Les entreprises petites ou grandes, quel que soit leur secteur d’activité, sont de plus en plus victimes de fraudes opérées à distance. Les pirates vont dans un premier temps collecter une somme d’informations sur leur cible afin de mieux exploiter ses failles. Puis ils passent à l’attaque.
Le fraudeur se fait passer (par mail ou par téléphone) pour le président de la société auprès d’un salarié habilité à effectuer les paiements. Ce risque est renforcé par l’intelligence artificielle qui permet désormais de créer des vidéos imitant en tous points (image et voix) le dirigeant de l’entreprise, lequel demande à son collaborateur de réaliser un transfert de fonds en évoquant l’urgence et la confidentialité. Contraint de ne pas respecter les procédures, le collaborateur, mis sous tension, transfère alors les fonds exigés vers un compte frauduleux, le plus souvent situé à l’étranger, ce qui rend plus difficile la récupération de l’argent détourné.
Autre exemple, un escroc se fait passer pour un technicien informatique qui, sous prétexte de tests techniques et de sécurité ou de vérifications d’opérations prétendument frauduleuses, invite un salarié à se connecter à la banque en ligne de l’entreprise ou lui propose de prendre le contrôle de son poste informatique. Le pirate récupère ainsi les codes d’accès aux comptes de l’entreprise.
Le fraudeur peut également utiliser une adresse courriel proche de celle d’un fournisseur habituel de l’entreprise pour faire modifier des données bancaires afin de recevoir des paiements. S’il est tenté de contrôler l’authenticité de la demande, un salarié pourra être dupé par le numéro de téléphone du fournisseur qui s’affiche et qui est usurpé.
Se protéger contre les attaques
L’entreprise peut se protéger contre ces malversations, d’abord en entravant la collecte de ses données sensibles par les escrocs. Une première étape consiste ainsi à ne pas publier des organigrammes ou des agendas détaillés sur son site ou sur les réseaux sociaux.
La connaissance précise des modes opératoires et la sensibilisation régulière des salariés aux mesures de sécurité permet également de déjouer les attaques.
L’entreprise doit aussi s’assurer de la robustesse de ses systèmes d’information, en mettant à jour ses applications, en testant régulièrement ses procédures informatiques, et en instaurant des mesures de prévention comme différencier la personne qui saisit un ordre de transfert financier de celle qui le valide.
Des outils de gestion de comptes bancaires permettent par ailleurs de faire des vérifications. En cas de doute, il vaut mieux contacter en urgence sa banque. Si l’alerte est donnée à temps, elle permet souvent de bloquer la fraude.
