Category: Vulnérabilité humaine

Fraude au président : un révélateur des failles d’une organisation

Fraude au Président Enquête – Pour une entreprise, même petite ou moyenne, se trouver confrontée à une tentative de fraude n’est aujourd’hui plus une question d’éventualité, mais de simple échéance. Une lutte efficace passe par la sensibilisation, la réflexion sur les processus de décision… et l’adoption d’un mode de management approprié.

Pour une entreprise, même petite ou moyenne, se trouver confrontée à une tentative de fraude n’est aujourd’hui plus une question d’éventualité, mais de simple échéance. Une lutte efficace passe par la sensibilisation, la réflexion sur les processus de décision… et l’adoption d’un mode de management approprié.

Fraude au Président enquête – L’explosion des fraudes aux entreprises

Le FBI a publié au printemps une enquête alarmante, parlant d’un « accroissement spectaculaire des fraudes au président, qui aurait coûté 2,3 milliards de dollars aux entreprises entre octobre 2013 et février 2016. Une estimation qui se base sur les plaintes reçues dans 79 pays, émanant de 17 462 entreprises de toutes tailles.

Le scénario est désormais connu. Le vendredi soir, un comptable isolé reçoit un message comminatoire de son président, lui enjoignant d’effectuer un virement sans délai. Il peut s’agir d’une affaire commerciale qui se décide au dernier moment et pour laquelle une somme doit être versée sans tarder à un intermédiaire. Ou d’une facture en souffrance à acquitter. Ou du rachat d’une entreprise étrangère pour lequel il faut verser un acompte afin de bloquer l’accord. Tout est toujours aussi urgent que hautement confidentiel…

La crédulité du comptable qui obéirait sans précautions est-elle aussi inconcevable qu’il y paraît ?

La peur du patron est l’alliée des fraudeurs

Voire. Car comme l’explique sur un blog spécialisé Frédéric Laura, psychologue du travail installé en région parisienne, la question concerne aussi, et peut-être surtout, l’encadrement. Dans sa pratique, le thérapeute a pu observer des constantes dans les cas de fraude au président réussie. Les entreprises victimes se caractérisent très souvent par l’autoritarisme de leurs dirigeants. A commencer par celui du Big Boss lui-même.

Comment dire non ?

Dans les cas où l’escroquerie réussit, la hiérarchie est souvent très éloignée de salariés, au point d’en être invisible et inconnue. C’est la brèche dans laquelle va s’engouffrer le malfaiteur : comment dire non, ou même discuter l’ordre de quelqu’un que l’on ne connait pas mais qui représente un pouvoir suprême, « quasiment mythique » ? Pour y parvenir, l’escroc se documente en amont sur les réseaux sociaux, en détaillant les organigrammes. Par cette ingénierie sociale, il apprend à connaître sa future victime. Il y trouve aussi des éléments lui permettant d’endosser la personnalité d’un dirigeant nouvellement arrivé, où d’incarner le manager d’une entité venant d’intégrer le groupe. Des personnages avec lequel le collaborateur de base hésitera à débuter une relation par un refus d’obtempérer…

Fraude au Président enquête – Partager l’expérience et les erreurs

Quand le mal est fait, explique Frédéric Laura, trop d’entreprises se focalisent sur la « faute » du collaborateur, allant jusqu’à le harceler pour qu’il s’explique, quelquefois pendant des mois. Une autocritique qui rappelle les techniques des maoïstes chinois pendant la révolution culturelle… Mais qui passe à côté des vraies questions.

L’incapacité à partager une expérience négative est particulièrement dommageable. Par exemple, en matière de sécurité informatique, les occasions d’échanger avec ses collaborateurs à propos de tentatives (avortées ou non) d’intrusion d’escrocs sont autant d’opportunités manquées d’élever leur niveau de vigilance.

Pour une entreprise, se trouver confrontée à une tentative de fraude s’apparente aujourd’hui à une certitude. Ce n’est que par une réflexion sur les processus de décision qu’elle peut tenter de se protéger des conséquences.

