Depuis
quelques années, les entreprises font l’objet d’un nombre croissant d’attaques
aux coûts toujours plus élevés. En effet, les escrocs connaissent de mieux en
mieux leurs cibles et exploitent leurs moindres failles, profitant d’un manque
de moyens et de vigilance, nous apprend une table ronde organisée en avril
dernier par la société Deveryware, spécialiste des questions de sécurité.
C’est une nouvelle dont on se passerait bien :
jamais la fraude ne s’est aussi bien portée. En 2021, un quart des entreprises
en ont ainsi fait les frais, avec un manque à gagner de plusieurs centaines de
millions d’euros. Les entités frauduleuses seraient quant à elles « en
progression de 300 % en un an », assure, lors d’une table ronde
organisée le 13 avril dernier, Alain Vernadat, directeur général de Deveryware,
société spécialiste de la sécurité. Des chiffres officiels « largement
sous-estimés », indique éric
Vernier, directeur de l’ISCID-CO (école de commerce international) et
spécialiste du blanchiment. La fraude serait en réalité bien plus importante,
« car il y a tout un pan qu’on ne connaît pas et parce qu’on ne la
détecte pas forcément ».
En
cause, un accélérateur idéal : la transformation digitale, qui génère
« de nouvelles failles à exploiter dans toutes les innovations »,
souligne la rédactrice en chef de Sécurité & Défense magazine, Mélanie
Beynard-Crozat. La fraude et la cybercriminalité explosent donc, boostées par
la crise du Covid et le développement du travail à distance, notamment du fait
de l’utilisation de réseaux non sécurisés.
Une
ingénierie sociale de plus en plus rodée
Ce qui inquiète éric Vernier, c’est la persistance des attaques. « Auparavant,
quand les criminels opéraient massivement par ransomware1, ils
voyaient si cela marchait, et si ce n’était pas le cas, ils lâchaient
l’affaire. Aujourd’hui, les escrocs vont jusqu’au bout. Ils peuvent envoyer un
virus ou un cheval de Troie sur un système informatique et attendre six mois,
un an. » Il y a là un véritable « danger mortel »
pour l’économie, alerte-t-il.
L’officier de gendarmerie Marc Peter, qui est aussi docteur en droit privé et
sciences criminelles, parle de « rationalisation » de
la fraude. « On s’aperçoit que les fraudeurs – du secrétaire
malintentionné en interne aux criminels organisés qui se livrent à une fraude
massive – rationalisent : ils vont tester, chercher les points de
faiblesse. D’abord ils testent un moyen : si cela fonctionne, ils
continuent. Si cela ne fonctionne pas, ils testent autre chose. »
En outre, en pénétrant dans le système informatique
d’une entreprise, les pirates peuvent savoir tout ce qui s’y passe, et
identifier les périodes les plus propices aux attaques. Une tactique consiste
notamment à lancer l'offensive lorsque le chef comptable a pris sa retraite, au
moment où son remplaçant « a pris ses marques mais n’a pas encore une
totale connaissance de la structure, ni reçu de formation sur la lutte contre
la fraude ».
Xavier Houillon, directeur fraude et criminalité
financière chez Deverywhere, explique que les escrocs vont identifier tous les
secteurs d’activité dans lesquels l’entreprise est susceptible d’avoir des
failles – qu’elles soient réglementaires, technologiques, ou qu’elles portent
sur les dispositifs de contrôle, sur les marchés nouveaux, etc. « Les
criminels se livrent à un véritable audit de votre organisation »,
relève-t-il. « Aujourd’hui, on arrive à un perfectionnement assez
pointu dans l'ingénierie sociale, c’est-à-dire la connaissance de l’entreprise
attaquée », complète éric Vernier, qui rappelle
que l’on est très loin de l’époque d’Al Capone, mais plutôt à l'ère des experts
recrutés sur le darknet. « L’univers de la fraude semble sans limites,
quant à la résilience des fraudeurs, elle est à toute épreuve »,
s’inquiète Mélanie Beynard-Crozat.
