La DFCG et Euler Hermes organisaient le 13 avril dernier à Paris une table-ronde intitulée « Piloter la lutte contre le risque de fraudes et cyber-fraudes : le rôle clé du DAF ». Praticiens et experts y ont débattu des menaces et des politiques de défense adaptées, éclairés par les résultats de l’étude Euler Hermes – DFCG 2016.

La fraude, un phénomène massif

93% des entreprises françaises ont été victimes d’au moins une tentative de fraude dans les 12 derniers mois, contre 77% l’an dernier. Plus grave encore, 30% des entreprises attaquées n’ont pas réussi à déjouer toutes les tentatives – un chiffre explosif comparé aux 20% l’année précédente.

Animée par Bertrand Annette, conseil en management des risques, la table-ronde réunissait des expertises complémentaires croisées avec des expériences vécues.

Les intervenants

  • Maxime Alay-Eddine, Consultant SSI, Président, Cyberwatch
  • François Beauvois, Commissaire de Police, Chef de la Division Anticipation et Analyse, Sous-Direction de la lutte contre la cybercriminalité
  • Pierre-Yves Hentzen, Directeur Financier, Stormshield, et Président de la DFCG Rhône-Alpes Auvergne
  • Evelyne Mercier, Directrice Business Excellence, Hilti France
  • Michel Van Swieten, Expert fraudes, Euler Hermes France

Des tentatives de fraude de mieux en mieux construites

En 2015, la hiérarchie des typologies de tentatives de fraude a été la suivante :

  1. Fraude au président : 55%
  2. Fraude au fournisseur : 47%
  3. Autres usurpations d’identité : 35% (banques, avocats, etc.)
  4. Cyberfraude (intrusion dans les systèmes informatiques) : 32%
  5. Fraude au client : 28%

En réalité, rappellent les intervenants, il existe désormais un lien de plus en plus fréquent entre cyberfraude et usurpation d’identité. L’intrusion dans les systèmes informatiques permet de collecter des informations clés et ainsi observer les flux et comprendre la chaine des responsabilités dans l’entreprise visée : une vraie ingénierie sociale ! L’action d’usurpation d’identité qui s’ensuivra sera d’autant mieux renseignée et d’autant plus crédible.

livre-blanc-assurance-fraude

Si ces tentatives sont donc mieux préparées, elles sont aussi de mieux en mieux exécutées. Les intervenants ont rappelé l’existence de réseaux de type mafieux, qui pratiquent la fraude de manière très organisée. Avec un faible pour attaquer à la suite d’un changement de structure ou de président, ou encore… pendant les vacances.

Des exemples frappants : personne n’est à l’abri

Pierre-Yves Hentzen, DAF de Stormshield, raconte une première tentative qui aurait bien pu réussir. Sa collaboratrice reçoit un coup de fil. Il s’agit du « président », qui la met dans une confidence stratégique, un rachat, lequel nécessite un virement rapide à l’étranger. Il insiste sur la nécessité de n’en rien dire à son supérieur… La collaboratrice tient sa langue, mais semble embarrassée. Une heure plus tard, et sans avoir obéi, elle explique tout au DAF, fort heureusement !

Il enchaîne avec une autre expérience : « J’ai aussi reçu un message secret du président, envoyé apparemment depuis sa véritable adresse mail. Il connaissait mon emploi du temps, il était très renseigné. Seul un détail m’a fait tiquer : il me vouvoyait tout au long du mail, alors que nous nous tutoyons au quotidien. »

Michel Van Swieten donne à son tour l’exemple d’une PME, approchée par une belle société britannique – un gros client potentiel. Demande de renseignements, échanges de mails, conversations téléphoniques, commande, et envoi des marchandises. Un mois plus tard : pas de paiement. Et évidemment plus personne n’est joignable : plus de téléphone, plus de mails. Ne restent que les conséquences : pertes financières et traumatisme humain.

Comment déjouer les tentatives de fraude ?

Les participants sont tous d’accord : la vigilance est de mise. Sans négliger la fraude interne, qui présente un « risque de sévérité », c’est-à-dire avec des pertes financières souvent plus élevées que pour les fraudes externes ! Les fraudes internes durent souvent longtemps, et elles sont rarement détectées avant qu’il ne soit trop tard. 18% des entreprises françaises en ont été victimes en 2015.

Pour déjouer les tentatives de fraude, les entreprises françaises interrogées par l’étude Euler Hermes-DFCG 2016 comptent sur les réactions humaines, à 93% et sur les procédures de contrôle interne, à 76%.

Parmi les dispositifs de prévention recommandés, à la date de l’étude, seule une minorité d’entreprises ont encore pris les précautions qui s’imposent :

  • Audit sécurité du Système Informatique : 48% l’ont réalisé
  • Test d’intrusion : 33% en ont organisé au moins un
  • Cartographie des risques : 27% ont dessiné une cartographie

Disposer d’un plan d’urgence permet de prendre les bonnes décisions malgré une grosse dose de stress. Mais 68% des entreprises françaises ne disposent pas de plan d’urgence à activer en cas de fraude.

L’humain est le maillon faible, bien plus que la technologie

L’assurance contre la fraude existe, rappelle Michel Van Swieten. Mais 58% des entreprises françaises ne connaissent pas encore les solutions d’assurance contre le risque de fraude, contrairement à d’autres pays comme l’Allemagne, le Royaume Uni ou encore les Etats-Unis. L’effort de pédagogie sera encore long !

Attention aux cryptologiciels

Dans la vaste panoplie des cyberfraudeurs, on connaissait les malwares ‘click of the death’ qui dès leur installation vont voler les informations intéressantes. Ces malwares sont maintenant mieux qu’en vente libre : des organisations commercialisent des solutions « prêtes à l’emploi » payables au résultat !

Une menace récente et particulièrement agressive : les cryptologiciels (lire aussi l’article Cyber-extorsion : la grande menace des cryptologiciels). Ceux-ci prennent vos données en otage en les cryptant, et adaptent le montant de la rançon… à la taille de votre entreprise. Et le pire, c’est que les escrocs tiennent leurs promesses ! Mais attendez-vous à les voir revenir rapidement si vous cédez à leurs exigences…

Vers la résilience

« En matière d’attaques, les années 90 étaient celles de la guérison, et les années 2000 celles de la détection. Les années 2010 sont celles de la résilience », rappellent les intervenants.

Parmi les solutions évoquées, l’absolue nécessité de sensibiliser l’interne de façon récurrente s’impose. Sans oublier que la qualité de la relation entre le manager et ses subordonnés peut être déterminante ! Par ailleurs, on veillera notamment à :

  • Installer les mises à jour de sécurité des OS ;
  • Installer un antivirus ;
  • Protéger son réseau avec un firewall ;
  • Mettre en place des procédures internes, pour être prêt le jour J.

Il faut oublier le sentiment d’invincibilité propre aux adolescents et chercher à être éclairé – changer d’état d’esprit et de comportements, c’est possible.

Des sources pour agir en connaissance de cause :

  • Le site internet de l’Agence Nationale de la sécurité des systèmes d’information (ANSI)
  • La DGSI propose des formations : à contacter via le commissariat
  • Le document intitulé « Les bons réflexes en cas d’intrusion sur un système d’information », publié par le CERT et revu en janvier 2016