En 2023 les pertes financières reliées aux fraudes de tout genre se sont chiffrées à 569 millions de dollars.[1] Les couches de sécurité se multiplient pour protéger les renseignements sensibles, mais les criminels se tournent de plus en plus vers des tactiques de manipulation psychologique * pour contourner ces barrières. La pratique de l’ingénierie sociale est une menace croissante pour les entreprises québécoises.
L’une des fraudes les plus courantes et redoutables utilisant l’ingénierie sociale est la fraude du président. Cette technique trompeuse a connu une augmentation inquiétante depuis 2014 au Québec[2], rendant impératif pour les entreprises et les individus de comprendre et de se protéger contre ces attaques.
Cet article explore la nature de l’ingénierie sociale, la fraude du président, les raisons de leur montée en puissance, les limites des assurances actuelles face à ces menaces, et les mesures à prendre pour renforcer la sécurité des entreprises.
QU’EST-CE QUE L’INGÉNIERIE SOCIALE ET LA FRAUDE DU PRÉSIDENT?
L’ingénierie sociale consiste à manipuler des individus pour obtenir des informations confidentielles. Les criminels utilisent plusieurs tactiques de manipulation psychologique pour inciter leurs victimes à révéler des données sensibles.
La fraude du président est une forme spécifique d’ingénierie sociale. Ici, l’arnaqueur se fait entre autres passer pour un dirigeant d’entreprise, comme le PDG, et demande à un employé de transférer de l’argent ou de divulguer des informations sensibles. L’escroc utilise souvent l’urgence ou l’autorité pour convaincre l’employé de se conformer rapidement sans poser de questions.
Les fraudeurs sont préparés, ils investissent du temps et des efforts pour apprendre à connaître leurs cibles.
Voici un exemple typique de la fraude du président :
Un employé de la comptabilité reçoit un appel d’un avocat affirmant que dans quelques minutes, il recevra un courriel de son patron lui donnant l’autorisation de procéder à une transaction pour l’acquisition d’une entreprise à l’international.
L’avocat semble sûr de lui et connaît des détails importants sur l’entreprise. L’employé reçoit effectivement un courriel provenant de son patron. Tout semble crédible. Il suit donc les instructions. En quelques heures, le compte bancaire de l’entreprise est dévalisé : 200 000 $ volatilisés comme s’ils n’avaient jamais existé. L’argent se déplace rapidement; en l’espace de quelques jours, l’argent a voyagé à travers plusieurs pays. L’entreprise se retrouve en difficulté et trois employés perdent leur emploi pour permettre le rétablissement de la situation.
Cette histoire peut sembler exagérée, mais c’est pourtant ce qui s’est produit avec l’entreprise Monsieur Cocktails, une entreprise de chez nous.[3]
Ce type d’ingénierie sociale joue sur l’autorité et l’urgence, piégeant souvent les employés à commettre une action qui aura de lourdes conséquences.
POURQUOI LES ATTAQUES D’INGÉNIERIE SOCIALE SONT-ELLES EN HAUSSE?
Les attaques d’ingénierie sociale sont en hausse pour les entreprises de tous types, car elles exploitent les faiblesses humaines. Avec la mise en place de mesures de sécurité comme l’authentification multifacteur (MFA)**, les criminels trouvent plus difficile de pénétrer directement les systèmes informatiques. Ils se tournent donc vers l’ingénierie sociale, qui contourne souvent les défenses technologiques en s’attaquant directement à l’humain.
En tant qu’entreprises, il est important de comprendre que même avec des systèmes de sécurité avancés, les employés restent une cible vulnérable.
EST-CE QUE MON INSTITUTION FINANCIÈRE ME PROTÈGE POUR CE GENRE DE SITUATION?
Malheureusement, non. En premier lieu, vous pouvez agir rapidement et contacter votre institution financière pour vérifier s’il est possible d’annuler le virement frauduleux, mais dans la majorité des cas, l’argent ne reviendra pas dans votre compte. Puisqu’il s’agit d’un crime, il est important de déposer une plainte auprès des autorités locales et de signaler l’incident au centre anti-fraude du Canada.
LES LIMITES DE L’ASSURANCE CYBERRISQUES (SECTION CRIMINALITÉ) ET L’ASSURANCE CRIME
En matière de cyberrisques, l’ingénierie sociale représente une menace unique.
La section criminalité d’une police cyber offre des limites plus restreintes pour les incidents d’ingénierie sociale. Malgré cette limitation, cette section offre souvent des solutions à l’avant-garde de la technologie (comme l’utilisation du « Deep fake»***) pour couvrir l’ingénierie sociale.
Des limites d’assurance plus élevées peuvent être obtenues via l’assurance crime, qui couvre les pertes financières dues à la fraude, incluant l’ingénierie sociale. Les garanties ont également une plus grande étendue.
Il est essentiel pour les entreprises de combiner ces deux types d’assurance pour une protection complète.
COMMENT SE PROTÉGER CONTRE L’INGÉNIERIE SOCIALE?
Pour se défendre contre l’ingénierie sociale, il est crucial de former les employés à reconnaître les signes de fraude. Voici quelques conseils pratiques :
– Vérifier les demandes inhabituelles : Toujours confirmer les demandes de transfert d’argent ou d’informations sensibles par un autre moyen de communication.
– Sensibilisation continue : Organiser des formations régulières sur la sécurité et l’ingénierie sociale.
– Mise en place de procédures de sécurité : Établir des protocoles stricts pour les transactions financières et les partages d’informations.
– Utiliser des outils technologiques : Adopter des solutions qui détectent et bloquent les tentatives d’hameçonnage **** et autres attaques d’ingénierie sociale.
L’ingénierie sociale est une menace qui profite de la confiance humaine pour contourner les mesures de sécurité technologiques. La fraude du président, en particulier, rend la sensibilisation et la formation des employés plus cruciales que jamais.
En tant qu’entreprise, il est important de revoir vos couvertures d’assurance pour s’assurer qu’elles sont adéquates et qu’elles vous protègent contre cette menace. En prenant des mesures proactives, on peut tous contribuer à réduire les risques et à protéger nos organisations contre les criminels.
N’attendez pas qu’il soit trop tard, commencez dès maintenant à renforcer vos défenses contre l’ingénierie sociale.
* Les Tactiques de Manipulation psychologique lors d’une fraude sont des méthodes utilisées par des escrocs pour tromper les gens. Elles incluent mentir, faire semblant d’être quelqu’un d’autre, créer un sentiment d’urgence ou de peur, et gagner la confiance pour obtenir des informations personnelles ou de l’argent.
** L’authentification multi-facteurs (MFA) est une méthode de sécurité qui utilise plusieurs étapes pour vérifier l’identité d’une personne. Par exemple, en plus de saisir un mot de passe, vous devez aussi entrer un code envoyé sur votre téléphone. Cela rend l’accès à vos comptes plus sûr.
*** Deep fake: L’hypertrucage utilise l’intelligence artificielle pour créer des vidéos, images ou sons qui semblent réels, mais sont faux. Par exemple, il peut faire dire ou faire faire à quelqu’un quelque chose qu’il n’a jamais dit ou fait, en modifiant des vidéos existantes de manière très convaincante.
****L’hameçonnage est une arnaque où des escrocs trompent les gens pour obtenir leurs informations personnelles, comme des mots de passe ou des numéros de carte de crédit. Cela se fait souvent par de faux courriels ou messages qui semblent provenir de sources fiables.
