Mars est le mois de sensibilisation à la fraude, l’occasion parfaite de s’informer des dernières tendances et des mesures à prendre pour protéger son entreprise.
TLPL
-
Les fraudeurs d’aujourd’hui recourent à de vieilles techniques éprouvées et à des technologies modernes.
-
En matière de prévention, les entreprises canadiennes ont fait des progrès, mais les fraudeurs évoluent aussi – force est de suivre le rythme.
-
Les processus de vérification sont essentiels, mais pour être efficaces, ils doivent être suivis méthodiquement. Un bon système de documentation peut assurer la rigueur nécessaire.
-
Dans son principe, la prévention de la fraude n’a pas à être une activité exagérément coûteuse pour une PME canadienne. Le plus important, c’est de sensibiliser et de former les intervenants tout en s’assurant de processus efficaces.
Au cours d’un récent entretien, Michael Argast, cofondateur et chef de la direction de Kobalt.io, a évoqué le contexte actuel de la fraude, indiqué comment les entreprises canadiennes s’en tirent et énuméré les mesures faciles à prendre qui peuvent les aider efficacement à se protéger contre les grandes menaces de l’heure.
Fraude commerciale : les tendances actuelles
Les attaques les plus courantes actuellement n’ont rien de bien nouveau, mais les méthodes évoluent avec la technologie et en fonction des processus de surveillance et de prévention des entreprises, aujourd’hui plus sophistiqués. Voici les grandes tendances.
-
Courriels d’affaires compromis – Cette technique consiste pour le fraudeur à se faire passer pour le responsable autorisé des décisions financières de l’entreprise, afin de pouvoir virer des fonds ou de s’approprier des données sensibles qui lui permettront de commettre tel ou tel autre méfait. « Ce n’est plus une technique nouvelle, mais elle a encore été l’une des plus utilisées ces 12 derniers mois », précise Michael Argast, qui ajoute que les pertes financières encourues à chaque fois sont généralement comprises entre 100 000 et 250 000 dollars – un lourd tribut, pour une PME.
-
Recours à l’IA – Ces 12 derniers mois, les médias ont fait état de quelques cas notables où un fraudeur a fait subir d’importantes pertes financières à une entreprise en se faisant passer pour l’un de ses hauts dirigeants, grâce à l’intelligence artificielle. Voici l’affaire sans doute la plus connue : l’un des employés d’une société de Hong Kong s’est vu demander par son directeur financier d’effectuer une opération confidentielle. Un sosie du directeur obtenu par hypertrucage ayant confirmé l’opération par appel vidéo, l’entreprise a perdu plus de 25 millions de dollars américains.
Les propriétaires de PME peuvent se croire à l’abri d’attaques aussi évoluées, mais l’IA a permis aux fraudeurs d’élargir leur champ d’action et il leur est facile aujourd’hui de s’en prendre aussi à des entreprises relativement modestes. « Les outils sophistiqués permettant de se faire passer pour un cadre de l’entreprise visée sont désormais abordables et répandus, note Michael Argast. Leur utilisation par des fraudeurs de moindre envergure est incontestablement en hausse. »
-
Fraudes commises de l’intérieur – Ce genre de fraude n’est pas nouveau non plus, mais Michael Argast explique que quand les temps sont difficiles, on observe une hausse des cas d’inconduite financière. « Il n’y a pas moins de fraudes de ce type qu’avant. C’est un problème qui a toujours existé, mais en période de difficultés financières, les cas se multiplient. Dans bien des entreprises, du reste, on ne suit pas les meilleures pratiques ; quand on est de plus en plus occupé, il est plus facile de confier les opérations financières à une ou deux personnes seulement – un contexte favorable à la fraude… »
-
Obtention des clés d’authentification multifacteur par hameçonnage – D’après Michael Argast, près de 80 % des entreprises canadiennes recourent à l’authentification multifacteur, qui impose aux utilisateurs de satisfaire à au moins deux mécanismes de vérification avant de pouvoir accéder à tel compte ou système. Un chiffre rassurant, certes. Seulement, les entreprises ne doivent pas s’imaginer que l’authentification multifacteur est la panacée. « Les employés et les utilisateurs externes doivent savoir que, là encore, il y a possibilité d’hameçonnage. La technique réduit les risques d’accès non autorisé, mais si le fraudeur parvient, par hameçonnage, à obtenir les codes en même temps que votre nom d’utilisateur et votre mot de passe, les portes lui seront grandes ouvertes. »
Les fraudes par chèque existent encore
Toutes les fraudes ne se font pas par voie numérique ! Bien des entreprises utilisent encore les chèques, même si la plupart des opérations commerciales se font en ligne ou par carte. Aussi les fraudes par chèque sont-elles encore nombreuses au Canada. Il faut donc veiller à procéder à tous les contrôles requis, se poser des questions quand un chèque arrive plus tôt que prévu ou est d’un montant trop élevé, et placer les chéquiers en lieu sûr.