Maintenir l’entreprise en alerte

La Police Nationale propose ses recommandations pour contrer les tentatives de fraude au président :

  • Rappeler à l’ensemble des collaborateurs la nécessité d’un usage prudent des réseaux sociaux privés et professionnels, et notamment de ne pas y divulguer d’informations concernant le fonctionnement de l’entreprise ;
  • Sensibiliser régulièrement l’ensemble des employés des services comptables, trésorerie, secrétariats, standards – remplaçants compris – à ce type d’escroquerie ;
  • Instaurer des procédures de vérifications et de signatures multiples, surtout pour les paiements internationaux ;
  • Rompre la chaîne des mails pour les courriers se rapportant à des virements internationaux en saisissant soi-même l’adresse du donneur d’ordre ;
  • Accentuer la vigilance sur les périodes de congés scolaires, les jours fériés et les jours de paiement des loyers.

Instaurer un climat de confiance

Confiance et vigilance font-elles bon ménage ? Absolument. Si un bon niveau de confiance existe entre la cible de l’escroc et son supérieur direct, par exemple, elle pourra plus facilement lui faire part de ses doutes. Si le dirigeant entretient des relations de bienveillance, on n’hésitera pas à l’appeler pour vérifier directement auprès de lui la véracité de sa demande. Dans le cas contraire, l’escroc aura une autoroute devant lui.

Sources : https://www.edenred.fr/magazine/votre-quotidien/avantages-salaries/fraude-au-president-un-revelateur-des-failles-dune-organisation

Pour avoir un conseil sur la fraude au Président

Ingénierie sociale

En quelques mots

L’ingénierie sociale (“social engineering”) est une technique qui vise à accéder à des informations confidentielles ou à certains actifs par la manipulation de personnes qui y ont accès directement ou indirectement. Le phishing(hameçonage) est un exemple d’ingénierie sociale.

L’ingénierie sociale ne s’applique pas seulement au domaine de l’informatique, elle peut survenir dans la vie de tous les jours et plus particulièrement sur le lieu de travail. A partir du moment où des actifs ayant un certain intérêt sont en jeu, des attaques de ce type peuvent apparaître.

Le facteur humain est le point central des techniques d’attaque rencontrées dans l’ingénierie sociale. En essence il s’agit de la manipulation intelligente de notre propension naturelle à faire confiance. Des relations de confiance ne reposant sur rien de concret sont mises en place de manière calculée, mais le plus souvent par simple discussion, et exploitées par la suite pour tirer un maximum de profit de la situation.

L’ingénierie sociale peut se faire via téléphone, courrier électronique , via des réseaux sociaux et bien sûr en présence physique de l’attaquant.

Comment ça marche?

Les techniques d’ingénierie sociale exploitent certaines vulnérabilités humaines et des vulnérabilités liées à l’organisation au sein de l’entité visée. Il est en effet dans la nature humaine de vouloir aider son prochain et d’accorder sa confiance aux personnes polies et d’un abord sympathique, même s’il s’agit de parfaits inconnus. Tout dépend de la situation et de la manière utilisée par le ou les malfaiteur(s) pour se présenter à nous. Bien souvent même, une simple demande, posée de façon directe par l’agresseur, peut suffire à inciter la victime de répondre sincèrement.

L’attaque vise à faire exécuter à une personne une action qu’elle n’aurait pas faite en temps normal ; la motivation de l’attaquant étant d’obtenir une information qu’il ne contrôle pas. Dans un monde de plus en plus informatisé, ceci se résume le plus souvent (mais ne se limite pas), à l’obtention de données d’authentification.

Un attaquant peut, par exemple, tenter en premier lieu d’établir une relation de confiance avec un membre du personnel avec qui il va passer un certain temps à rechercher des informations sur l’entreprise visée. Il n’est donc pas rare de rencontrer des attaquants ayant une connaissance approfondie du jargon employé dans le métier de l’entreprise et des procédures mises en place par celle-ci. Ceci facilite les prises de contact en interne et permet de faire passer plus aisément des requêtes qui, sinon, auraient pu paraître suspectes.

Du point de vue de l’employé, celui-ci se trouve face à une personne qui semble avertie des procédures internes et utilisant un jargon commun. Dans une grande entreprise où il est difficile de connaître tout le monde, l’employé n’a pas de raison d’être soupçonneux et finit souvent par coopérer. Pensant peut-être bien faire son travail, il n’a pas de raison de refuser son aide à ce qu’il pense être un collègue.

