Les PME aussi ciblées par les cyberarnaqueurs

En 2016, 80% des entreprises ont subi au moins une tentative de fraude.
En 2016, 80% des entreprises ont subi au moins une tentative de fraude.
D.R.

En 2016, 80% des entreprises ont subi au moins une tentative de fraude.

Faux fournisseurs qui demandent à modifier leurs coordonnées bancaires, cyber-rançons… les PME aussi sont concernées par les risques de la cybercriminalité, a alerté la DFCG à la veille de la cyberattaque mondiale. Et 63% des entreprises ne disposent ni de plan d’urgence, ni de procédures à appliquer en cas de fraude avérée.

Plus de la moitié des entreprises françaises (57%) ont été victimes d’une cyberattaque en 2016 et les PME ne sont pas épargnées, bien au contraire. C’est le constat que dresse la 3e édition du baromètre “Cybercriminalité et fraude” de la DFCG, l’association nationale des Directeurs financiers et de contrôle de gestion et d’Euler Hermes, spécialiste de l’assurancecrédit. Les résultats étaient présentés lors d’une conférence de presse, le 11 mai à Paris. En 2016, “80% des entreprises ont subi au moins une tentative de fraude”, démarre Sébastien Hager, expert fraude chez Euler Hermes. Et si le chiffre est en légère baisse par rapport à l’an dernier, pour l’expert, c’est peut-être simplement parce que ces tentatives sont passées dans les mœurs : “on peut supposer que certaines tentatives sont jugées malhabiles et donc non comptabilisées” par les sociétés, analyse-t-il. En revanche, “les entreprises sont victimes de plusieurs tentatives par année, certaines plusieurs par mois ou même par semaine. Cela dépend de leur degré d’exposition et de leur métier”, poursuit Sébastien Hager. Au final, c’est une entreprise sur cinq qui est victime d’une fraude avérée et, plus préoccupant encore, la récidive est fréquente. “Quand une entreprise est victime d’une attaque avec intrusion, il peut y avoir une collecte d’informations qui pourront servir à des attaques quelque temps plus tard”, explique Sébastien Hager.

Urgence, confidentialité et autorité : prudence !

Plusieurs types de fraudes coexistent. Globalement, “il y a une prépondérance des fraudes par usurpation d’identité (…), tous les partenaires de l’entreprise peuvent être utilisés”, constate Sébastien Hager. L’usurpateur peut se faire passer pour un client qui passe une commande, un fournisseur qui demande à ce que ses coordonnées bancaires soient modifiées, et même un bailleur. Mais le cas de fraude le plus fréquent demeure celui du faux président, évoqué par 59% des sondés : un individu se fait passer pour le président de l’entreprise pour ordonner des virements bancaires en urgence. “On assiste à la diffusion de ce mécanisme de fraude auprès des PME qui sont vraiment exposées à ce risque, alors qu’avant c’était plutôt les grands groupes”, alerte Sébastien Hager pour qui il faut toujours se méfier des messages qui cumulent trois éléments : urgence, confidentialité et autorité.

En deuxième position, vient la cyberfraude, évoquée par 57% des sondés, et qui comprend intrusions dans les systèmes d’information, atteintes aux données et ransomware. Dans ce dernier cas, cité par 22% des sondés, une rançon est demandée par le cybercriminel en contrepartie du déblocage du système d’information de l’entreprise mis à mal par le logiciel malveillant introduit à dessein. Par ailleurs, “ces fraudes évoluent”, met en garde Sébastien Hager. Les cybercriminels les perfectionnent en fonction des parades mises en œuvre par les entreprises. Exemple : un faux RIB, pour une demande de modification de coordonnées bancaires par un fournisseur, est envoyé en recommandé, se pliant aux procédures de demande de confirmation des entreprises.

Mais si les fraudes sont connues, il demeure difficile d’évaluer l’ampleur du préjudice pour les entreprises. “L’écart type est gigantesque”, commente Sébastien Hager. Des coups spectaculaires, qui requièrent techniques sophistiquées et niveau d’information approfondi, peuvent atteindre des millions d’euros, quand une demande de rançon peut se limiter à un millier d’euros environ. D’après l’étude, 10% des entreprises subissent un préjudice supérieur à 100 000 euros. Et pour toutes l’impact de la fraude sur la trésorerie constitue la première de leurs préoccupations.

“Il est absolument nécessaire de déposer plainte”. Pour faire face à ces risques, les entreprises comptent sur plusieurs types de dispositifs. Plus d’une sur deux cite en premier lieu les réactions humaines. Viennent ensuite les procédures internes, avancées par 28% des sondés, comme la double signature, et enfin les dispositifs techniques (19% des entreprises). “La pré- vention est une bonne combinaison de ces trois démarches”, commente Sébastien Hager. Face aux risques croissants, les entreprises renforcent leurs précautions : neuf sur dix font de la sensibilisation en interne, contre 63% il y a un an. Et huit sur dix ont amélioré leurs processus. En revanche, 22% seulement ont réalisé une cartographie des risques. “C’est encore largement insuffisant”, estime Sébastien Hager. En effet, “c’est un bon moyen de sensibiliser dans l’entreprise, de mobiliser un comité de direction sur ce sujet”, commente Sophie Macieira Coelho, vice-présidente de la DFCG. Quant aux tests d’intrusion, destinés à éprouver la robustesse du système d’information, ils ne sont réalisés que par 29% des entreprises.

Autre faiblesse, 63% des entreprises ne disposent pas de plan d’urgence, de procédures à appliquer en cas de fraude avérée. Pour Sophie Macieira Coelho, les entreprises pourraient mettre en œuvre plusieurs moyens pour prévenir et traiter la question des risques de fraude : au-delà de la cartographie, explique-t-elle, c’est la création d’un “environnement de contrôle avec des responsabilités claires”, qui comprend des procédures comme la ségrégation des tâches, des doubles signatures ou encore des réflexes à avoir lorsqu’un mail arrive. Illustration avec un DAF (directeur administratif et financier) dont l’entreprise a subi une fraude à hauteur d’une centaine de milliers d’euros. “Il m’a dit : il n’y a plus d’urgence, plus de mouvement bancaire qui ne puisse attendre 24 ou 48 heures”, témoigne Sébastien Hager. Des outils aussi peuvent être déployés, notamment des antivirus. Et si le mal est fait, en cas de ransomware, le PC doit être déconnecté, afin que le virus ne puisse pas se répandre dans le système d’information de l’entreprise, avant d’avoir recours à un expert pour débloquer le système. “Ce n’est pas toujours possible, il faut alors repartir sur la base de sauvegardes”, pré- vient Sébastien Hager. Encore faut-il, alors, que les solutions de sauvegarde existent et que leur efficacité ait été régulièrement éprouvée…

Par ailleurs, “il est absolument nécessaire de déposer plainte, quel que soit le montant, car c’est le meilleur moyen d’engager la responsabilité des pouvoirs publics dans ce domaine et d’obtenir des statistiques plus fiables. Le phénomène d’accentuation de la fraude, sa propagation auprès des PME a surpris beaucoup de monde. Les services de police se sont organisés, ils ont développé leurs moyens”, prévient Sébastien Hager. Et pour les TPE, les artisans ? Quelles précautions doivent-ils prendre ? “La dimension humaine est une vraie sécurité dans le cas d’une TPE, qui ne suffit pas dans les PME ou les ETI (…), on connaît ses fournisseurs, on est décisionnaire, les risques sont différents”, estime Sophie Macieira Coelho. Les risques de fraude au faux président sont, il est vrai, écartés. Mais pas ceux du ransomware…