Conseil. Certains services d’atténuation du risque de fraude constituent une bonne ligne de défense. Le service Appariement des bénéficiaires RBC, par exemple, consiste pour les entreprises qui répondent aux critères voulus à fournir à RBC les caractéristiques des chèques qu’elles comptent utiliser. Les chèques qui ne correspondent pas sont marqués comme tels ; l’entreprise peut alors soit les payer, soit les retourner.
Comment les entreprises composent-elles avec les risques de fraude
La prévention des fraudes est clairement une priorité pour les entreprises. D’après un sondage récent de la Fédération canadienne de l’entreprise indépendante (FCEI), 50 % d’entre elles appliquent des processus de vérification des paiements plus rigoureux, 36 % ont accru leurs investissements en cybersécurité et plus du tiers forment davantage leur personnel.
En discutant avec des propriétaires d’entreprise, Michael Argast a pu effectivement constater qu’ils sont plus vigilants. Non seulement l’authentification multifacteur s’est généralisée, mais les entreprises veillent davantage à créer des copies de secours, ce qui réduit les risques de rançonnage.
Michael Argast a également constaté un changement de comportement : de plus en plus souvent, les employés qui se font demander de modifier un compte ou une procédure de paiement font des vérifications. « Il y a trois ans, les gens n’avaient pas l’habitude de vérifier par téléphone lorsqu’ils recevaient ce genre de courriel. Le pli a été pris dans la plupart des entreprises. »
Néanmoins, les négligences courantes font que les entreprises demeurent vulnérables. Comment renforcer vos défenses ? Voici des suggestions.
6 manières peu coûteuses de protéger votre entreprise des fraudeurs
-
Mettre sur pied des processus de vérification préétablis
Le mécanisme de protection élémentaire consiste à définir des politiques et procédures de vérification consistant pour l’employé qui reçoit une demande par un canal de communication donné (sous la forme d’un courriel, par exemple) d’en vérifier la provenance par un autre canal (message Slack, appel téléphonique, etc.). Michael Argast pense que les entreprises devraient aller plus loin et prescrire les canaux de vérification à utiliser. « Ne laissez pas les employés s’ingénier à trouver la meilleure façon de s’y prendre ; facilitez-leur la vie en la leur imposant. »
-
Appliquer méthodiquement les mécanismes de vérification et les documenter
Michael Argast explique que beaucoup d’entreprises pèchent par manque de méthode. « Édicter la politique de vérification à suivre ne suffit pas, il faut aussi consigner ce qui est fait dans la pratique. Rien de tel pour systématiser les comportements. Quand on n’agit pas méthodiquement, les fraudeurs trouvent généralement le moyen d’en tirer parti. »
-
Surseoir aux demandes inhabituelles
Les progrès de l’IA ont rendu plus difficile la validation des demandes en ligne – les fraudeurs peuvent aujourd’hui emprunter la voix ou prendre l’apparence de personnes hors de tout soupçon. Michael Argast recommande donc de redoubler de vigilance. « Vos employés doivent se sentir habilités à faire barrage et à se méfier de tout ce qui sort de l’ordinaire. »
-
Insister sur la formation de votre personnel financier
Tous les employés doivent certes être formés aux problèmes de fraude, mais il est essentiel que ceux qui effectuent des opérations financières ou qui doivent prendre des décisions connaissent les tactiques les plus récentes des fraudeurs et sachent comment y parer. N’hésitez pas à faire suivre par votre personnel clé des programmes de sensibilisation et de formation à la prévention menés par des spécialistes comme ceux de Kobalt.io.
-
Ne pas oublier les fournisseurs et les services de soutien financier externes
Si vous sous-traitez des tâches comme la comptabilité ou la gestion des données, veillez à ce que vos partenaires aient le niveau de formation voulu et qu’ils appliquent des politiques antifraude appropriées. « Votre comptable externe est autorisé à faire des paiements en votre nom ? Demandez-lui quelles sont ses pratiques de vérification. Si sa réponse n’est pas satisfaisante, il peut être préférable de vous adresser ailleurs. »
-
Recourir éventuellement à un service de surveillance
Enfin, ajoute Michael Argast, la surveillance permanente de votre écosystème informatique peut contribuer à prévenir les cyberattaques. « Plus vite on détecte une atteinte à la sécurité, plus vite on peut réagir et sauver la mise. »
Si vous faites partie des nombreux propriétaires d’entreprise qui ont renforcé leurs stratégies et méthodes de prévention, vous êtes en mesure de parer aux fraudes. Le mieux est de se tenir constamment informé des tendances observées en la matière et des nouvelles tactiques utilisées par les fraudeurs.
N’hésitez pas à utiliser les ressources gratuites ci-dessous :
La cybersécurité dans votre entreprise (page Web RBC)
Guide électronique : Comment devenir une entreprise résiliente face aux rançongiciels
