64% des entreprises françaises ont été victimes d’au moins une tentative de fraude en 2023. Ces tendances soulignent une réalité inquiétante : la fraude est plus sophistiquée et maintenant bien ancrée dans une “cyber ère« . Phishing, hacking, IA… Les méthodes utilisées sont plus complexes et plus difficiles à détecter. Slim Trabelsi, Senior Security Architect chez SAP, décrypte pour nous les dernières tendances de la cyber-fraude.
Téléchargez dés maintenant notre dernière étude fraude pour plus d’analyses et de conseils !
- Pouvez-vous vous présenter et nous expliquer un peu votre expertise en matière de cybersécurité ?
Je travaille pour SAP sécurité & recherche qui gère des projets de recherche à long terme sur les nouvelles technologies et la sécurité. Nous évaluons 5 à 6 ans à l’avance l’impact qu’auront ces nouvelles technologies.
Je m’oriente de plus en plus vers la cybersécurité et l’innovation. Plutôt que d’évaluer les conséquences à 6 ans, je réduis le scope à 3 ans.
Le pôle identifie des besoins de concret SAP qui n’existent pas encore dans le commerce. Par exemple, il y a quelques années, nous avons identifié un besoin sur l’identification des fuites de données sur le Dark web. Il n’y avait pas d’offre sur le marché donc nous avons fait des recherches pour trouver des solutions, identifier les fuites, etc. Jusqu’à ce qu’il y ait des sociétés ou des entreprises qui se spécialisent dessus. Et là le pôle passe à autre chose.
On a commencé très tôt à travailler sur le machine learning : vers 2015-2016, avec les premiers modèles de machine learning. Dés ces années là, on a commencé à tester les modèles, leur sécurité, etc. On utilise le machine learning pour sécuriser mais c’est aussi une technologie à sécuriser en tant quelle.
Depuis plusieurs années, je me suis spécialisé sur la prévention de la fuite de données et notamment la fuite de secrets, que ce soit à l’extérieur ou à l’intérieur des entreprises. Je met en développement des solutions basées sur du machine learning pour identifier en amont les risques, les corriger et éventuellement en cas de d’accident, être alerté le plus rapidement possible et faire une remédiation rapide sur tout ce qui est fuite de données et de secrets.
- Aujourd’hui, on constate que les fraudes sont de moins en moins artisanales et vraiment menées par des professionnels. Dans ce contexte, comment décrireriez-vous le risque cyber aujourd’hui par rapport à il y a 10 ans ? Comment les risques ont-ils évolué ? Est-ce que ils sont plus dangereux ? Est-ce que les entreprises sont plus vulnérables ?
Il y a un vrai changement d’échelle de la fraude : une industrialisation et une spécialisation des attaques. Aujourd’hui, la fraude est presque devenue un service proposé en outil clé en main à des fraudeurs professionnalisés et organisés.
Le premier vecteur d’attaque c’est le phishing. Qu’on parle de fraude bancaire, de fraude au paiement, etc, le risque de phishing est n°1. Tout simplement parce qu’il s’appuie sur l’humain. Et l’humain c’est le maillon faible qui fait passer la fraude.
Le phishing, ce n’est plus un fraudeur seul qui fait des fautes d’orthographe, utilise des anciens logos ou des designs douteux. Finalement aujourd’hui, c’est presque du “Phishing-as-a-service”. Des cybercriminels très organisés proposent des solutions clés en main – souvent basées sur l’IA et le machine learning – pour commettre des fraudes et générer des emails de phishing très personnalisés et “performants”. Ils prennent un pourcentage des revenus.
Ces cybercriminels utilisent des serveurs inconnus pour éviter les solutions anti-spam qui repèrent les adresses IP à risque. Ils ont même leur propre base de données d’emails.
Il y a réellement une industrialisation des attaques.
