et il est difficile d’effectuer des vérifications », explique Cyrille Aubergier. En général, le fraudeur profite du fait que le président est absent, idéalement en voyage d’affaires à l’étranger.

L’attaque au logiciel rançonneur (ransomware) : Un logiciel malveillant vient bloquer le système d’information de l’entreprise. Pour corriger la situation, les fraudeurs exigent une rançon.

L’hameçonnage (phishing) : Les fraudeurs font croire à la victime qu’elle s’adresse à une institution de confiance, sa banque par exemple, afin de lui soutirer des renseignements personnels comme ses mots de passe, ses numéros de carte de crédit, etc.

Ils tentent ensuite d’introduire un programme malveillant, communément appelé malware, dans l’ordinateur de cet employé, par l’intermédiaire d’un lien Internet ou d’un fichier contenu dans un courriel. Le malware effectue alors de la recherche et de la collecte d’information (coordonnées bancaires, numéros de compte, noms des responsables financiers avec les signatures, etc.) et fouille l’historique de navigation pour vérifier notamment si la victime a accédé à ses comptes bancaires à partir de l’ordinateur. Le logiciel peut aussi installer un capteur des touches utilisées sur le clavier afin de récupérer les mots de passe.

Faux courriel : Les fraudeurs se font passer pour l’un de vos fournisseurs et demandent que les paiements soient désormais effectués dans un autre compte bancaire. Le stratagème n’est découvert que lorsque le véritable fournisseur se plaint de ne pas avoir été payé.

Mise en place de processus de vérification

La protection commence par une prise de conscience du risque. Ensuite, il faut établir un plan de prévention qui couvre tous les secteurs de l’entreprise. « Il n’y a rien de pire que d’acheter une application pour protéger l’accès des utilisateurs et qu’elle ne serve à rien parce qu’elle est mal configurée ou que les alertes ne sont pas surveillées. Ça crée un faux sentiment de sécurité », avertit l’expert.

Pour sa part, Natasha Rocheleau, directrice principale, du service des Solutions de Gestion de trésorerie Entreprises à la Banque Nationale, insiste sur le fait qu’il faut sensibiliser ses employés à la cyberfraude et instaurer de bonnes pratiques à l’interne. « Dans le cas de la fraude du président, il y a des signaux qu’il faut reconnaître : l’urgence, la confidentialité, le fait que le bénéficiaire ne soit pas connu de la personne qui effectue la transaction, etc. Il est essentiel de mettre en place des procédures de vérification et d’identification pour s’assurer que la demande vient effectivement de lui », suggère-t-elle.

Authentification et sécurité renforcée

Pour les transactions à risque, elle recommande l’utilisation d’une solution d’authentification telle qu’une clé SécurID ou un jeton d’authentification. Ces dispositifs produisent des mots de passe qui changent à intervalle régulier. Pour poursuivre la navigation, l’usager doit entrer le code affiché. Il s’agit d’une protection supplémentaire qui empêche l’accès au site, à moins d’avoir en main la solution d’authentification avec soi.

La « sécurité renforcée » est une mesure de sécurité supplémentaire qui restreint l’accès à des sites web en associant le code utilisateur ou le nom d’usager à un ordinateur précis. Lorsqu’une session est ouverte à partir d’un ordinateur non enregistré, le système demande à l’utilisateur de confirmer son identité en répondant à l’une des questions personnelles créées dans le profil.

« Lorsqu’il s’agit de transactions, on peut aussi imposer des limites de montant par employé, ou exiger des autorisations supplémentaires d’une autre personne à l’interne, par exemple », mentionne Mme Rocheleau.

Adoptez les bons réflexes

  • Ne cliquez pas sur des liens qui paraissent louches et n’ouvrez pas de documents provenant de sources inconnues.
  • Limitez l’accès à Internet pour les ordinateurs qui traitent des informations sensibles.
  • N’envoyez pas de documents personnels à votre adresse courriel professionnelle et vice-versa.
  • Effectuez régulièrement les mises à jour de sécurité. Tous les mois, mettez à jour votre système d’exploitation, vos logiciels et vos antivirus.
  • Avant d’autoriser un transfert d’argent, confirmer la demande auprès des intéressés.
  • Ne comptez pas aveuglément sur l’antivirus ou l’anti-malwarepour protéger vos données : s’il s’agit d’une nouvelle menace, ce logiciel n’est pas encore programmé pour la reconnaître.

Il est facile de se laisser berner. Les courriels frauduleux sont de mieux en mieux conçus, bien traduits et sans fautes d’orthographe, et les sujets abordés suscitent la curiosité, la pitié ou la surprise. Restez sur vos gardes!

Édité le 29 mai 2018

Sujets reliés