Fraudologie

L'essentiel des activités cybercriminelles s'appuient sur l'usurpation d'identité : 

Donc une des pierres angulaires de votre sécurité passe par la vérification de l'identité de vos interlocuteurs, quels que soient votre métier ou votre position dans l'entreprise.

Et la difficulté principale réside dans la multitude de canaux qui peuvent être utilisés pour vous contacter. Vous utilisez probablement plusieurs outils comme le mail, les SMS, le téléphone, les messageries instantanées ou la visio. AUCUN de ces canaux n'apporte techniquement de garantie sur l'identité de votre interlocuteur.

Aucun, jusqu'à ce que des experts de la cryptographie créent Olvid. Thomas Baignères est l'un d'eux et il vous explique comment ça marche et pourquoi cette solution Made In France est beaucoup plus robuste que tout ce que vous avez utilisé jusqu'à aujourd'hui.

Pour vous aider à aller directement aux sujets qui vous intéressent, voici la chronologie de cet épisode :

0' : contexte

1'40" : Pourquoi Olvid permet de ne plus douter de l'identité de vos interlocuteurs

4'56" : Pourquoi les autres messageries ne peuvent pas donner de garantie sur les identités

9'56" : Comment ça marche concrètement ?

14'24" : Comment Olvid s'inscrit dans les outils de l'entreprise ?

26'54" : Comment créer des liens avec l'extérieur de l'entreprise ?

28'31" : Partager ses contacts comme dans la vie réelle

29'28" : Faire adopter l'outil au plus grand nombre 

32'38" : Gérer la séparation vie pro / vie perso

Lorsqu'une entreprise est victime d'une fraude au président, le ou la salariée qui s'est fait manipuler perd souvent son emploi.

C'est ce qui est arrivé à Sandie qui nous a courageusement livré son témoignage.

Ça m'a d'abord paru très injuste : comme si les conséquences psychologiques ne suffisaient pas...

Mais ensuite ça m'a amené à me poser la question des règles de droit qui s'appliquent :

Dans quelles conditions une entreprise peut-elle faire porter toute la responsabilité de cette erreur à sa salariée ?

Quelles obligations est-ce que l'employeur doit avoir remplies pour justifier cette faute ?

Pour explorer cet aspect de la fraude, j'accueille dans cet épisode Me Sandra Lévy Regnault qui est avocate, spécialiste du droit du travail.

Elle vous explique tout : les types de fautes, la différence entre une règle et un usage, les obligations de formation...

Découvrez tout ce qui peut vous aider à respecter les règles et à vous défendre, que vous soyez employeur ou salarié !

Novembre 2020, un hôpital français est attaqué par un ransomware. Son informatique est externalisée dans un datacenter, sur une baie de serveurs qui est partagée avec d'autres entreprises. L'une d'elles est un prestataire informatique qui vend ses services à des entreprises de la région nantaise. Oxinet fait partie de ses clients. Cette PME de 40 personnes va être une victime collatérale de l'attaque initiale.

Antoine Pigeault, son dirigeant, vous raconte comment il a géré cette situation : 3 semaines sans données commerciales ou comptables et le risque de perdre 10 ans d'histoire de son entreprise.

Il vous donne 2 conseils qu'il a tiré de cette expérience et que vous devez appliquer sans attendre de vivre la même chose que lui : 

1- ne vous croyez pas invulnérable

2- Réfléchissez aux premières actions que vous allez faire si vous êtes dans la même situation

En matière de fraude ou d'attaque cyber il y a un "avant", un "pendant" et un "après". Donc ces trois phases doivent apparaitre dans votre dispositif de prévention pour qu'il soit complet.

Le "avant" ce sont tous vos outils de sécurité informatique et la formation de vos utilisateurs pour leur permettre d'éviter les attaques.

Le "pendant", c'est la vigilance de vos salariés qui va les faire réagir à temps et alerter rapidement les bonnes personnes dans votre organisation.

