Gestion financière

Directions financières

Gare aux fraudes pendant l’été

Option Finance - 24 juillet 2017 - Astrid Gruyelle

Directions financières, Fraude

Gare aux fraudes pendant l’été

L’été constitue une période particulièrement à risque en matière de fraude et de cyberattaque. C’est pourquoi les directions financières doivent rester vigilantes et prendre un certain nombre de précautions supplémentaires, à la fois auprès de ceux qui restent au bureau et de ceux qui partent en vacances.

Le calme avant la tempête ? Un mois après la cyberattaque mondiale NotPetya et deux mois après la précédente du nom de WannaCry, les entreprises ont retrouvé un moment d’accalmie. Mais le répit pourrait être de courte durée. «Ces dernières années, nous avons observé un pic d’attaques ciblant les entreprises durant l’été, relève Michael Bittan, associé responsable des activités de gestion des risques cyber chez Deloitte. Les fraudeurs profitent en effet de cette période où les effectifs sont réduits avec une charge de travail pourtant parfois identique au reste de l’année.» Et les cyberattaques ne sont pas les seules menaces puisque les scénarios d’usurpation d’identité, telle que la fraude au président, ainsi que les cas d’intrusion dans les bâtiments, se multiplient également à cette période (voir encadré). Dans ce contexte, les directions financières doivent se montrer vigilantes. «Or, on constate encore des manquements, déplore Sébastien Hager, expert fraude chez Euler Hermes. Toutefois, les deux cyberattaques mondiales qui se sont succédé au printemps dernier pourraient les avoir incitées à prendre plus de précautions cet été.»

Une vigilance renforcée au bureau

Ces précautions sont tout d’abord applicables aux membres de la direction financière qui restent au bureau pendant la période estivale. «Alors qu’ils pourraient avoir tendance à relâcher leur attention durant l’été, ils ont au contraire intérêt à respecter les bonnes pratiques en matière de lutte contre la fraude et la cybercriminalité de manière encore plus scrupuleuse que d’habitude», recommande Michael Bittan. Un certain nombre de ces pratiques vise en premier lieu à éviter les usurpations d’identité. «Les salariés qui travaillent pendant l’été peuvent par exemple recevoir des demandes de virement prétendument urgentes et céder à la panique sans avoir vérifié au préalable la véritable identité du donneur d’ordres, explique Sébastien Hager. Or, ils doivent être bien conscients que rien n’est jamais urgent au point de ne pouvoir attendre un jour supplémentaire et la confirmation d’un responsable.» Dans cette même optique, les principes de séparation des tâches et de double validation en vigueur pendant l’année doivent être maintenus. «En l’absence de certains membres de la direction financière, leurs droits doivent être transférés à leurs collègues sans toutefois que ce transfert ne conduise à une agrégation de pouvoirs trop importante pour une seule personne, souligne Philippe Cotelle, vice-président de la commission systèmes d’information de l’Association pour le management des risques et des assurances de l’entreprise (Amrae). En outre, il doit se faire de manière officielle et via l’ouverture d’un droit temporaire plutôt que par une simple transmission du mot de passe.» Il en est de même pour les mécanismes de gestion de crise prévus en cas de fraude ou de cyberattaque (personnes à contacter, réponse à apporter, informations à communiquer, etc). «Ceux-ci doivent être adaptés pendant les vacances, indique Philippe Cotelle. Si des personnes clés sont absentes, il faut prévoir soit des remplaçants, soit des systèmes d’astreinte. En effet, les membres de la cellule de crise doivent être joignables à tout instant.»

Par ailleurs, un autre pan de précautions vise à lutter contre les intrusions de malfaiteurs dans les bâtiments de l’entreprise. «Un bon réflexe consiste à toujours s’enquérir de la présence dans les locaux d’un inconnu qui prétend par exemple avoir oublié son badge, conseille Michael Bittan. A ce même titre, les salariés qui travaillent sur des ordinateurs portables doivent continuer à l’attacher au bureau systématiquement grâce à un système d’antivol.»

Des consignes à respecter avant de partir

Des précautions sont également de mise pour les membres de la direction financière qui partent en vacances, en particulier avant leur départ. «Les logiciels de gestion doivent être mis à jour, les données financières sauvegardées et la restauration des sauvegardes testée, recommande Philippe Cotelle. Ces pratiques permettent d’éviter les attaques de virus comme WannaCry et Petrwrap qui ont utilisé une faille de sécurité qu’une mise à jour permettait de corriger, ou, si la perte de données est inévitable, de rétablir le fonctionnement de l’entreprise.» En outre, les membres de la direction financière doivent se montrer prudents lorsqu’ils rédigent à la veille du départ leur mail de réponse automatique pour signaler leur absence. 

