Les entreprises sont des cibles de choix pour les pirates informatiques. En tant qu’employé, on doit se méfier des tentatives de fraudes et arnaques, car on peut mettre à risque les données de notre entreprise à cause d’un mauvais clic. Pour savoir comment les détecter, on vous énumère les tactiques et types de fraudes les plus populaires qui visent les entreprises et quoi faire pour se protéger.
Que l’on ait une PME, une grosse entreprise ou que l’on soit employé de l’une d’entre elles, il est primordial d’être vigilant et de connaître les types de fraudes qui circulent en ligne.
Sans surprise, les entreprises sont des cibles prisées des pirates informatiques. D’une part à cause des fonds qu’elles possèdent, mais aussi à cause de la valeur de leurs données.
Informations financières, secrets commerciaux, données personnelles de clients ou de partenaires, tout cela peut être vendu à gros prix sur le dark web.
Non seulement le prix est-il alléchant pour les pirates, mais en plus les défenses informatiques des entreprises auraient parfois intérêt à être rehaussées.
Le risque de fraudes peuvent s’accentue surtout dans les entreprises où il y a un manque de sensibilisation en la matière.
En effet, la faille des systèmes de défense des entreprises se trouve souvent à être nous, les employés!
Pourquoi investiraient-ils énormément de temps à craquer les systèmes de défense de l’entreprise quand ils peuvent parvenir à s’immiscer par l’entremise d’un employé mal informé et mal outillé?
Voilà pourquoi il est primordial de connaître les différentes méthodes de fraudes afin d’éviter de tomber dans le panneau!
Les tactiques les plus populaires pour frauder les entreprises
Hameçonnage (Phishing)
C’est la tactique qui demande le moins d’effort aux pirates et dont on peut soi-même être visé dans notre vie personnelle.
Dans le cadre d’une entreprise, les fraudeurs peuvent tenter de se faire passer pour une source légitime. Un client, un partenaire d’affaires ou même un de nos collègues de travail.
Le principe est donc de recevoir un faux courriel dans lequel se trouve une pièce jointe infectée ou bien un lien malveillant.
On va tenter de nous faire croire qu’on a une facture à payer, un contrat à signer ou bien qu’on doit aller consulter cette page concernant un de nos projets.
Si on fait l’erreur de cliquer, on risque d’installer un logiciel malveillant tel qu’un rançongiciel.
Comme son nom le sous-entend, un rançongiciel demande littéralement le paiement d’une rançon en argent pour redonner accès à nos documents ou même le système informatique de l’entreprise.
Hameçonnage par SMS (Smishing)
C’est le même principe que l’hameçonnage par courriel, mais cette fois on passe par l’entremise d’un message texte sur notre numéro de téléphone.
Encore une fois, on va y retrouver un fichier ou un lien malveillant avec pour objectif d’infecter notre appareil d’un logiciel malveillant.
Les pirates vont vouloir s’immiscer dans notre téléphone, car on y garde notre liste de contacts et nos communications (appels, textos, courriels).
Autant d’informations et de renseignements personnels qui vont leur permettre de peaufiner une fraude encore plus élaborée.
Fraude téléphonique (Vishing)
Toujours dans la même lignée que les deux autres précédentes, les fraudeurs peuvent tenter leur coup via un appel téléphonique.
Ils vont souvent utiliser la technique de spoofing qui leur permet d’afficher un autre numéro de téléphone et ainsi les rendre plus crébiles.
Le but à ce moment n’est pas d’infecter nosappareils, mais bien de recueillir des informations sur nous, nos collègues ou sur l’entreprise dans le but de confectionner une fraude plus élaborée.
Les escrocs élaborent un scénario crédible pour nous tromper.
Ils peuvent se faire passer pour un employé d’une institution financière, un faux fournisseur de services, un représentant du gouvernement ou même un collègue de travail.
Ils vont prétendre qu’il y a un problème urgent avec le compte bancaire de l’entreprise, une facture impayée, un problème de sécurité informatique ou une enquête en cours.
Ils vont ensuite utiliser des techniques de manipulation pour nous inciter à divulguer des informations confidentielles, telles que des mots de passe, des numéros de carte de crédit, des codes d’accès ou des données personnelles.
Harponnage (Spear phishing)
On vient de parler de pirates qui recueillent des informations dans le but de peaufiner une fraude plus élaborée. Cette fraude va souvent prendre la forme du harponnage.
Avec l’hameçonnage, les pirates lancent des milliers de lignes à l’eau à l’aveugle en espérant qu’un poisson mordra.
Dans le cas du harponnage, ils choisissent spécifiquement leur cible et confectionnent un message personnalisé pour celle-ci.
