Force est de constater que peu d’entreprises, notamment les PME et les TPE, sont armées pour résister aux cyberattaques. Or, contrairement aux idées reçues, celles-ci ne ciblent pas que les grandes entreprises.

Une stratégie de défense organisée

Tous les dirigeants devraient consacrer du temps pour identifier les risques de fraude propres à leur entreprise, ensuite pour cibler leurs efforts sur ceux qui leur paraissent les plus importants, afin de pouvoir agir avec efficacité.

Les trois piliers d’une bonne stratégie de défense reposent sur l’organisation de la défense par l’organe de gouvernance, la formation des salariés qui sont en première ligne lors d’une attaque – opérationnels et comptables – et le contrôle interne. Les tâches doivent être séparées, par exemple la validation d’une facture et son paiement, les procédures testées, vérifiées et mises à jour régulièrement.

Quelles actions mettre en place pour chaque scénario de fraude ?

Certaines actions incontournables peuvent être recommandées en fonction du type de fraude.

Contre la fraude au président, l’entreprise peut instaurer un seuil pour l’émission des virements, une obligation de double signature, et toujours de la sensibilisation et de la formation.

Contre la fraude au faux fournisseur (faux RIB) : en plus de la sensibilisation et de la formation, instaurer des contrôles systématiques sur les RIB, et disposer d’une base de fournisseurs complète, fiable et monitorée.

Contre la fraude au faux client : instaurer un processus de contrôle du client avant la commande (vérification de son existence, de son adresse…) et un processus d’acceptation du client.

Contre la fraude par phishing (récupération malveillante de données personnelles) : avoir des solutions anti-spam performantes et à jour, faire des formations internes avec des tests réguliers permettant de sensibiliser les salariés.

Contre les intrusions dans les systèmes d’information : établir, mettre en place et tenir à jour une politique de sécurité des systèmes, réaliser des audits des prestataires IT et des tests d’intrusion réguliers qui permettent d’avoir un regard externe sur la réelle fiabilité du système anti-intrusion.

En synthèse, la méthodologie est la suivante : sensibiliser les équipes, instaurer des procédures de contrôle interne, réaliser des audits du système d’information, concevoir et diffuser un plan de crise et de continuité.

Comment renforcer la maîtrise du risque IT ?

Dans 90 % des cas, les fraudes sont liées aux technologies de l’information. Les cyberattaques peuvent revêtir différentes formes : le phishing ou hameçonnage en français, où le fraudeur se fait passer pour une personne ou un organisme que la « victime » connaît ; le ransomware, où le fraudeur menace de détruire les données si l’entreprise ne verse pas une rançon ; l’attaque par supply chain, où le fraudeur s’introduit dans la chaîne logistique parfois sans que le développeur, le fabricant ou le client final ne le détecte ; le déni de service qui rend un service indisponible en l’inondant de demandes ou de données ; l’ingénierie sociale qui consiste à analyser très finement une personne en vue de crédibiliser la fraude ; et le spyware, l’espionnage industriel, dont l’entreprise peut ne pas se rendre compte pendant des années…

Pour contrôler ce risque cyber, les entreprises doivent suivre la même méthodologie. Tout d’abord mettre en place la gouvernance, identifier ses ressources métiers et informatiques, ses risques, puis définir sa stratégie en embarquant l’ensemble des salariés dans la démarche, qu’ils soient utilisateurs ou informaticiens. L’entreprise peut faire homologuer ses certifications, par exemple par l’ANSSI (Agence nationale de la sécurité des systèmes d’information). Elle pourra bâtir ensuite sa protection en se dotant des solutions qui permettent de sécuriser les systèmes d’information et se préparer au cas où une cyber-attaque se produit. L’entreprise devra prendre soin d’optimiser sa résilience afin que les équipes sachent comment agir pour « limiter la casse » si une cyber-attaque se déclenche.

De nombreux acteurs peuvent aider les entreprises dans leur démarche en proposant par exemple des référentiels de contrôle interne : des associations, des clubs d’utilisateurs et des acteurs institutionnels comme l’ANSSI qui publie régulièrement des bonnes pratiques, des conseils et qui organise des formations.

Exemples d’actions pour réduire le risque de cyber-attaques

Les actions sont connues mais il est toujours utile de les rappeler : identifier les services numériques pouvant être vecteurs de fraude notamment en accompagnant au mieux les salariés afin qu’ils n’aient pas besoin de télécharger eux-mêmes des logiciels ; maîtriser les logiciels et les mettre à jour ; renforcer l’authentification et la gestion des accès ; protéger son réseau, son matériel informatique et sa messagerie ; instaurer et superviser tous les moyens disponibles en matière de sécurité informatique ; encadrer les usages externes notamment lorsque les salariés télétravaillent et se déplacent.

Les bons réflexes face au phishing

Là encore, ils sont connus mais qui ne s’est jamais « fait avoir » lors d’une baisse de vigilance due à la fatigue ou au stress ? A réception d’un mail, le destinataire devra systématiquement vérifier l’adresse mail de l’expéditeur, s’interroger sur l’objet et le ton du mail ainsi que sur les éventuelles fautes d’orthographe, vérifier l’adresse des liens avant de cliquer en passant son curseur au-dessus dudit lien, vérifier l’adresse du site sur lequel on vous redirige, ne pas ouvrir la pièce jointe sans être certain de son origine et bien évidemment ne jamais se connecter sur des applications importantes (par exemple ses comptes bancaires) depuis un mail.

Les questions auxquelles il faut savoir répondre

S’ils veulent être certains de pouvoir être efficaces dans leur protection, les dirigeants doivent savoir expliquer précisément comment ils gèrent le risque de fraude, vérifier régulièrement que les contrôles sont opérationnels, analyser périodiquement les tiers, former leurs équipes, et être en veille des nouvelles formes de cyberfraudes qui émergent à chaque instant.

Etre au point sur la technique est fondamental, mais il ne faut jamais oublier que ce sont les humains qui peuvent faire barrière, d’où l’importance de la sensibilisation et de la formation.