Et bien entendu, la ou le bat blesse, c’est quand il y a des insiders au sein des grosses entreprises. Ils connaissent nos habitudes, etc. Je prends le cas de SAP : ils connaissent les emails fréquents, les adresses souvent utilisées et donnent l’information, le template aux cybercriminels qui eux vont faire du sur mesure.
Les fraudeurs exploitent les habitudes des employées. Par exemple, on a l’habitude de travailler avec des applications mobiles. On recoit une notification et on clique dessus, par habitude. Eventuellement on va rentrer directement nos coordonnéés, ou alors l’application va nous demander de rentrer nos coordonnées suite à une déconnexion du SSO. Et là le fraudeur a directement accès à nos identifiants, notre mot de passe, etc.
Il y a aussi Chat GPT bien entendu. Ce type d’outil permet de générer des emails hautement personnalisés et quasiment indétectables. Sans compter que maintenant il est possible de générer des visuels et des voix. Avec un échantillon de voix de quelqu’un on est capable de leur faire dire tout ce qu’ils veulent. Cela permet de faire des attaques de phishing vocales comme la fraude au président par exemple. Le fraudeur manipule la voix du dirigeant puis laisse un message sur WhatsApp en demandant à un employé aux accès suffisant de faire certaines actions. La détection sans outil est quasiment impossible.
Les fraudeurs s’adaptent : ils apprenent à contourner les règles de prévention et les barrières antispam. Ils trouvent des failles en s’aidant de l’IA, qui finalement est à double tranchant. Nous nous en servons dans le cadre de notre travail mais eux aussi s’en servent pour infiltrer nos systèmes.
- Nous avons déjà abordé le sujet, mais quel rôle jour l’IA dans l’évolution des risques ?
C’est à nous d’exploiter l’automatisation et l’IA pour contrecarrer les fraudeurs. Nous avons accès aux mêmes armes qu’eux et c’est à nous d’exploiter ce potentiel pour identifier les fraudes et les prévenir.
- Mais est-ce que les entreprises sont matures sur le sujet ? Comment noteriez-vous la maturité des entreprises au sujet du cyber-risque ? Y-a-t-il une prise de conscience ? Ou au contraire un retard et un manque d’éducation ?
Il y a deux échelles. Les grandes entreprises d’une part. Ces dernières années, elles ont beaucoup investi dans l’éducation et la formation. C’est assez visible sur le marché d’ailleurs : de plus en plus d’entreprises proposent des plateformes, des formations, des tests de phishing etc.
En termes d’éducation, il y a eu un énorme effort de la part des grandes entreprises. Elles savent mieux reconnaître les phishing, les arnaques, les fraudes, etc. Mais la problématique des grandes entreprises c’est les dépendances et la complexité des process. Notamment via la supply chain.
Les grandes entreprises font beaucoup d’acquisition qui avant d’être complètement intégrées sont vulnérables, et peuvent être un point d’entrée pour les attaquants. Les attaquants utilisent les acquisitions pour accéder aux ressources internes. Un employé d’une nouvelle acquisition qui n’a pas forcément les mêmes normes de sécurité peut télécharger un VPN qui comporte un virus sans le savoir. Et à partir de là les attaquants accèdent à tous les systèmes, les algorithmes de paiement, etc.
Au moins, les grandes entreprises investissent dans l’éducation pour améliorer la prévention et la détection de la fraude. Il y a une réelle prise de conscience. Et heureusement car leur taille accroît leur vulnérabilité.
De l’autre côté, les petites entreprises qui elles manquent cruellement de moyens et d’outils. En raison de leur taille, elles s’estiment moins vulnérables et hésitent à investir.
- Quels outils finalement existent aujourd’hui pour lutter efficacement contre les menaces cyber ?
Il y a énormément de niveaux de sécurité.
Il y a tout ce qui est sécurité classique du style pare-feu. L’équivalent de l’antivirus, mais beaucoup plus avancé. Les pare-feux les plus avancés sont capables d’identifier beaucoup plus de comportements malveillants.
