Les cybermenaces ont augmenté de 400% depuis le début de la crise sanitaire et 97% des entreprises ont été touchées au moins une fois par une faille de cybersécurité dans leur chaîne d’approvisionnement. Face à cet essor, il est essentiel de comprendre ce qu’est exactement la fraude informatique, pour mieux s’en protéger. Que recouvre exactement ce terme ? Autrement dit, en quoi consistent exactement les fraudes informatiques, et comment réduire les risques d’y être confronté au sein de son entreprise ? Découvre notre petit lexique des fraudes informatiques pour mieux les comprendre et prendre en compte l’ampleur de ce phénomène.
Chez Trustpair, nous proposons un dispositif digital anti-fraude à destination des entreprises. Vous voulez en savoir plus sur les fraudes en entreprise ? Téléchargez gratuitement notre étude sur le sujet.
La cybercriminalité, véritable fléau des entreprises
Première étape de notre lexique des fraudes informatiques : la cybercriminalité et les cyberattaques. En 2021, plus d’une entreprise française sur deux a été victime d’au moins une cyberattaque. La nature de l’attaque varie : usurpation d’identité, phishing en entreprise, ransomware (+48% en 2021). Mais la finalité est souvent la même, c’est-à-dire : le gain financier, plus rarement l’espionnage et le sabotage.
La cybercriminalité est en hausse, particulièrement depuis la crise du Covid-19 qui a achevé de révolutionner les usages informatiques. Ainsi, la généralisation du travail à distance et la numérisation des processus, augmentent sensiblement les risques de fraude.
Qu’est-ce qu’une cyberattaque ?
Une cyberattaque est un acte malveillant dirigé contre des systèmes d’information (SI). Elle peut prendre des formes diverses : piratage de données, ransomware, phishing, installation de programmes espion, déni de service pour saturer un site ou une page Internet…
La cyberattaque vise généralement un gain financier, mais elle peut également être motivée par des griefs personnels (c’est le cas, par exemple, lorsque l’attaque est dirigée contre une entreprise par un actuel ou ancien salarié), ou encore par des considérations politico-économiques.
Un exemple : en 2021, un promoteur immobilier parisien a été victime d’une fraude au président qui lui a coûté 35 millions d’euros. La responsable de la comptabilité de l’entreprise avait été contactée par e-mail par un fraudeur, qui l’a convaincue d’effectuer, sous un motif fallacieux, des virements vers des comptes bancaires à l’étranger.
Hameçonnage ou phishing : de quoi s’agit-il ?
L’hameçonnage, aussi appelé attaque par phishing, fait partie des techniques de fraude les plus courantes et mérite une place à part entière dans notre lexique des fraudes informatiques. Mais de quoi s’agit-il exactement ?
Cette technique frauduleuse consiste à tromper la victime pour l’inciter à dévoiler ses données personnelles ou bancaires, en se faisant passer pour un tiers de confiance (banque, administration publique, etc). ll s’agit généralement d’un email ou d’un SMS, plus rarement d’un appel téléphonique.
L’hameçonnage peut également être utilisé de manière plus ciblée, pour tenter d’obtenir d’un salarié ses identifiants d’accès aux réseaux professionnels. On parle alors de spear phishing. Contrairement à l’hameçonnage traditionnel, qui se base sur l’envoi d’un message générique à un grand nombre de personnes, le spear phishing est personnalisé et s’adresse à un nombre très limité de destinataires.
Le saviez-vous ? En 2021, les salariés auraient reçu en moyenne 14 emails frauduleux dans l’année.
Comment réduire les risques d’hameçonnage ?
Il existe plusieurs moyens de se protéger contre les menaces de phishing.
Voici quelques principes de base à mettre en œuvre :
- Ne jamais cliquer sur les liens ou ouvrir les pièces jointes provenant d’un email douteux ou d’expéditeur inconnu ;
- Ne jamais communiquer ses informations personnelles par email ;
- Ne jamais agir dans l’urgence, même à la réception d’un message pressant, et penser à utiliser le principe des 4 yeux pour sécuriser les processus ;
- Utiliser un filtre anti-spam, pour réduire le risque qu’un courrier frauduleux atterrisse dans sa boîte de réception ;
- Vérifier régulièrement que sa protection antivirus est à jour ;
- Mener une campagne de sensibilisation contre le phishing en entreprise.
