Cyberfraudes : nouvelle menace sur l’industrie

Cyberfraudes : nouvelle menace sur l’industrie
Notez cet article !

NotPetya en juin, WannaCry en mai, ces attaques informatiques mondiales qui ont touché plusieurs entreprises (Renault a dû arrêter la production de certains sites) relancent la nécessité d’une prise de conscience de ce nouveau danger.

Le marché de la cybercriminalité ne s’est jamais aussi bien porté. Les chiffres du baromètre réalisé par la DFCG (association des directeurs financiers et de contrôle de gestion) et par l’assureur-crédit Euler Hermes sont frappants. Sur les 200 entreprises répondantes, 81 % déclarent avoir fait l’objet d’au moins une tentative de fraude en 2016, et un quart d’entre elles de plus de cinq tentatives. Ces entreprises craignent toutes une accentuation des attaques pour l’année à venir. « La fraude n’est pas un sujet nouveau, mais elle ne cesse d’évoluer, confie Sophie Macieira-Coehlo, la viceprésidente de la DFCG. Les nouvelles technologies démultiplient les possibilités d’escroquerie et facilitent les attaques à répétition. »

« La dimension cyber se retrouve en filigrane de tous les types de fraudes, estime Sébastien Hager, l’expert fraude chez Euler Hermes. Même dans la fraude au président où, par exemple, des informations ont pu être prises sur Internet pour monter l’opération. » La fraude au président, justement, représente 59 % des attaques enregistrées par les entreprises interrogées. Ces opérations où une personne malveillante se fait passer pour le chef d’entreprise pour pousser le comptable à exécuter un virement dans l’urgence restent les plus fréquentes. Elles sont suivies de près par les attaques purement cyber – 57 % des cas –, comme les ransomware (logiciel de rançon), les intrusions dans le système informatique ou les atteintes aux données de l’entreprise.

RÉAGIR !

Les entreprises mènent de plus en plus de campagnes de sensibilisation de leurs collaborateurs face à ce risque. Près de 90 % l’ont fait en 2016, contre 63 % l’année précédente. Ces attaques peuvent en effet leur coûter très cher, 10 % des entreprises victimes déclarent un préjudice supérieur à 100 000 euros. « Il y a en fait de très grands écarts entre les préjudices subis, remarque Sébastien Hager. On peut voir des détournements de plusieurs millions d’euros avec des mécanismes très construits, et de petits détournements par des ransomware pour quelques centaines d’euros. » La réponse à apporter est invariablement la même : porter plainte. « Le phénomène d’accentuation de la fraude et de propagation vers les PME a surpris tout le monde, reprend Sébastien Hager. Mais les services de police développent leurs moyens pour lutter contre cela. C’est pour cela qu’il est important de porter plainte, car ces moyens ne seront réellement étoffés que s’il y a suffisamment de plaintes en face. »

Crédit : PwC.

Les entreprises commencent par ailleurs à mieux s’organiser en interne pour ne pas prêter le flanc à la fraude. Outre la sensibilisation, 80 % d’entre elles renforcent leurs procédures de contrôle interne. Celles qui ont réussi à déjouer une tentative d’escroquerie confient que, dans 53 % des cas, c’était grâce à la bonne réaction d’un collaborateur, dans 28 % grâce aux procédures de contrôle interne et dans 19 % grâce aux outils informatiques. Pour la DFCG, « les entreprises doivent mettre en place quelques bons réflexes pour limiter la casse ». « Dans tous les cas de fraude, on retrouve toujours les notions d’urgence, de confidentialité et d’autorité, souligne Sophie Macieira-Coehlo. Il faut donc toujours se méfier des demandes d’opérations financières subites et urgentes. »

La vice-présidente de la DFCG encourage par ailleurs ses membres à renforcer les dispositifs internes. « Des règles de ségrégation des tâches comptables, de double signature, etc. font partie des outils de prévention à mettre en place. » Une cartographie des risques doit aussi être réalisée pour cibler les failles potentielles. Cette pratique reste encore trop peu répandue, puisque 22 % des répondants seulement en ont réalisé une. Des tests d’intrusion peuvent également être réalisés, pour vérifier la fiabilité des mesures antifraude. Là encore, peu d’entreprises le font (29 %).