Avec les informations recueillies précédemment, ils peuvent élaborer une communication autour d’un scénario impliquant l’entreprise et qui nous apparaîtra crédible.
Ça peut même être lié à notre vie personnelle en obtenant des informations sur nos réseaux sociaux ou auprès de nos collègues.
Par exemple, un pirate apprend qu’on est un joueur de golf et qu’on adore ce sport. Il élabore alors un courriel personnalisé orienté sur cette thématique dans le but de faire baisser notre garde et nous faire mordre à l’hameçon.
Attaque du président (Whaling)
L’attaque du président est une fraude qui est plus élaboré que le harponnage.
Cette fois, les pirates s’attaquent spécifiquement à une personne en position de pouvoir dans une entreprise. Quelqu’un qui a des accès au compte bancaire ou qui peut autoriser des virements.
Les pirates vont alors tenter de se faire passer pour un de nos supérieurs ou bien une personne plus haut placée dans l’entreprise, afin d’utiliser l’autorité de cette personne pour nous forcer à acquiescer à leurs exigences.
Par exemple, un employé du service comptabilité reçoit un courriel semblant provenir du directeur financier de l’entreprise. Le message demande à l’employé d’effectuer un virement urgent de 50 000$ vers un nouveau compte bancaire, pour le financement d’une acquisition stratégique confidentielle. Le faux directeur financier insiste sur l’importance de traiter cette transaction rapidement et discrètement, sans en informer personne d’autre dans l’entreprise.
Ils peuvent également tenter de personnifier un partenaire d’affaire de confiance de notre entreprise.
Tout comme dans le cas du harponnage, les pirates confectionnent leur scénario à l’aide d’informations obtenues au préalable.
Ce peut-être via d’autres tentatives de fraude comme l’attaque de l’homme du milieu (Man in the middle) où un pirate parvient à s’interposer dans la communication entre deux personnes.
Ou ça peut aussi être grâce à des informations obtenues librement sur le web et nos réseaux sociaux.
Attaque du faux fournisseur
Cette fraude est dans la même veine que l’attaque du président, sauf que cette fois les pirates personnifient un fournisseur de service.
Bref, le fraudeur se fait passer pour un fournisseur légitime de l’entreprise. Il peut utiliser diverses techniques pour paraître crédible, comme pirater la boîte mail du fournisseur ou créer de faux documents.
Il contacte notre entreprise et cherche à parler au département de la compatibilité. Il va alors prétendre un changement de banque, une erreur administrative ou une optimisation des processus de paiements.
L’entreprise, croyant traiter avec son fournisseur habituel, effectue les paiements sur le nouveau compte bancaire fourni. Ces fonds sont en réalité détournés par le fraudeur.
Comment protéger son entreprise des fraudes les plus courantes?
Que l’on soit président, directeur général, agent administratif, employé de bureau, la vigilance et la prévention face aux tentatives d’actes frauduleux en entreprise sont quelque chose qui doit être appliqué par tous.
Tout part de là dans la lutte contre la fraude. Si l’on est moindrement vigilant et qu’on adopte des comportements sécuritaires, on réduit grandement les chances de tomber dans un piège.
Encore faut-il ne pas donner les munitions nécessaires aux pirates pour confectionner une fraude qui nous fera baisser notre garde et notre fameuse vigilance.
Puis, il est essentiel se munir d’outils qui vont agir comme garde-fou dans un cas où l’on n’est pas aux aguets.
Faire ses mises à jour
C’est la base de la base. Il est primordial de faire les mises à jour de nos appareils pour colmater les failles de sécurité qu’il peut y avoir.
Ordinateur, tablette, téléphone, tout doit toujours être mis à jour!
Savoir reconnaître les tentatives d’hameçonnages
Que ce soit de l’hameçonnage, du harponnage ou une attaque du président, il y aura toujours un dénominateur commun dans ces tactiques. Il s’agit de créer un sentiment d’urgence, alors qu’on doit agir rapidement.
À l’inverse, plutôt que de céder à ses demandes urgentes, on a tout intérêt à bien prendre notre temps pour analyser ce qu’on reçoit.
De qui vient le courriel, l’appel ou le message texte (SMS)? Est-ce une adresse courriel d’un expéditeur inconnu? Le message est-il réellement crédible? Est-ce qu’il y a des fautes d’orthographe ou un élément incohérent? Pourquoi devrais-je agir rapidement?
Voilà autant de questions que l’on doit se poser lorsqu’on reçoit des messages qui nous semble louches afin d’éviter d’installer un logiciel malveillant tel un rançongiciel.
