Organiser la lutte contre les tentatives croissantes de fraude externe à l’ère du digital
La fraude externe est une fraude initiée par un individu ou un groupe externe à l’entreprise. La fraude se fait donc au détriment de l’organisme ciblé ou/et de ses clients. L’institut français de l’audit internet et du contrôle internes (IFACI) définit la fraude de la manière suivante : « La fraude consiste à tromper délibérément autrui pour obtenir un bénéfice illégitime, ou pour contourner des obligations légales ou des règles de l’organisation. Un comportement frauduleux suppose donc un élément factuel et intentionnel ainsi qu’un procédé de dissimulation de l’agissement non autorisé ». Avec les différentes vagues de transformations digitales des acteurs du secteur financier, les préjudices liés à la fraude externe ont connu ²une hausse critique ces dernières années. Les enjeux de sécurité sont donc au cœur des priorités dans le secteur bancaire et financier. La lutte contre la fraude externe à l’ère du digital s’organise dans le but de réduire de manière drastique la réussite des attaques et de faire face à des méthodes de fraude de plus en en plus sophistiquées.
Les typologies de fraude externe à l’ère du digital.
A l’ère du digital, les techniques de fraude externe les plus utilisées pour tromper les bénéficiaires des services financiers ou l’entité financière elle-même sont les cyberfraudes. En 2017, les pertes liées à la cyberfraude ont été évalué à 600 milliards de dollars[i]. Elles consistent à utiliser des outils ou procédés informatiques afin de perpétrer les actes délictueux. Les cyberfraudes sont aussi souvent associées à des méthodes d’ingénierie sociale (Fraude au président, faux fournisseurs ou faux techniciens) permettant ainsi d’exploiter les failles humaines par manipulation et d’accéder à des données confidentielles afin d’en tirer bénéfices. Les cyberfraudes les plus courantes sont les suivantes :
- Les rançongiciels (ransomwares) : Il s’agit de logiciels malveillants dont le but est de bloquer le système d’information de l’entreprise ciblée afin de la contraindre à payer une rançon pour lever le blocage
- L’hameçonnage (Phishing) : Cette méthode consiste à tromper la personne ou l’entité ciblée en se présentant comme un tier de confiance (Le fraudeur va par exemple se faire passer pour la banque du client) afin de lui voler ses données personnelles. Pour mener à bien l’attaque, le fraudeur va tenter d’introduire un malware dans le système d’information via différentes méthodes (email, sms, lien vers un site internet etc…). Une fois le malware installé discrètement sur l’ordinateur du client, le logiciel malveillant peut agir.
- La Fraude au président : Les fraudeurs usurpent l’identité du PDG afin de d’ordonner la réalisation d’un ou plusieurs virements bancaires en urgence vers des comptes à l’étranger sous couvert d’urgence et en appelant à la plus grande discrétion de l’employé manipulé.
- La Fraude au technicien : Elle consiste pour le fraudeur à se faire passer pour le service technique de la banque afin de voler les données bancaires des clients.
- Le fraude au faux mail : Les fraudeurs se font passer pour l’un des fournisseurs de l’entité ciblée afin de se faire payer une fausse facture.
Les moyens mis en place pour organiser la lutte contre la fraude externe
Afin de lutter contre le fléau de la cyberfraude, les acteurs du secteur financier construisent et orchestrent des plans de protections et sensibilisent leurs clients et fournisseurs afin que toutes les parties prenantes aient une véritable compréhension et conscience des risques encourus en cas d’attaques.
La lutte repose tous d’abord sur une bonne formation du personnel. Il faut sensibiliser régulièrement les équipes aux nouveaux risques existants et limiter la diffusion de l’information. Elle englobe par la suite la nécessité de connaître ses contreparties : Mettre en place et inciter les clients à disposer d’une procédure de vérification de l’identité du PDG, vendeur, responsable technique, client et agent fiscal permettant donc de lutter efficacement contre l’ingénierie social. La lutte demande aussi l’implication de certaines fonctions transverses clés.
En effet les équipes IT doivent prendre en charge et veiller à la sécurité du système d’information en mettant régulièrement à jour les anti-virus, en limitant les droits d’installations, en protégeant les bases de données et en déclinant les procédures de cybersécurité de concert avec la direction. La séparation des tâches et le bon usage des outils de paiements par un suivi strict des procédures de décaissements de fonds doit être l’autre clé de voute permettant de renforcer les éléments précités.
Enfin il est primordial d’organiser des contrôles externes par des prestataires spécialisés dans les tests d’intrusions pour tester la capacité résistance à des cyberattaques. La déclinaison d’une stratégie de lutte efficace doit donc inclure une formation et prévention appropriée, une bonne gouvernance, des audits externes, la mise en place d’un plan d’urgence et de continuité des affaires pour s’assurer que les mesures déployées sont les plus efficaces pour lutter contre la fraude externe à l’ère du digital.