Et le "après" ?

Comment revenir à une situation normale ?

Comment maintenir la confiance de vos clients et la motivation de vos équipes ?

Comment faire face aux pertes financières directes et indirectes ?

Votre assureur est probablement le bon interlocuteur pour répondre à ces questions.

Dans cette séance de fraudologie, j'accueille Frédéric Peynoche qui a fondé le cabinet de courtage Investys France. Il va vous aider à y voir clair sur les solutions d'assurance, les garanties, les services, les coûts : vous allez tout savoir !

"Comment a-t-elle pu se faire avoir comme ça ???"

Si vous avez écouté le témoignage de Sandie, vous vous êtes peut-être posé cette question. En tout cas moi, je me la suis posée. 

Et pour y répondre de la manière la plus constructive possible et sans jugement, je vous propose une analyse de ce qui a pu se passer dans sa tête avec l'aide d'Isabelle Pinceloup. Isabelle est psychologue spécialisée dans la psychologie du travail. Elle nous apporte un éclairage très instructif sur les mécanismes qu'exploitent les fraudeurs et nous donne des pistes pour anticiper les risques, ne pas sous-estimer les compétences du fraudeur et réparer le traumatisme.

La prévention de la fraude passe par l'identification des profils qui peuvent présenter le plus de risque. Et contre toute attente, Isabelle dresse le portrait robot de l'employé (ou de l'employée) idéal : empathique, soucieux de bien faire, respectueux de l'autorité... Et qui est en train de vivre un changement pro ou perso. Découvrez si vous êtes la victime idéale ou si elle fait partie de votre équipe grâce à la description et aux explications de notre psychologue !

Pour se protéger efficacement, il faut connaître son adversaire. Isabelle décrit les principaux traits de caractère de celui qui va tenter de mettre sa victime sous influence. Intelligent, rassurant, il sait mettre sa victime dans un état émotionnel qui va l'empêcher de réfléchir. Il sait également lui dire ce qu'elle a envie d'entendre en la valorisant et en la responsabilisant.

Et ce sont toutes ces caractéristiques qui sont ses meilleures armes et ne le sous-estimez pas : il saurait vous influencer tout comme il a influencé Sandie.

On l'a vu le fraudeur va soumettre sa victime en parlant à ses émotions. Et ce sont précisément ces émotions qui vont empêcher Sandie de réfléchir. Or pour rompre le "charme", il faut justement se poser, prendre le temps de réfléchir et analyser la situation. C'est ce travail d'analyse qui va permettre de sortir des émotions et multiplier les chances de s'arrêter à temps.

En écoutant témoignage de Sandie, vous avez certainement senti son traumatisme. La douleur qu'elle a vécue et qu'elle vit encore mettra du temps à s'atténuer. Isabelle nous explique pourquoi : quels sentiments se mêlent et renforcent le choc ?

Découvrez aussi comment la victime peut se reconstruire et quelles seront ses difficultés dans cette reconstruction. L'entourage est important c'est certain mais quand vous n'avez plus du tout confiance ni en vous ni dans les autres, comment se livrer et demander de l'aide ?

Et enfin qu'est-ce qu'il faut mettre en place dans l'entreprise pour se renforcer après une fraude ? Même si le ou la salariée quitte la boite, il y aura toujours quelqu'un qui sera exposé. La responsabilité de l'entreprise est d'identifier ce risque, de le prendre en compte et de s'y préparer. La communication, la prévention et surtout l'implication des équipes participeront à renforcer la structure.

Les procédures et la technologie ne sont pas la réponse à tout

Pour parvenir à leurs fins, les fraudeurs utilisent souvent des outils informatiques, notamment pour collecter de l'information sur leur cible. Mais ça n'est pas parce que votre attaquant utilise des moyens informatiques que la solution la plus efficace est elle aussi de nature informatique !

