Mardi 10 avril 2018, Euler Hermes et la DFCG présentaient les résultats de l’édition 2018 de leur enquête annuelle sur le risque de fraude et la cybercriminalité en entreprise. Une table-ronde a donné la parole à cinq spécialistes, qui ont partagé leur expertise et leurs expériences de la lutte contre la fraude. Points-clés.

Télécharger les résultats de l’étude

L’usurpation d’identité évolue mais demeure

Les résultats du baromètre Fraude & Cybercriminalité réalisé par Euler Hermes et la DFCG sont éloquents : en France, sept entreprises sur dix ont été victimes de tentatives de fraude en 2017, et une sur trois a été victime d’une fraude avérée – contre 25% en 2016. Des chiffres qui confirment la présence de menaces « bien réelles », souligne Sébastien Hager, responsable Souscription Assurance Fraude, au sein d’Euler Hermes. Mais aussi les difficultés à s’en défendre, puisqu’une entreprise sur 3 n’a pas réussi à les éviter.

Les mécanismes de fraude continuent à employer très largement l’usurpation d’identité. Si on note cette année un repli de la fraude au faux président (42%), la fraude au faux fournisseur (54%), elle, gagne du terrain pour prendre la 1ère place du classement des tentatives de fraude les plus courantes, tout comme la fraude au faux client (35%). De nouvelles variantes se font jour, parmi lesquelles la fraude au faux avocat, voire la fraude au faux avocat… du Président !

La cybercriminalité reste toutefois un risque majeur pour les entreprises, en même temps qu’un enjeu de souveraineté nationale, commente Morgane Remy, journaliste et animatrice de la table-ronde. En effet, pour la première fois depuis cinq ans, la France fait partie des dix pays où la cybercriminalité est la plus active (d’après l’Observatoire de vigilance contre la cybercriminalité, Cyberobs PACA). Le pays doit ainsi redoubler d’attention pour garantir la sécurité des citoyens sur ce terrain.

Une logique de réseaux mafieux

Toujours sur le terrain de l’analyse des résultats, les ransomwares représentent 20% des cyberattaques qui comptent pour 50% des fraudes. « Les phishings sont de mieux en mieux réalisés, et les ransomwares de plus en plus nombreux », commente Arnaud Cassagne, directeur des Opérations chez Newlode Group. « Il est très facile de cliquer sur un mauvais lien (…) Or, une fois qu’une machine est impactée… les autres ne tardent pas à être atteintes ! », illustre-t-il.

La caractéristique actuelle des fraudes d’origine externe tient dans leur tendance à associer différentes techniques pour parvenir à leurs fins. « Aujourd’hui, il est difficile de faire une distinction typologique entre une cyberattaque et une usurpation d’identité », analyse ainsi Sébastien Hager de Euler Hermes. Un point de vue partagé par Christian Laveau, directeur Audit-Risk Management-Compliance & Qualité, ADP International, qui constate une évolution dans le profil des hackers. « On est passé d’une logique d’artisanat à une logique industrielle. Les ciblages sont très variés et appartiennent à une logique de réseau que l’on peut qualifier de mafieux », souligne-t-il.

« La dimension éducation est primordiale »

Aucune organisation ne peut être protégée à 100% contre la fraude. Pour Christian Laveau, si toutes les entreprises sont vulnérables, c’est d’abord en raison de la défaillance humaine. « Même le meilleur dispositif de prévention ne peut rien contre la manipulation et l’intimidation faite sur les victimes (…) C’est pourquoi la dimension éducation demeure primordiale », explique-t-il, en précisant : « C’est en organisant des retours d’expériences réguliers avec les collaborateurs que l’on peut faire reculer ce risque ».

DAF à Temps Partagé, Guy Degeorges (En bref), rappelle qu’une simple pièce jointe malicieuse dans un e-mail peut entraîner la perte de milliers d’euros. « Une pièce jointe soi-disant illisible, et c’est en réalité un virus qui s’installe dans votre ordinateur, et qui va vous espionner. Le fraudeur observe vos données et attend le bon moment pour transférer de l’argent sur un compte en Suisse (…) Lorsque la victime porte plainte, c’est trop tard. L’affaire sera juste classée sans suite ». Un constat qui met en lumière la vulnérabilité de l‘ensemble des acteurs de la chaîne, du comptable dont la malheureuse manœuvre ouvre le compte mail à toutes les manipulations, jusqu’à la banque qui autorise le virement douteux.

Impératif : limiter les conséquences… et se tenir à jour

Paradoxalement, l’étude souligne que 57% des entreprises n’ont pas mis en place de plan d’urgence à activer en cas de fraude. Un constat qui démontre qu’elles n’ont pas encore pris totalement la mesure du risque ni de ses conséquences… D’importants efforts, notamment d’organisation, restent à conduire.

Aucun dispositif technique (dont informatique) ne peut garantir que l’entreprise ne sera pas victime d’un fraudeur un jour ou l’autre. L’assurance constitue une solution pour en limiter les conséquences, rappelle Sébastien Hager, qui précise : « Chez Euler Hermes, nous proposons deux solutions, en fonction de la taille de l’entreprise. Nous pensons en effet que même les plus petites d’entre elles doivent pouvoir être assurées. Pour cela, nous nous appuyons dans un premier temps sur un questionnaire, et évaluons le niveau de sensibilité à la fraude ».

Le 25 mai 2018, la mise en place de la RGPD obligera les entreprises à se responsabiliser en matière de protection des données personnelles, et à faire entrer dans leur ADN les grands principes en la matière, rappelle pour terminer Maud Balagna, Avocat IP/IT & Data. Pour protéger au mieux les entreprises, il est essentiel d’apporter et de trouver en permanence de nouvelles solutions face à un monde cyber connecté qui évolue en permanence. « Il faut savoir remettre en cause ce que l’on a mis en place hier », s’accordent les experts pour conclure.