Cyberfraudes : comment sécuriser vos entreprises ?

L'essor du numérique a fait croître le nombre de cyberattaques. Celles-ci tendent à se sophistiquer dans le temps et représentent une menace toujours plus forte pour les entreprises. Quelles sont-elles ? Comment s'en prémunir ? Le Club Experts a voulu apporter ses réponses.

Sabotage, paralysie des systèmes informatiques, détournements de fonds, vols de données, manipulation de collaborateurs... quelques minutes suffisent pour qu'une cyberattaque immobilise ou nuise à l'activité de grandes entreprises, de collectivités mais aussi de Pme voire Tpe. Selon Accenture, la valeur économique globale en jeu des attaques de cybercriminalité s’élèvera à 5,2 Mds $ au cours des cinq prochaines années. L'enjeu est crucial. Et l'innovation l'est tout autant pour repousser les attaques. D'où les millions injectés par les investisseurs dans les sociétés specialisées dans la cybersécurité. Pour preuve, mi-juin, Vade Secure à Hem levait 70 M€ pour développer et internationaliser sa solution de sécurisation des courriers électroniques (lire p 8). Phishing, ransomware, faux sites de commerces, loteries espagnoles, fraudes au Président, fraudes à « la nigériane », les cybercriminels regorgent d'astuces toujours plus fines pour escroquer leurs victimes. L'entreprise familiale de torréfaction de café Méo-Fichaux en sait quelque chose puisqu'elle a évité de peu la chausse-trappe il y a six ans. "Un vendredi soir aux alentours de 17h30, une personne a contacté par téléphone un salarié du service comptabilité pour lui demander d'effectuer plusieurs manipulations techniques de maintenance, se souvient le dirigeant Gérard Méauxsoone. Le fraudeur était bien informé puisqu'à l'époque il y avait bien une opération de maintenance en cours avec notre établissement bancaire." Sous la pression, et malgré les consignes, souligne le patron, le collaborateur a cédé à la demande. Laissant la voie libre pour un détournement de 200 K€. "On a découvert le prélèvement sur nos comptes le lundi. L'argent avait été viré sur un compte bancaire en Suède. Heureusement, nous avons pu le récupérer sans préjudices", poursuit Gérard Méauxsoone, en soulignant la négligence du salarié.

L'humain, le maillon faible

"Les pirates jouent sur la faiblesse humaine", insiste d’ailleurs Thierry Bouillon, responsable sécurité des systèmes d’information à la Caisse d'Epargne Hauts de France. Leurs tactiques pour parvenir à leurs fins sont à peu près toujours les mêmes. "Dans le cas d'une fraude au président par exemple, des techniques d’ingénierie sociale sont mises en œuvre. De faux documents sont présentés parfois signés avec la vraie signature du dirigeant. Certains parviennent même à imiter la voix de ce dernier ! Cela peut aller très loin et mettre en grand péril l'entreprise ciblée".

L'an dernier, une entreprise française sur quatre a subi plus de cinq tentatives de fraude. Et le nombre d'attaques sur Internet a explosé de 233% entre les 2e et 3e trimestres 2018 ! De quoi devenir parano ? "Pas forcément", répond le délégué à la sécurité du numérique à l'Agence nationale de la sécurité des systèmes d'information (ANSSI) Olivier Sierocki : "il faut trouver un juste milieu, celui de l'analyse raisonnée". D'après l'expert, la solution face aux menaces de cyberfraudes ne se trouve pas dans les technologies. "Problem is between chair and keyboard. Comprenez, le problème est entre la chaise et le clavier. Et la solution aussi !", poursuit-il. Manipulable, sujet aux émotions, négatives comme positives, de bonne volonté et la plupart du temps partisan du moindre effort, "la faille humaine est toujours le maillon faible, c’est commun à tous les scénarii de crise", explique Olivier Sierocki.

Sang froid et réaction

Particuliers, Pme, grands comptes, personne n'est à l'abri. Pas même les banques. Chaque semaine, la Caisse d'Epargne Hauts de France, démonte 80 faux sites bancaires à son effigie et déjoue deux attaques majeures ciblant son site de banque en ligne. Seuls 10% des mails entrants sont analysés comme étant non malveillants et distribués au 3000 collaborateurs. Pour ne pas faillir, le délégué de l'ANSSI préconise la mise en place de procédures claires. "Il faut sans cesse expliquer aux collaborateurs les intérêts internes de l’entreprise, dans un langage qu'ils comprennent. Il faut les sensibiliser et leur apprendre à garder leur sang froid en cas d'attaque". Que faire lorsque celle-ci est avérée ? Porter plainte, quelle que soit la nature de l'attaque, et se constituer partie civile pour pouvoir toucher des dommages et intérêts, indique Damien Destée, juriste sénior au cabinet BRM / TGS Avocats à Lille. Et en amont, préparer un plan de gestion de crise en suivant, par exemple, les conseils mis en ligne sur le site Internet de l'ANSSI. "Différentes plateformes existent pour déclarer aux services de cybersécurité une attaque ou une fraude (lire ci-contre)", poursuit Damien Destée. Avant d'indiquer que les entreprises victimes ont l'obligation de notifier toute violation et/ou fuites de données à caractère personnel dans les 72h à la CNIL, et aux personnes concernées (clients, fournisseurs, entre autres) dans les meilleurs délais. "La cybersécurité doit être traitée au plus haut niveau de l'entreprise quelle que soit sa taille, estime le délégué de l'ANSSI. Tout le monde doit se prémunir et ne pas dire que cela n'arrive qu'aux autres."

"Dans un mail douteux, tous les prétextes sont bons pour vous donner l'envie de cliquer sur le lien. Le pirate utilise un ton alarmiste, il cherche à vous apeurer ou à susciter votre curiosité, renchérit Thierry Bouillon. Mon conseil est donc de garder la même logique que dans la vraie vie : soyez vigilants. N'ouvrez pas n'importe quel mail, assurez-vous de l'identité de vos interlocuteurs, c’est du bon sens. Sur les sites, vérifiez que tous les indices de sécurité sont présents, comme le petit cadenas vert dans l'URL." Des vérifications qui ne coutent rien mais peuvent permettre d'éviter bien des dégâts.