Dans cette séance je vous propose une vision différente, voire décalée, pour lutter contre la fraude au faux fournisseur. Je me suis inspiré du livre "Nudge, Comment inspirer la bonne décision". Cet ouvrage passionnant dresse plusieurs constats intéressants sur les  moyens de guider les choix. Une des idées développée est l'importance de  l'option par défaut. C'est à dire l'option que vous proposez à vos utilisateurs s'ils ne veulent pas faire de choix.

Or en matière de lutte contre la fraude au faux fournisseur, la solution qui vient le plus vite à l'esprit est de mettre en place une procédure  de contrôle plus ou moins complète et plus ou moins technologique. Mais cela ne fonctionne que si vos équipes l'appliquent à la lettre. Et donc que vos salariés s'engagent très sérieusement dans son application. Dans le prolongement des nudges, je me suis donc demandé comment faire pour que ces vérifications soient le moins possible influencées  par la volonté ou la capacité des personnes qui les réalisent.

Et bien ma conclusion ne peut pas être plus simple : quand vous recevez une demande de modification d'IBAN, il ne faut pas modifier le numéro de compte !

Ne rien faire, mais le faire bien

Bien entendu je ne me suis pas arrêté là. Je vous explique en détail ce qui peut arriver dans le cas où la demande est légitime et ce qui va se passer si elle ne l'est pas.

Tout se base en réalité un élément très simple. Une information que le fraudeur ne peut pas détenir. Une information que seuls vous ET votre fournisseur détenez à un moment précis. Cette information, c'est le constat que les fonds ont été transférés sur le compte de votre bénéficiaire. Ce constat, il n'y a que vous et votre fournisseur (ou votre salarié) qui pouvez le faire.

Une fois qu'on a choisi de ne rien faire suite à une demande de changement de RIB, il va falloir se souvenir que vous l'avez reçue. Car une fois que votre fournisseur se sera fait de nouveau payer sur son ancien compte bancaire, il va vous relancer pour que vous fassiez enfin la modification. Et à cet instant-là, il vous faudra vérifier que vous aviez effectivement reçu une demande de sa part. Car alors vous serez sûr(e) que c'est bien votre fournisseur qui vous aura fait la demande initiale. S'il ne l'a pas faite, il n'aura aucune raison de vous relancer !

Donnez-moi votre avis !

Cette solution sort nettement des sentiers battus mais je suis convaincu qu'elle peut significativement réduire votre exposition à ce type de  fraude. La seule condition sera de briefer vos équipes et qu'elles ne  fassent jamais la modification de RIB à la première demande.

Bien sûr ça repose sur de l'humain donc c'est faillible, comme toutes les solutions, technologiques ou non. Mais dans cette proposition, ça ne vous coute aucun investissement et surtout ça s'appuie sur une "non-action". Et il est beaucoup plus facile de demander à vos équipes de ne pas agir plutôt que de changer leurs habitudes.

Je suis impatient d'avoir vos avis donc envoyez-moi vos commentaires à [email protected] !

La fraude au président. Nous sommes en juillet 2020, en plein déconfinement post-COVID. Sandie est comptable dans une entreprise familiale de 50 personnes. Un avocat l'appelle pour lui annoncer qu'elle va être un maillon essentiel dans une opération de fusion/acquisition confidentielle. Sandie vient d'entrer dans une bulle dont elle ne sortira qu'après avoir viré 520 000€. Une bulle dont elle ne sortira pas indemne.

Toujours le même schéma

Nous l'avons vu dans les précédents épisodes qui parlent de ce sujet (épisodes 2, 3 et 5), la fraude au faux président suit un schéma précis :

Après être entrée dans ce cercle vicieux, il est extrêmement difficile d'en sortir avant qu'il ne soit trop tard.

Forcément, Sandie se sent coupable, nulle, incompétente.

