Administrations et collectivités territoriales / Assurance / BTP / BUP / Cybersécurité / ERP/IGH / Industrie/ICPE / Sécurité privée
Pourquoi les organisations doivent-elles se protéger contre les attaques dites de la « fraude au président » ?
Si la fraude au président se déroule tout au long de l’année, elle est plus fréquentes dans les périodes de trouble ou les périodes de congés. Le but du fraudeur est de profiter de l’absence des responsables « comptes clients », « comptabilité » et « sécurité informatique » au sein de l’entreprise afin de tromper plus facilement sa victime.
Les organisations sont exposées à une multitude d’attaques aux origines variées. C’est souvent pour cela qu’il est si difficile de sécuriser efficacement les environnements informatiques. Un grand nombre d’attaques sont lancées par des hackers ou des acteurs malveillants qui ont des motivations différentes. Ils peuvent s’en prendre à une organisation pour dérober ses données, nuire à sa réputation ou l’utiliser comme tremplin pour atteindre une cible plus importante aux yeux des hackers.
Parfois, les cybercriminels cherchent aussi à s’enrichir – c’est l’une des raisons pour lesquelles les ransomwares sont aujourd’hui si fréquents. Toutefois, un autre type d’attaque impacte directement sur les résultats financiers d’une entreprise : l’attaque BEC (pour business email compromise), aussi appelée « fraude au président ».
Qu’est-ce qu’une attaque BEC, dite de “fraude au président” ?
Une attaque BEC consiste, pour un cybercriminel, à envoyer à sa victime un e-mail frauduleux dans l’espoir de lui dérober de l’argent. Cet e-mail contient souvent une fausse facture ou un message prétendument rédigé par un haut responsable d’une entreprise invitant le destinataire (un employé) à transférer des fonds sans préalablement obtenir les autorisations nécessaires.
Souvent rudimentaires, les attaques BEC peuvent être aussi sophistiquées dans leur ciblage et peuvent être redoutablement efficaces car elles associent le piratage psychologique et les techniques traditionnelles d’hameçonnage. D’après une étude de la division du FBI chargée de lutter contre la cybercriminalité (IC3), les attaques BEC sont 62 fois plus rentables que les attaques par ransomware. Plusieurs facteurs expliquent leur efficacité :
- Ces attaques visent des employés qui ne se méfient pas : à la différence des spams ou des tentatives d’hameçonnage qui ciblent sans distinction des services entiers ou même toute une entreprise, une attaque BEC suppose une recherche plus approfondie, l’idée étant d’adresser le message frauduleux à la personne habilitée à transférer les fonds.
- Le message invite à agir dans l’urgence : les attaques BEC insistent sur l’urgence de la situation pour que le transfert soit effectué le plus rapidement possible. La victime peut décider de traiter cet e-mail en priorité pour satisfaire l’expéditeur présumé (les hackers se faisant souvent passer pour le PDG ou le directeur financier).
- Les cibles sont choisies avec précision : les attaquants font preuve d’une certaine sophistication pour définir leur cible : ils font souvent consciencieusement des recherches sur l’entreprise et leur victime pour augmenter leurs chances de réussite.
Les attaques BEC sont assez lucratives : elles ont coûté aux entreprises 1,8 milliard de dollars en 2021, se classant ainsi parmi les attaques aux plus lourdes conséquences financières.
Les cibles d’une attaque à la « fraude au président »
En principe toutes les organisations peuvent être touchées par une telle attaque, mais le risque est plus élevé pour les grandes entreprises. Les plus petites sociétés et les start-up sont moins souvent visées car les attaques sont généralement repérées avant que le transfert de fonds n’ait lieu.
En revanche, les grandes entreprises, et en particulier les banques, qui doivent traiter un grand nombre de transactions et de factures, sont des cibles de choix. Les attaquants savent que dans les grandes entreprises les process hiérarchiques sont souvent longs et lents : il y a donc de plus grandes chances qu’une facture soit approuvée. Les cybercriminels auront plus de temps pour récupérer leur butin et couvrir leurs traces avant que la supercherie ne soit découverte.
Les institutions politiques peuvent aussi subir un certain nombre d’attaques BEC. Ces structures font souvent appel à une multitude de fournisseurs et de sous-traitants, et elles ont parfois plus de mal à faire la différence entre les vraies et les fausses factures.
Se protéger contre ce type d’attaque
Les employés constituent souvent la première (et la seule) ligne de défense. C’est donc auprès d’eux que les mesures proactives doivent être mises en œuvre. En voici quelques exemples.
- Sensibilisation à la sécurité : toutes les organisations doivent mettre en place un programme de sensibilisation à la sécurité, c’est la première étape. Les collaborateurs doivent au moins pouvoir comprendre les attaques auxquelles ils sont exposés, dont les attaques BEC.
- Formation spécifique sur les attaques BEC : pour les personnes et services à haut risque (notamment le service financier), il peut être utile de proposer une formation afin d’apprendre aux équipes ce que sont les attaques BEC, à quoi elles ressemblent et comment y faire face.
- Simulation : elle peut être un bon moyen de mieux comprendre les risques liés aux attaques BEC de savoir si le service concerné est bien préparé et de repérer les personnes qui pourraient bénéficier d’une formation complémentaire.
- Politiques relatives aux factures et aux transferts de fonds : la mise en place de politiques, empêchant le règlement des factures sans l’autorisation préalable de certains responsables, peut être efficace pour se protéger contre les attaques BEC : les étapes de vérification supplémentaires sont autant d’occasions de repérer un e-mail douteux ou une fausse facture avant son règlement.
- Outils de contrôle et de détection des e-mails : en fonction de la tolérance au risque de l’entreprise, celle-ci doit se doter d’outils de contrôle et de détection capables de filtrer les domaines problématiques et de bloquer les expéditeurs malveillants. C’est un rempart de plus contre les attaques automatisées, qui peut même éviter à vos employés de recevoir le moindre e-mail compromettant.
Les attaques BEC sont dangereuses mais pas invincibles
Il est indispensable de défendre les organisations contre les attaques BEC, mais cela suppose une approche plus ciblée visant à réduire leurs effets potentiels. Les collaborateurs doivent être conscients des répercussions possibles des attaques de ce type, mais aussi de leur fréquence. Ils doivent bien comprendre qu’il ne s’agit pas d’un spam inoffensif.
Les attaques BEC se soldent souvent par des pertes. Il est donc impératif de s’en prémunir. Outre la sensibilisation et la formation, les solutions de sécurité des e-mails sont d’autres moyens utiles pour renforcer ses défenses. Les entreprises n’auront plus à compter uniquement sur la vigilance de ses employés pour éliminer tous les e-mails frauduleux qu’elle reçoit.
Les plus lus…
L'arrêté du 4 novembre 2024 relatif aux meilleures techniques disponibles (MTD) - applicables aux installations du secteur de la…
Le risque est-il singulier, pluriel ou les deux ? Plusieurs approches existent pour évaluer les risques, les quantifier et les…
Un décret portant application de l'article 40 de la loi n° 2023-175 du 10 mars 2023 relative à l'accélération…
Au cours de la vie professionnelle, les travailleurs peuvent être victimes d’un accident. Dans ce cas, des démarches doivent être…
Cette fiche réflexe a été créée dans un contexte où la menace drone est trop souvent ignorée, et où…
La société Rolland, spécialisée dans la conception et la fabrication de sprinkleurs pour les réseaux de protection incendie, obtient…