L’arnaque au président a la cote
Exemple « symptomatique » de
l’ingénierie sociale à l'œuvre, illustre éric Vernier : l’arnaque au président, entre autres
types de stratagèmes. Via ce procédé bien huilé, le fraudeur se fait passer
pour le donneur d’ordre d’une entreprise (président, directeur…) afin d’exiger d’un
collaborateur un virement international en urgence. Si dès les années 2000, les
sociétés ont été appelées à se prémunir via des workflows et des doubles
signatures, ce type de fraude est revenu en force il y a cinq ans, et la
France, dont le tissu de PME est considérable, fait figure de cible idéale.
Même les entreprises les plus avisées ne sont pas à
l’abri face à l’ingéniosité de certains pirates et aux technologies redoutables
dont ils s’arment, à l’instar de l’intelligence artificielle. éric Vernier évoque à ce titre une
affaire dont il a eu à connaître. Il s'agit du directeur financier d’une PME
qui reçoit un appel : au téléphone, visiblement paniquée, une dame d’un
certain âge qui n’est autre que la femme du fondateur et la mère du président
actuel, « vénérée par toute l’entreprise ». Alors qu’elle se
trouve en vacances aux Maldives depuis un mois, on vient de lui voler son sac,
et l’hôtel dans lequel elle réside lui demande de régler sa note de
100 000 euros, sans quoi elle sera amenée au poste de police,
assure-t-elle. Le directeur financier, affolé, appelle l’hôtel : le
receptionniste confirme toute l’histoire et demande le paiement de la somme
due. L’homme réalise donc le virement en catastrophe sur le compte indiqué. Il
s’avérera par la suite qu’il s’agissait d’une arnaque, puisque ses
interlocuteurs n’étaient en réalité ni la mère du PDG ni le personnel de
l’hôtel, mais des escrocs très bien informés, au scénario redoutable. « Ici,
la mère du président était la seule faille pour attaquer une entreprise
parfaitement préparée contre les risques », note éric Vernier.
Certains pièges arrivent heureusement
à être déjoués in extremis. Le spécialiste revient ainsi sur une tentative
d’arnaque au président à l’encontre d’une société spécialisée dans la promotion
immobilière internationale. Un jour, la PDG reçoit un appel de son frère,
également à la tête de l'entreprise qui lui demande un virement rapide de
200 000 dollars pour finaliser un contrat. Ils en discutent plusieurs fois
au téléphone, mais au bout de quelques jours, la dirigeante a des
soupçons : pourquoi ne pas avoir parlé plus tôt de cette grosse
affaire ? Elle a donc le réflexe d’appeler son frère sur son téléphone
fixe. « Ahuri, il lui répond qu’il n’est au courant de rien. Là encore,
des pirates avaient imité sa voix avec tous les tics verbaux possibles.
Imaginez tout ce que ces escrocs ont dû connaître et mettre en place [pour
tenter de duper l'entreprise !] »
Quand la vigilance baisse, attention
à l’impact !
Malgré leur vulnérabilité et en dépit des risques, les
entreprises rechignent à se prémunir, remarque éric Vernier, souvent par manque de moyens. Parfois, elles
investissent dans des dispositifs de protection et sont sensibilisées à la
problématique, mais c’est la routine qui vient les trahir. « On fait
attention au début, puis au bout d’un moment, la vigilance s’abaisse. On oublie
par exemple qu’il faut former les nouveaux arrivants », pointe le
spécialiste. Ce dernier mentionne également les biais de surconfiance qui
peuvent intervenir. « Les salariés se disent que des procédures sont en
place, qu’ils sont tranquilles », et là encore, la prudence
décroît.