Bien souvent, la victime se rend compte de la supercherie après l’action, à un moment où l’attaquant a déjà quitté les lieux sans laisser de traces, mais avec de précieuses informations en sa possession.

D’autres approches sont également possibles, notamment en ce qui concerne la manière de récupérer des indices menant à des informations. L’attaquant peut se présenter comme chargé d’enquêter sur le domaine d’activité de la personne ou de l’entité ciblée. Il peut notamment poser toute une série de questions anodines parmi lesquelles se cache celle dont la réponse l’intéresse tout particulièrement.

L’attaquant peut aussi adopter une stratégie tout à fait différente, en mettant par exemple sa victime dans une impasse et se présenter ensuite comme celui qui peut résoudre la situation. Dans la plupart des cas, la victime se montrera coopérative et répondra sans broncher aux questions précises de l’attaquant.

Mesures de protection

MESURES COMPORTEMENTALES

  • Avant de préparer un voyage de service, consultez le programme be-safe du Ministère de l’Économie et du Commerce extérieur
  • Dans vos réseaux sociaux, ne révélez pas d’informations internes concernant votre travail ou entreprise
  • Ne répondez pas à des demandes illicites d’informations (que ce soit en présence physique, par téléphone
  • Toute information, même paraissant insignifiante, doit être considérée comme importante et donc protégée.
  • Soyez également vigilant quant aux sondages et quiz semblant anodins sur Internet.
  • Soyez prudent dès qu’une personne que vous ne connaissez pas devient trop curieuse. Même si les questions ne se rapportent pas directement à des informations confidentielles.
  • Ne cliquez pas sur les liens dans les e-mails ou les réseaux sociaux, que vous n’avez pas attendu ou que vous trouvez douteux. En cas de doute, contactez l’expéditeur (supposé) et renseignez-vous sur la légitimité de l’e-mail (Voir aussi : e-mail – bonnes pratiqueslogiciels malveillants: bonnes pratiques.
  • Ne divulguez à personne vos identifiants ni votre mot de passe pour l’accès à Internet et les systèmes informatiques, même si la demande semble très crédible. Le département informatique de votre société n’en a pas besoin et ne vous les demandera jamais.
  • Il est de même pour les banques, les boutiques en ligne ou autres services qui vous demanderaient des informations par e-mail.
  • N’exécutez jamais des commandes qu’une personne inconnue vous demande de faire, que ce soit par téléphone, e-mail ou en contact direct si ces commandes concernent des informations sensibles.
  • En cas de doute, vérifiez l’identité de votre correspondant téléphonique ou informatique. Au téléphone, vous pourriez p.ex. demander le numéro de téléphone à votre correspondant et le rappeler après avoir vérifié son numéro. Cette mesure de prévention permet de savoir si votre correspondant dispose en effet d’un accès autorisé à la connexion téléphonique à partir de laquelle il vous a appelé.
  • En cas de situation douteuse, ne prenez pas de décisions impulsives. Gagnez du temps pour réfléchir, vous vous dégagez ainsi de la pression de l’agresseur. Sans mauvaise conscience, dites à un correspondant inconnu de vous rappeler le lendemain, vous aurez ainsi le temps de bien réfléchir et de résoudre le problème en toute tranquillité.
  • Déconnectez-vous toujours des sites Web et d’autres pages en ligne à l’aide du bouton prévu à cet effet. Si vous ne vous déconnectez pas manuellement d’une page, la session peut rester ouverte et donc facile d’accès aux agresseurs.
  • N’ouvrez jamais un fichier joint à un e-mail d’un expéditeur inconnu ou douteux. Il est de même pour les fichiers des sites Web suspects. De telles pièces jointes peuvent contenir des chevaux de Troie qui permettent à un agresseur d’avoir accès à tous les fichiers et données sauvegardés sur votre ordinateur (Voir aussi : e-mail – bonnes pratiqueslogiciels malveillants: bonnes pratiques).
  • Ne laissez jamais trainer des documents en papier contenant des informations sensibles à la vue de tous. Il est de même pour les documents dans la poubelle. Rendez illisibles les documents dont vous n’avez plus besoin.

Lire aussi

Sources : https://www.cases.lu/knowhow/glossary/SocialEngineering_fr.html

Pour plus d’informations sur ingénierie sociale social engineering : https://www.vipfinance.lu/contact/

Translate »