Mais la victime, c'est elle, avant d'être son entreprise. Et plusieurs éléments l'ont exposée au risque qui s'est traduit par cette fraude.

Le premier est lié au contexte économique : en juillet 2020, l'entreprise sortait tout juste du confinement lié à la COVID-19. Les aides gouvernementales, le chômage partiel et les PGE (Prêts Garantis par l'Etat) ont favorisé l'accroissement de la trésorerie de l'entreprise. La perspective que ses dirigeants aient identifié une cible pour une croissance externe est tout à fait plausible.

Le second élément qui a favorisé cette fraude est lié au processus de paiement : Sandie pouvait réaliser des virements seule, sans l'intervention informatique de son dirigeant. Une signature manuelle sur un document papier n'a jamais empêché un virement d'être envoyé à la banque. La preuve.

Le dernier point de fragilité à noter est lié à la relation de Sandie avec son patron. Le dirigeant est plus occupé à gérer ses clients et sa production industrielle qu'à veiller sur sa comptable. Et on peut très bien le comprendre. Mais ce manque flagrant de communication a permis aux fraudeurs d'isoler facilement Sandie de sa hiérarchie. Et là le conseil que vous donne Fabien Pelletier dans son témoignage de l'épisode 2 prend tout son sens.

Sébastien est responsable administratif et financier dans une TPE de négoce. Dans cette séance, il nous offre une masterclass de la fraude au faux fournisseur ! En 2018 cette expérience a été un véritable électro-choc. Et elle l’a poussé à mettre en place tout ce qu’il pouvait  pour faire en sorte qu’elle ne puisse jamais se reproduire. Si vous  voulez économiser quelques (dizaines de) milliers d’euros je ne peux que vous conseiller une écoute attentive de ce concentré de conseils pratiques !

Que s’est-il passé ?

Un nouveau fournisseur étranger, un piratage de boite mail et un petit caractère qui change dans une adresse mail (le « typosquatting » décrit  par mon invité de l’épisode précédent Thomas Kerjean). Il n’a pas fallu plus pour qu’un virement parte vers le compte du fraudeur. Mais le fournisseur, lui, attend toujours son règlement et il a fallu payer une deuxième fois et c’est une part du résultat net annuel qui s’envole.

Non, ça n’arrive définitivement pas qu’aux autres !

Les mesures d’urgence

Quand la supercherie est identifiée quelques jours après le virement, Sébastien imagine les premières mesures : on met en place des contrôles  et on implique tout le monde. Plus question de se faire avoir et la responsabilité ne peut être que collective, en particulier dans une structure de 5 personnes !

Des  détails qui ont leur importance : si vous décidez de mettre en place  des vérifications manuelles, le changement de canal ET le changement  d’interlocuteur doivent vous interpeller. Si vous recevez une demande de  changement d’IBAN par mail, faites-vous confirmer la demande par une  autre personne chez votre fournisseur et idéalement par un autre canal,  au cas où le premier aurait été piraté.

Faire des vérifications c’est bien mais pas n’importe comment…

L’artillerie lourde

Sébastien a vite compris que l’origine de l’attaque était le piratage du système  de messagerie de son fournisseur. Et il a eu l’intelligence de se dire  qu’à son tour il pourrait faire subir ce type de fraude à ses propres clients si son informatique était compromise.

Il a donc fait tout ce qu’il fallait pour renforcer sa sécurité informatique :

Mais aussi ses échanges bancaires :

La morale de cette histoire

Il aura fallu un traumatisme qui reste encore très présent aujourd’hui dans les esprits de tous les membres de l’équipe. Il aura fallu investir  quelques centaines d’euros annuels en prestations informatiques et outils bancaires pour éviter des milliers d’euros de perte sèche.

Mais aujourd’hui son entreprise n’a jamais été aussi bien armée pour faire face à tous les types de fraude externe possibles !

Et vous, vous attendez quoi pour vous équiper ?

