La sécurité informatique au service des PME : comment ne pas perdre des milliers d’euros ?
En sécurité informatique, l’ingénierie sociale consiste à manipuler des personnes pour obtenir des informations sensibles. Le vecteur principal de l’ingénierie sociale est la messagerie. La technique de récupération d’informations par mail est appelée le phishing, ou hameçonnage. Le pirate informatique exploite la crédibilité du destinataire du mail en utilisant, par exemple, le logo ou la charte graphique d’une entreprise. Sa demande revêt en général une certaine urgence, pressant l’utilisateur à agir sans trop réfléchir.
Le phishing peut se faire sous forme d’envois massifs de mails frauduleux. Dans ce cas, la mise en scène semble peu crédible, la rédaction est peu soignée, mais le nombre de victimes par rapport à celui des personnes ciblées peut être conséquent.
Une autre forme de phishing est ce que l’on appelle le spearphishing. Cette attaque est plus ciblée et demande plus de préparation. En retour son rendement est bien supérieur au phishing de masse. Il s’agit bien souvent d’une usurpation d’identité ; le pirate possède de nombreuses informations sur sa cible, et se fait passer pour une personne de confiance de façon plus crédible et plus difficile à détecter.
Lorsque le pirate a acquis la confiance de sa cible, il peut alors commettre de nombreuses fraudes.
Parmi celles-ci nous trouvons notamment la fraude au président. Le cybercriminel se fait passer pour le dirigeant et demande l’exécution de virements sur un compte bancaire, lequel s’avère être celui de pirates informatiques.
Une autre fraude très répandue est la fraude au changement de RIB. Dans ce cas, le cybercriminel se fait passer pour un fournisseur ou un client. Il envoie à son interlocuteur un RIB, prétextant un changement de compte en banque, et lui indiquant que les règlements se feront dorénavant sur ce nouveau compte bancaire. Une fois encore ce compte s’avèrera être celui de pirates informatiques.
Il existe 2 méthodes pour se prémunir contre ces risques.
Tout d’abord, les utilisateurs doivent connaître ces risques, et toujours rester vigilant. Notamment, les processus de flux de trésorerie ne doivent pas être exécutés machinalement et chaque aléa doit éveiller les soupçons de l’utilisateur.
En second lieu, il est souhaitable que chaque processus soit correctement défini et détaillé dans un mode opératoire, pour ne pas laisser place à l’improvisation malheureuse. Par exemple un ordre de virement supérieur à une certaine somme fera l’objet de plusieurs validations avant d’être exécuté.
En conclusion, la technologie informatique ne pourra nous protéger des cybercriminels que si elle est renforcée par la sensibilisation et la vigilance des utilisateurs.