Mais il y a aussi tout ce qui est threat intelligence : avoir une vue globale – de l’intérieur et de l’extérieur – de l’entreprise pour identifier des menaces en cours, des comportements inhabituels, etc.
Il est important de comprendre qui est l’adversaire, comment il agit, etc. Généralement, l’attaquant observe sa victime pour voir les failles. Comment accéder aux systèmes, etc. Cette observation laisse généralement des traces qui peuvent être regroupées et détectées grâce à des outils de threat intelligence.
Naturellement il y a tout ce qui est menace interne.
Pour observer et collecter le maximum d’informations, les attaquants infiltrent via l’interne et naviguent sur les systèmes. Ils n’attaquent pas, ils naviguent d’un système à l’autre, voir s’ils peuvent récupérer des informations confidentielles, des mots de passe… De manière très silencieuse. Et c’est cette phase silencieuse qu’il faut détecter.
Des systèmes existent pour détecter cette phase : de faux systèmes qui laissent des accès faciles pour voir qui est en train d’observer, ce qu’il fait, etc.
L’automatisation et l’AI sont cruciales pour obtenir des réponses en matière de cybersécurité, identifier les fraudes et corriger les vulnérabilités. La clé pour l’avenir est d’automatiser au maximum la prévention et la détection pour justement pouvoir allouer plus de ressources humaines aux cas les plus difficiles et sensibles.
Aujourd’hui, un mot de passe perdu ca ne doit plus être “je crée un ticket et j’attends qu’on me donne un nouveau mot de passe”. Cela doit être automatique pour éviter toute fuite. Les anciens process sont trop lents pour intercepter les attaques.
- Quelles sont les tops mesures à mettre en place pour lutter efficacement contre les cyber-risques. Donc il y a tous les outils dont on a parlé. Mais au-delà de ça, est-ce qu’il y a d’autres choses à mettre en place en interne ? Est-ce que il y a peut-être le fait d’impliquer toute l’entreprise et pas que le l’équipe IT ?
Prenons l’exemple de SAP. Avant nous avions une équipe Sécurité qui s’occupait de l’ensemble des problématiques IT. Maintenant ça a complètement changé. Depuis quelques années, nous avons des experts sécurité dans chaque équipe.
Nous avons toujours le chief security officer mais en dessous il y a des responsables de sécurité pour chaque département : la vente, le marketing, etc. La sécurité est l’affaire de tous et il est important que l’expertise en cyber-sécurité cascadent à tous les niveaux de l’entreprise. Il faut donner des ressources à ces experts & les moyens pour bien faire leur travail. Généralement les responsables sécurité sont ceux qui entravent le quotidien, impose des règles, etc. Il faut donc que ces exigences soient les plus simples possibles. L’objectif est de créer une vraie synergie.
Avoir un expert pour l’équipe marketing qui sera capable de dire ce qu’ils utilisent comme donnée, comme outil etc. Adapter les usages et l’infrastructure, les formations. Le côté transverse est une priorité pour vaincre la fraude. Aujourd’hui, l’attaquant ne va pas s’attaquer à l’équipe IT : ils ont trop de connaissances et réagiront rapidement. Ils vont s’attaquer au “maillon faible”, que ce soit en termes d’équipe ou de membre.
- Et que prévoyez-vous pour 2024 ? Quels conseils donneriez-vous aux entreprises ?
Je pense que l’utilisation de Chat GPT et des outils AI va entrer encore plus dans la vie quotidienne. Il faut donc apprendre à tous à se servir de ces outils là et à en exploiter la puissance, notamment pour l’identification des comportements frauduleux. Utiliser des algorithmes pour détecter & répondre rapidement aux menaces. Pour ca il faut aussi que les employés soient au fait de ces nouveautés, via des formations etc.
Vous souhaitez vous prémunir contre la cyber-fraude ? Trustpair bloque les effets financiers de la fraud en contrôlant en continu les données fournisseurs et les transactions. Contactez un expert pour en savoir plus !