Le dénominateur commun entre toutes les fraudes est la récupération  d'informations sur la cible. Et pour y parvenir, les fraudeurs  s'introduisent dans votre informatique par la grande porte : votre messagerie électronique.  Pour blinder cette porte et empêcher ces intrusions, il faut sécuriser  la messagerie mais aussi ses utilisateurs. Thomas Kerjean, dirigeant de  la société MailInBlack, vient nous parler du savoir-faire qu'il met en œuvre avec son équipe pour vous y aider.

Les fraudeurs sont (presque) des entrepreneurs comme les autres ! Et à ce titre ils cherchent à optimiser la rentabilité de leurs activités et donc le retour sur investissement le plus élevé. Avec le développement très fort du travail à distance et la multiplication des données disponibles sur les réseaux sociaux, le ROI des attaques sur la messagerie continue d'augmenter. Heureusement la technologie progresse et permet d'identifier de plus en plus efficacement les mails risqués. Thomas vous explique ces aspects de manière très pédagogique.

Sécuriser sa messagerie c'est bien mais si vos partenaires ne sont pas protégés, le risque reste présent. Thomas nous parle du rapport de l'institut Montaigne sur le sujet du risque systémique (que vous pouvez retrouver ici : rapport Cyber menace). Même s'il n'est pas possible de sécuriser totalement le système entier, la communauté est une force pour tous les utilisateurs de la solution. Écoutez comment ça marche !

En tant que société technologique,  on peut s'attendre à ce que MailInblack soit très bon techniquement. Et je pense sincèrement que c'est le cas. Mais j'ai été frappé par la conscience aigüe de Thomas de l'importance de l'humain dans la sécurisation. Lui et son équipe développent un outil d'éducation numérique qui m'a bluffé !

Baptiste Collot est le premier expert auquel je fais appel pour enrichir notre vision de la lutte contre la fraude. Il a fondé en 2017 la société Trustpair après avoir travaillé dans un grand groupe français où il a été confronté aux difficultés pour gérer une donnée fondamentale dans la vie d’une entreprise : l’IBAN.

Dans les séances précédentes on a parlé de faux président et de faux fournisseur, et donc de fraude au virement puisqu’il s’agit bien du but des fraudeurs : recevoir des fonds par le biais d’un virement sur leur compte bancaire. Quand on se penche sur la fraude au virement, on en arrive inévitablement à penser à la gestion des tiers, c’est à dire les bénéficiaires qu’on doit payer. Il va falloir les enregistrer puis saisir leur numéro de compte et l’identifiant de leur banque (le code BIC). Mais comment être sûr que la personne qui m’a envoyé son RIB est bien celle qu’elle prétend être ? Comment être sûr qu’elle est bien titulaire du compte dont j’ai le numéro entre les mains ? Et enfin comment être sûr que cette information n’a pas changé depuis le dernier virement que j’ai fait à mon fournisseur ou à mon salarié ?

Quand j’ai contacté Baptiste j’avais en tête la solution SEPAmail DIAMOND qui a été imaginée justement pour répondre à ces questions. Mais dans cette séance nous verrons ses limites et toute l'intelligence qui peut y être ajoutée pour mieux vous protéger : c’est justement la spécialité de Trustpair. En exploitant un  maximum de sources données différentes, en les croisant, en mutualisation les analyses des comportements de paiement de leurs clients, et en élargissant constamment leur couverture géographique, ils parviennent à créer un système de vérification très robuste et qui fonctionne en Europe et au-delà.

Leur service nous permet d’imaginer ce que sera la gestion des tiers dans l’avenir : une tâche automatique et fiable qui ne permettra plus aux fraudeurs de parvenir à leurs fins. Mais le chemin est encore long avant qu’il soit possible de vérifier n’importe quel numéro de compte dans n’importe quel pays donc il faut rester vigilant et continuer de miser sur l’humain pour vous protéger !