Comment diminuer les risques de programmes malveillants ?
Les logiciels malveillants, ou virus informatiques, peuvent causer des dégâts irréversibles à un système informatique : la suppression ou le vol des données personnelles étant l’un des plus importants.
Pour s’en prémunir, on peut commencer par mettre en place ces quelques mesures :
- Utiliser un antivirus et un pare-feu efficaces, et les mettre à jour de manière régulière ;
- Ne pas télécharger de pièces jointes douteuses, et ne pas cliquer sur des liens dont la provenance est inconnue ;
- Demander l’autorisation à la DSI avant de télécharger une application ou un logiciel ;
- Mettre régulièrement à jour son système d’exploitation.
L’homme du milieu (HDM) : une fraude de plus en plus courante
L’attaque de l’homme du milieu, aussi appelée MITM pour man in the middle, consiste pour une entité extérieure à intercepter les communications (email, réseaux sociaux…) entre deux systèmes. Par exemple, un fraudeur va s’immiscer dans une conversation en ligne avec pour objectif de voler des données personnelles, pour en faire ensuite un usage frauduleux.
Grâce à cette interception, les pirates peuvent espionner les conversations privées, mais aussi s’emparer de toutes les informations confidentielles que peut renfermer un réseau privé. Généralement, ils arrivent à leurs fins en exploitant les connexions Wi-Fi, ou en détournant des sessions Web.
Comment lutter contre les risques de HDM ?
Pour se protéger contre les risques de HDM, voici quelques mesures simples à mettre en place :
- En cas de télétravail : éviter de se connecter aux réseaux Wi-Fi publics, qui sont de véritables passoires
- Utiliser un VPN lorsqu’on travaille à distance
- Se connecter uniquement à des sites HTTPS
- S’assurer que son système d’exploitation et ses logiciels sont à jour
- Utiliser un gestionnaire de mots de passe pour disposer de plusieurs mots de passe fiables, et pouvoir naviguer d’un site à un autre.
La fraude au président
La fraude au président consiste pour un hacker à persuader un individu de réaliser un virement bancaire en usurpant l’identité d’un dirigeant (par exemple, le dirigeant d’un fournisseur connu de l’entreprise) et en prétextant une urgence.
Pour cela, le fraudeur va demander à un salarié de la direction financière ou d’effectuer un virement important à un tiers. Ce virement s’inscrit prétendument dans le cadre d’une opération urgente et importante. Pour mieux endormir la vigilance de ses victimes, le fraudeur va utiliser une adresse de messagerie similaire à celle d’un tiers qui existe réellement : c’est ce qu’on appelle le spoofing.
La fraude au faux fournisseur
La fraude au faux fournisseur consiste, pour un pirate informatique, à usurper l’identité d’un fournisseur d’une entreprise et de contacter celle-ci en prétextant un changement de RIB. Ainsi, le virement censé parvenir au fournisseur de l’entreprise arrive en réalité sur le compte bancaire du pirate.
Si une demande de changement de coordonnées bancaires de la part d’un fournisseur n’est pas nécessairement une fraude, ce type de situation requiert toutefois une grande vigilance. La mise en place d’un processus de vérification strict et d’une solution digitale anti-fraude comme celle de Trustpair permet, à ce titre, de se protéger.
Vous voulez en savoir plus sur notre solution digitale ? Contactez l’un de nos experts !
Les coûts de la cyberfraude en hausse permanente
Avec ces quelques exemples, nous voyons bien que la cyberfraude est une préoccupation majeure pour les entreprises. En cinq ans, sur la période 2015-2020, les coûts liés aux cyberattaques ont plus que doublé pour dépasser le milliard de dollars par an. Soit 1% du PIB mondial !
Et cela ne devrait pas diminuer : avec l’essor du travail à distance, en effet, les attaques menées par des pirates informatiques ont toute latitude pour se déployer.
Pour résumer :
La cybercriminalité est en hausse constante, et les entreprises sont autant à risque que les particuliers. Pour s’en prémunir, il est important de connaître les différents types de fraudes, ainsi que les moyens de les contrer. Connaître les modes de fonctionnement des pirates permet aux entreprises de réduire leur vulnérabilité aux cyberattaques.