Gérôme Billois, partner cyber sécurité, Wavestone
Wavestone

«Ils fournissent dans ce message d’absence souvent trop d’informations qui risquent d’être utilisées par les fraudeurs, observe Gérôme Billois, partner cyber sécurité chez Wavestone. Or, les systèmes de messagerie permettent généralement d’effectuer deux avis distincts : un interne qui peut éventuellement être plus détaillé et un externe qui doit au contraire ne pas donner de date de retour précise et indiquer uniquement le nom de la personne à contacter en cas d’urgence sans préciser ni sa fonction ni ses coordonnées, mais par exemple uniquement le numéro du standard.» Enfin, en rangeant leurs bureaux, les cadres financiers doivent apporter une attention particulière à leur ordinateur portable professionnel. «S’ils le laissent au travail, ils ont intérêt à le verrouiller et à l’enfermer dans une armoire, conseille Michael Bittan. En revanche, s’ils l’emportent dans leurs bagages et l’utilisent à distance, ils doivent faire attention à ce qu’aucune autre personne ne l’utilise.»

Des réflexes à conserver en vacances

En effet, la vigilance ne s’arrête une fois la porte du bureau franchie. «Il est courant que les directeurs financiers cherchent à consulter leurs mails professionnels ou à accéder au réseau de l’entreprise pendant leurs congés, note Gérôme Billois. Mais ils le font alors souvent en utilisant des ordinateurs partagés d’un hôtel ou d’un cybercafé où ils encourent soit un risque de fuite de documents confidentiels s’ils téléchargent par exemple un ordre de virement et oublient de le supprimer ensuite, soit un risque de piratage si les ordinateurs sont infectés par des logiciels malveillants.» Un tel risque existe également si les vacanciers se connectent à un réseau WiFi public gratuit via leur téléphone portable personnel. «Il est préférable d’utiliser un téléphone professionnel sécurisé avec son abonnement usuel ou bien, pour les pays les plus lointains, d’acheter une carte SIM locale avec un forfait Internet qui permette de passer par un réseau plus fiable qu’un WiFi partagé», indique Gérôme Billois. Toujours pendant leurs congés, les cadres financiers doivent aussi prendre garde à l’usage qu’ils font des réseaux sociaux. «En postant publiquement des photos de vacances, ils risquent d’informer des personnes mal intentionnées de leur absence du bureau et leur permettre de s’en servir pour construire des scénarios de fraude», prévient Gérôme Billois.

De retour au bureau, il n’est toujours pas question de baisser la garde. En effet, les cadres financiers ont tout intérêt à rester attentifs lors du traitement de la centaine de mails qui les attend pour ne pas risquer de cliquer malencontreusement sur la pièce jointe d’un courrier malveillant en voulant aller trop vite !

Les trois types d’attaques les plus fréquents pendant l’été

  • Trois types d’attaques sont particulièrement courants durant l’été, à commencer par les usurpations d’identité. «En tête des risques tout au long de l’année, celles-ci peuvent être encore plus dangereuses pendant les vacances, souligne Sébastien Hager, expert fraude chez Euler Hermes. En effet, le risque porte principalement sur la concentration de pouvoirs donnés à un même salarié (autorisation et exécution de paiement) lorsque l’entreprise est en situation de sous-effectif, mais aussi sur la présence de personnes extérieures à l’entreprise, moins sensibles au risque de fraude.»
  • Le risque de cyberattaque se renforce également durant cette période. «Les pirates informatiques profitent notamment de la présence de stagiaires ou d’intérimaires peu sensibilisés à l’existence de mails ou de sites piégés», note Sébastien Hager.
  • Enfin, une dernière menace connaît un pic pendant l’été. «Il s’agit du risque que des malfaiteurs s’introduisent physiquement dans les locaux de l’entreprise pour voler du matériel ou des informations, alerte Michael Bittan, associé responsable des activités de gestion des risques cyber chez Deloitte. L’an dernier, ce scénario s’est produit dans les locaux de grands groupes dont les employés ont pensé que le fraudeur était une personne de la direction des systèmes d’information.»