Comment reconnaître les tentatives d’hameçonnages
Comment reconnaître les tentatives de harponnages
Comment reconnaître les tentatives d’attaques du président
Faire attention à ce qu’on publie en ligne
Pour confectionner leurs fraudes, les fraudeurs vont faire les recherches nécessaires et vont utiliser toutes les informations qui sont à leurs dispositions.
Ça peut être des informations obtenues sur le site web, par l’entremise des médias sociaux de l’entreprise ou bien sur nos propres réseaux à nous.
Il faut donc bien faire attention à ce qu’on publie et partage sur nos réseaux sociaux.
Certes, des réseaux comme X ou LinkedIn peuvent être utiles pour promouvoir une action que l’on a faite ou une réussite professionnelle.
Seulement, il faut être conscient de ce qu’on a publié et que ces informations pourraient être réutilisées.
Dans le cas de Facebook par exemple, il faut s’assurer de limiter les personnes qui peuvent voir nos publications et idéalement ne pas les rendre publiques.
Faire effacer certaines données sur le web
Par l’entremise des comptes que nous créons à gauche et à droite sur le web et sur nos applications, cela fait en sorte que certaines de nos informations circulent sur le web.
Il y a littéralement des entreprises qui vont prendre ces informations dans le but de les vendre à des annonceurs. On les appelle les courtiers de données.
Seulement, en circulant de la sorte, on s’expose aux risques de fuites et que nos informations tombent entre de mauvaises mains.
Il existe ainsi des solutions comme Incogni ou Delete Me qui ont pour but de faire appliquer la loi auprès de ces courtiers de données et ainsi faire supprimer nos informations chez eux.
En agissant de la sorte, on réduit donc les chances que nos informations soient utilisées pour des fraudes d’identité pouvant engendrer d’autres fraudes.
Utiliser des solutions de protection
C’est un classique que je ne cesserais jamais de répéter, mais il faut PROTÉGER TOUS NOS APPAREILS! Autant nos appareils personnels que les appareils de notre entreprise.
C’est l’un des meilleurs moyens de se protéger et voici notamment des solutions à privilégier.
Utiliser un gestionnaire de mots de passe
Partagez-vous des mots de passe d’entreprise via des canaux comme Skype, Slack ou même Messenger?
Ces mots de passe sont-ils simplement de 6 à 8 caractères de long sans diversification de lettres minuscules, majuscules, de chiffres et caractères spéciaux?
Pire, utilisez-vous les mêmes mots de passe pour plusieurs comptes différents?
Voilà trois types d’erreurs liées aux mots de passe dont il n’est pas rare d’entendre dans certaines entreprises.
Ceci met grandement à risque les entreprises. C’est pourquoi il est important de se munir d’un gestionnaire de mots de passe.
Il existe des solutions adaptées aux entreprises qui nous permettent de générer des mots de passe longs et forts, puis les enregistrer et les partager de façon sécuritaire entre collègues.
Nos suggestions de gestionnaires de mots de passe
Utiliser un VPN
Si nous sommes quelqu’un qui voyageons souvent pour le travail, se munir d’un VPN (Virtual Private Network) apparaît primordial.
Moindrement qu’on se connecte sur un réseau WiFi public comme à l’aéroport, à l’hôtel ou dans un café, on s’expose au risque que nos données soient interceptées par un pirate sur le même réseau.
Le VPN va permettre de chiffrer notre connexion internet et ainsi empêcher un acteur malveillant de lire et intercepter nos données.
Ceci peut alors réduire les risques de fraude d’identité et les fraudes financières.
Connaître les procédures internes
Quand les pirates cherchent à détourner des fonds des entreprises, ils passent souvent par une demande de virement. Ainsi, il est important de connaître les procédures internes pour les virements. Voir les changer.
Avant d’agir, il est important de contacter directement la personne impliquée pour vérifier si l’information qu’on a reçue est valide. Il faut par ailleurs passer par une source fiable et non pas la contacter via à l’adresse ou le numéro qui nous rejoint.
On peut également mettre en place des méthodes telles que des mots secrets entre collègues pour distinguer si une communication est vraie ou non.
Enfin, il peut être judicieux d’avoir une procédure ou deux personnes sont requises avant de valider un paiement par chèque ou un virement bancaire.
Faire de la prévention avec ses collègues
Peu importe le titre que l’on occupe dans l’entreprise, la prévention est une tâche qui incombe à tout le monde.
Cependant, je comprends qu’on n’a peut-être pas envie d’être la personne qui sermonne toujours les autres.
Si jamais vous avez besoin d’aide pour sensibiliser votre équipe, je peux vous aider!
Par l’entremise de ma conférence: À un clic de la catastrophe, je peux vous aider vous et votre entreprise à comprendre l’importance de la sensibilisation contre la fraude.