Crédit : PwC.

NOUVELLE DONNE

Autre évolution notable de ces dernières années à prendre en compte : le télétravail. « Cette nouvelle façon de travailler a réduit la protection des données des entreprises », selon une étude Symantec, leader en matière de cybersécurité. « À terme, cela pourrait menacer à la sécurité informatique. En particulier, l’utilisation des terminaux personnels dans un cadre professionnel pose un problème car les salariés méconnaissent leur degré de protection. Les entreprises doivent réagir et sortir du mythe de la sécurité “huit heures par jour”. » « La sécurité telle qu’elle était envisagée classiquement est devenue un mythe pour la simple et bonne raison que le travail huit heures par jour dans un bureau fermé l’est lui aussi devenu, poursuit l’étude de Symantec. Le développement du télétravail, même s’il est encore modeste en France, l’utilisation d’outils nomades ou encore d’outils personnels pour accéder à des données de l’entreprise sont autant de phénomènes qui rendent caduque la conception passée de la sécurité informatique. » L’étude réalisée par Symantec montre surtout un manque d’information et de connaissance des salariés sur le sujet, notamment sur le degré de protection de leurs terminaux personnels, qu’ils utilisent pourtant de plus en plus fréquemment. 86 % des salariés français interrogés déclarent ainsi utiliser leurs propres terminaux à des fins professionnelles, c’est davantage que la moyenne européenne qui est de 82 %.

SENSIBILISER

Or, un employé français sur cinq ignore quel est le degré de sécurité des appareils utilisés. Toujours selon la même étude, seulement 16 % des salariés de ce même échantillon « s’assurent que leurs paramètres de sécurité sont automatiquement mis à jour » (contre 18 % en Europe). Rien d’étonnant donc si seulement 42 % des employés français (contre 52 % en Europe) savent si leurs terminaux professionnels et personnels sont à jour en matière de sécurité. Symantec considère pour conclure que « les employeurs doivent revoir en profondeur leur conception de la sécurité informatique et prendre en compte ses évolutions. Ils devraient notamment intégrer rapidement ces nouveaux comportements et former vraiment leurs salariés aux risques qu’ils prennent et font prendre à l’entreprise en utilisant des terminaux personnels non sécurisés ». Mais cela ne suffit pas : « Ils doivent aussi coupler cela à une solide infrastructure de sécurité du cloud couvrant les terminaux personnels et professionnels, quels que soient leur emplacement, leur propriétaire et les logiciels installés. »

LE COÛT D’UNE CYBERATTAQUE

Selon NTT Com Security, se remettre d’une cyberattaque coûterait en moyenne 300 000 euros pour une entreprise de 1 000 salariés ou moins, et jusqu’à 1,3 million d’euros pour une entreprise de plus de 5 000 salariés. La chaîne de télévision TV5 Monde par exemple, victime l’an passé d’un piratage de grande ampleur, a dû débourser 4,6 millions d’euros pour réparer les dégâts causés sur ses systèmes informatiques, et va devoir désormais investir 2,5 millions d’euros par an pour conserver un niveau de sécurité suffisant. 35 % des incidents de cybersécurité sont générés – malgré eux – par des collaborateurs. « Il y a souvent, avant tout, des problèmes de comportement humain, où les gens n’ont pas la compréhension de la menace ni des risques », relève Philippe Trouchaud, expert du cabinet PwC.


Par Cyril Bellivier

Poster une réponse

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *

Ce site utilise Akismet pour réduire les indésirables. En savoir plus sur comment les données de vos commentaires sont utilisées.

ANNONCES LÉGALES : CONSULTEZ ET PUBLIEZ !

Devis immédiat 24h/24
Attestation parution par mail
Paiement CB sécurisé

PUBLICITÉ

ARTICLES LES PLUS LUS

PUBLICITÉ

Pin It on Pinterest

Share This