Cybercriminalité : comment la contrer
En France, la cybercriminalité se porte bien : plus de 350 millions de préjudices ont été enregistrés fin 2014. Un fléau qui touche petites sociétés et grands groupes (Michelin s’est fait délester de 1,6 million d’euros il y a quelques mois) de tous secteurs d’activité. Si la solution miracle n’existe pas, les techniques de sécurisation permettent néanmoins de définir la solution la mieux adaptée et de contrer au maximum ces fraudes, de mieux en mieux détectées.
Pour lutter contre la cybercriminalité, les entreprises doivent mettre en place un système de sécurisation adapté.
Et pour présenter aux chefs d’entreprise ces techniques, le Medef de la Somme organisait début mars un petit déjeuner-débat, “Cybercriminalité et transactions bancaires”, orchestré par Clément Lainé, responsable Ingénierie flux à la Caisse d’Épargne Picardie (d’autres débats sur le même sujet ont eu ou vont avoir lieu dans les autres départements de la région). Avant de parler sécurisation, Clément Lainé a établi les différents visages de la cybercriminalité, qui englobe, selon la Commission européenne, trois catégories d’activités criminelles : la diffusion de contenus illicites par voie électronique, les infractions propres aux réseaux électroniques visant les systèmes d’information, et les formes traditionnelles que sont la fraude et la falsification informatiques. Les deux dernières constituant des escroqueries par Faux ordre de virement inter national (Fovi). Là encore, ils sont de plusieurs ordres : le Fovi “classique” apparu dans les années 1990/2000, époque de la genèse de la cybercriminalité, est un faux ordre expédié par courrier ou fax à la banque de l’entreprise visée qui supporte la signature usurpée du dirigeant, et porte en général sur des montants n’excédant pas 10 000 euros. Vient ensuite le Fovi “à la nigériane” (ou mail-phishing) caractérisé par l’autorité – l’auteur du message se prévalant de sa qualité de dirigeant ou de partenaire commercial –, l’urgence du virement à effectuer et la confidentialité demandée au destinataire du message. Le dernier Fovi est quant à lui baptisé “au président” ou “au PDG”, et, de l’aveu de Clément Lainé, « c’est le plus redoutable », supérieur au million d’euros (entre 50 K€ et 14 millions d’euros) et demandant « un aplomb naturel et un don pour la comédie » du fraudeur qui se fait passer pour le patron et promet des perspectives d’évolution à son interlocuteur, invoquant une opération lucrative (type OPA) à réaliser immédiatement. La vigilance est également de mise avec les virements SEPA. De faux informaticiens prétendant travailler pour une banque pouvant contacter l’entreprise et affirmant avoir besoin, pour paramétrer le nouveau système, que leur interlocuteur se connecte sur le site de ce dernier.
Recommandations
Pour contrer ces fraudes, « il faut adopter des règles de bons sens », affirme Clément Lainé qui précise que « les entreprises de France se placent sur le podium de la cybercriminalité, longtemps sujet tabou, mais l’omerta n’est plus aujourd’hui de mise », d’où l’importance de sensibiliser les dirigeants à cette problématique d’actualité. « Beaucoup de faux profils existent sur les réseaux sociaux, les cybercriminels se renseignent aussi sur des sites type Infogreffe ou se font même passer pour des agents d’Interpol pour obtenir des informations sur l’entreprise », révèle-t-il, poursuivant : « Pour se prémunir, il faut adapter des parades logiques, le contre-appel peut en être une, pour vérifier l’identité de l’interlocuteur en cas de doute. »
Clément Lainé incite pour sa part à observer douze recommandations, dont le respect des règles de contrôle interne, adaptées et révisées, en sensibilisant les personnes concernées dans l’entreprise, et ne pas hésiter à se tourner vers les partenaires bancaires. « Il faut responsabiliser les salariés, assure le responsable Ingénierie des flux, et les solutions retenues doivent être gérables et rapidement applicables. » Le cœur du sujet : le système Échange de données informatisées (EDI), qui doit être « adapté à l’organisation de la société, avec un schéma clair et précis, en plusieurs étapes, parmi lesquelles l’analyse stratégique de l’entreprise, l’intégration avec d’autres systèmes commerciaux dans la société et son déploiement chez les partenaires commerciaux », explique Clément Lainé. L’idée étant pour l’entreprise de maîtriser ses besoins et d’être actrice de la solution instaurée : « Il faut connaître le fonctionnement de l’EDI et savoir le faire évoluer. »
Solutions adaptées
La Caisse d’Épargne Picardie, à l’instar des autres groupes bancaires, propose à ses clients des solutions pour les opérations automatisées. « Il existe trois canaux pour les dépôts, résume Clément Lainé. Les ordres par fax, par signature disjointe ou jointe, la seconde engage une partie de la banque ; la dernière, uniquement l’entreprise. La solution retenue le sera en fonction de la typologie de la société. Si le dirigeant est souvent en déplacement, la signature disjointe est plus pratique. »
La signature électronique obéit à cinq règles – elle doit être authentifiable, infalsifiable, non réutilisable, inaltérable et irrévocable – afin de garantir que le document n’a pas été altéré depuis l’apposition de la signature et d’en identifier son signataire.
Les entreprises ont pour ce faire deux produits à leur disposition : le certificat électronique sur clé USB valable trois ans et répertorié Référentiel général de sécurité (RGS) par la Direction générale de la compétitivité, de l’industrie et des services, et le lecteur CAP (Monobanq) qui fait, lui, appel à un lecteur de carte à puce, associé à une carte bancaire ou une carte dédiée générant un code de contrôle à usage unique. Comme pour les autres domaines, cette technologie est en perpétuelle évolution : « Le SEPA mail fait partie de ces nouveaux canaux, qui se déploiera sur 2016/2017, note ainsi Clément Lainé. Il se base sur le réseau EDI, avec des transactions directement initiées via des applications bancaires. Il permet de déployer diverses solutions de paiement, autour d’une messagerie interbancaire à valeur ajoutée. » Les portefeuilles numériques font également leur apparition, avec des moyens de paiement rattachés à des “wallet”, avec comme objectif de concurrencer Paypal apparu en 1997 et régi par la réglementation et les contrôles américains.
Mais qui dit nouveaux canaux dit risques potentiels de nouvelles fraudes…
Certaines banques réfléchissent déjà à des moyens de reconnaissance par lecture rétinienne. « L’idée pour assurer de façon optimale la sécurisation de ses transactions, c’est de s’inscrire dans une relation de partenaire avec sa banque plus que dans la simple relation de clientélisme », estime pour sa part Clément Lainé. Et d’être en veille active sur les escroqueries aux entreprises, pour maintenir une vigilance efficace.