Cybercriminalité et fraude : les entreprises peu actives face aux risques
Le dernier baromètre Euler Hermes-DFCG fait état d’une augmentation du risque de fraude et de cybercriminalité en entreprise, aussi bien en fréquence qu’en intensité. Si la menace est bien identifiée, les investissements ne suivent pas : une entreprise sondée sur six n’a pas alloué de budget dédié.
Si le nombre de victimes d’au moins une tentative de fraude reste identique à celui de 2017, avec sept entreprises sur dix touchées, ces dernières doivent faire face à des pirates davantage déterminés et qui n’hésitent plus à récidiver à plusieurs reprises. C’est le constat dressé par le 5e baromètre de la DFCG, association nationale des directeurs financiers et de contrôle de gestion, et de l’assureur-crédit Euler Hermes, dévoilé le 18 avril dernier. En 2018, une entreprise sur cinq a dû affronter plus de dix tentatives de fraude dans l’année, contre une sur dix seulement en 2017. Malgré cette accentuation d’attaques, divers dispositifs ont permis de faire baisser le nombre de fraudes avérées à 26% en 2018, alors qu’il atteignait les 30% en 2017. Les préjudices subis sont par contre de plus en plus conséquents. D’après l’étude, 13% des entreprises ont ainsi perdu plus de 100 000 euros l’an dernier, contre 10% seulement en 2017.
Une préoccupation majeure
Conscientes de la menace qui les guette, huit entreprises sur dix craignent une accentuation du risque de fraude et de cybercriminalité en 2019. Les cyberattaques constituent en effet le risque financier le plus redouté par ces dernières à 50%, devant le défaut de paiement à 33%, l’interruption d’activité (32%), la conjoncture économique (31%) et l’usurpation d’identité à 29%. Toutefois, 59% des établissements n’ont alloué aucun budget spécifique pour faire face à la fraude, tandis que plus des deux tiers ne sont pas assurés pour ce risque. Près de la moitié des entreprises interrogées dans le cadre du baromètre ne disposent, par ailleurs, d’aucun plan d’urgence à activer ni de plan de reprise de l’activité, en cas d’attaque avérée. Malgré cela, 80% des répondants estiment leur structure conforme au règlement européen sur la protection des données, le RGPD, entré en vigueur il y a un an.
Quel dispositif ?
Plusieurs types de fraude coexistent. Se faire passer pour un fournisseur pour obtenir des coordonnées bancaires est la manœuvre préférée des usurpateurs : 47% des entreprises affirment ainsi avoir été confrontées à une fraude au faux fournisseur. Suivent les autres usurpations d’identité (banques, avocats, commissaires au compte) évoquées par 30% des entreprises sondées, la fraude au faux président, visant à ordonner des virements bancaires en urgence en se faisant passer pour le dirigeant de l’entreprise par 29%. Les intrusions dans les systèmes d’information, afin d’obtenir des données, sont citées par 28% et la fraude au faux client par 25% des entreprises. Pour lutter contre ces attaques croissantes, l’intervention humaine joue un rôle primordial. Plus de la moitié (56%) des tentatives de fraudes ont ainsi été déjouées grâce à une réaction ou à une initiative humaine personnelle, contre 24% à travers une procédure de contrôle interne, telle une double signature, et 20% seulement via un dispositif technique. Au niveau des investissements, les dispositifs qui en ont profité sont les audits sécurité des systèmes d’information (SI) à 64%, ceux destinés à renforcer les procédures de contrôle interne (62%), la sensibilisation en interne et la formation de la direction financière à 61%, la sensibilisation des autres directions (50%). Sont ensuite évoqués le test d’intrusion (45%), le plan de reprise d’activité (31%) et la solution d’assurance ( 28%). «Au-delà des investissements et de l’impérieuse nécessité de coopérer entre DAF (Direction administrative et financière) et DSI (Direction des systèmes d’information), les entreprises doivent faire preuve de bon sens, être discrètes, éviter toute négligence, et surtout ne pas se dire que cela n’arrive qu’aux autres », résume Bruno de Laigue, président du réseau DFCG.