Problème : quand l'arnaque se produit, elle fait
mal, très mal. Fait marquant, l’impact financier s’avère de plus en plus élevé,
puisque selon le dernier baromètre Euler Hermès de 2021, 14 % des
entreprises interrogées déclarent un préjudice supérieur à 100 000?euros,
en augmentation de 4?points par rapport à l’année précédente, et 1/5e
déclarent avoir subi des dommages supérieurs à près d’1 million de
dollars. « Les escrocs tapent beaucoup plus fort », observe
Mélanie Beynard-Crozat. Parallèlement, le coût de la fraude est bien souvent
sous-estimé, signale Xavier Houillon. « Financièrement, il ne faut pas
oublier que si une entreprise est victime de 5 millions d’euros de fraude sur
un faux virement prestataire, par exemple, le vrai prestataire lui aussi va
réclamer les 5 millions. Cela signifie 10 millions de trésorerie qui
sortent : or, toutes les entreprises n’ont pas la solidité financière pour
pouvoir absorber ce double règlement, ni d’assurance qui va payer sous 24h. »
Par ailleurs, tout aussi dommageables sont les
répercussions portant sur l’image de l’entreprise. Le directeur fraude et
criminalité financière fait remarquer que traditionnellement, les
entreprises associaient la fraude « à un risque économique »,
car ce phénomène a « longtemps été appréhendé comme un business
model ». Les dirigeants chiffraient en amont la perte liée à la fraude et
la réintégraient dans le système de prix global des ventes qu’ils souhaitaient
réaliser. « Or, on s’aperçoit que la fraude a des incidences plus
importantes : avec la digitalisation, les entreprises courent de nombreux
risques sur le plan réputationnel. Aujourd’hui, la concurrence est indexée sur
la bonne presse d’une entreprise », affirme Xavier Houillon. Lorsque
les entreprises sont cotées sur les marchés, il y a ainsi une incidence directe
de la cotation sur la valorisation. De façon encore plus palpable, la fraude peut
avoir un impact sur l’attractivité, et décourager des talents à postuler ;
freiner les recrutements ou accélérer les départs. « L’entreprise va
donc avoir des difficultés à préserver ses ressources internes si elle est
exposée fortement à la fraude, car cela crée une ambiance anxiogène,
synthétise Xavier Houillon. D’autant qu’avec la crise sanitaire, le climat
n’est pas toujours facile, beaucoup de contraintes sont venues altérer la vie
de tout un chacun. »
Une meilleure sensibilisation
Alors, quelles solutions pour protéger son entreprise ou
pour éviter une récidive ?
En amont, Eric Vernier plaide pour la sensibilisation de
tous dans l’entreprise, et la formation des services les plus sensibles à la
question, le tout « avec des piqûres de rappel ». Les grandes
campagnes de communication, le spécialiste y croit peu. Selon lui, si les
formations juridiques sont importantes, « il faut d’abord expliquer aux
gens pourquoi il est nécessaire de lutter contre la fraude, et utiliser des
images fortes. Mettre en avant les risques pour l’entreprise ; faire
comprendre que s’il n’y a pas de blanchiment, il n’y aura pratiquement plus de
crime organisé. » Sans quoi, les gens « n’intégreront pas »,
assure-t-il. Le sujet de la lutte contre la fraude doit toutefois passer en
premier lieu par la gouvernance, juge Xavier Houillon. « Dans un
système pyramidal d’entreprise de gouvernance, il est difficile d’attendre de
la base qu’elle soit acteur majeur si la gouvernance ne porte pas le discours
et n’a pas organisé son entité pour pouvoir intégrer cette menace et y faire
face. »
Par ailleurs, lorsque l’entreprise est malgré tout
victime d’une fraude, pas question de rester attentiste. Xavier Houillon
utilise l’ « analogie de la fuite d’eau ». « Quand
il y a une fuite d’eau dans une maison, généralement on se demande si l’on a
assez de moyens pour l’éponger : est-ce que mon seau est assez gros,
est-ce que j’ai assez de serpillières ? Mais surtout, on doit se poser la
question de savoir par où est passée l’eau, comment elle s’est infiltrée,
comment elle a ruisselé pour pouvoir arriver là. » S’attaquer à
l’origine de l’infiltration, voilà donc la stratégie à adopter pour comprendre
ses failles et éviter de faire l’objet du même type d’attaque à l’avenir.
En
parallèle, le directeur fraude et criminalité financière estime également qu’il
faudrait que le législateur encadre davantage le sujet pour éviter que la
croissance de la fraude ne se poursuive. Mais de l’avis d’Eric Vernier, « tout
existe déjà » : des dispositions suffisantes, des services
spécialisés… À son sens, « Il n’y a pas besoin de créer quoi que ce
soit. Ce n’est pas une question de loi, mais de volonté sur le terrain. »
Pour les dirigeants en quête d’accompagnement, Deveryware vient de publier un
livre blanc consacré à ce « fléau aux mille visages », et propose une
série de solutions pour anticiper et se protéger contre ce phénomène « qui
touche tout le monde ».
1) Logiciel malveillant qui bloque
l'accès à l'ordinateur ou à certains fichiers.
Bérengère Margaritelli