Sus aux escroqueries

Un chef d’entreprise

vient de me raconter une tentative d’escroquerie. Sa secrétaire reçoit le téléphone d’un avocat, qui lui annonce lui avoir envoyé un e-mail important, à traiter de manière confidentielle, concernant le rachat d’une entreprise concurrente. Le sujet n’est pas complètement absurde, des discussions dans cette direction ayant en effet déjà eu lieu. L’avocat demande la confirmation des coordonnées bancaires de l’un des associés de l’entreprise pour initier formellement la transaction, insistant sur le fait qu’il n’est pas utile de déranger l’associé en question.

Il appuie ses dires sur un e-mail que ce dernier aurait rédigé et qu’il envoie comme preuve à la secrétaire. Malgré ces documents qui semblent fiables, l’employée ne se plie pas aux injonctions de l’appelant, puisqu’elle prendra contact avec l’associé concerné en lui demandant de confirmer la transaction. L’astuce est découverte, l’entreprise l’a échappé belle.

C’est un cas classique

de social engineering, méthode visant à pousser des personnes à commettre des erreurs, notamment pour accéder à des comptes bancaires ou passer les barrières de sécurité informatique d’une entreprise. Dans le cas présent, non seulement l’escroc inspirait confiance, mais il connaissait les noms de toutes les personnes et entités impliquées dans l’affaire. Il a utilisé leurs logos et coordonnées de contact à bon escient. Ce qui a mis la puce à l’oreille de la secrétaire?

Une toute petite faute d’orthographe dans le soi-disant e-mail de l’associé, connu pour son français impeccable. Dans plus de 90% des cas d’escroquerie en ligne, les malfaiteurs arrivent à leurs fins grâce à une erreur humaine. L’immense majorité des hackers ne se donne pas la peine de passer des jours à développer des systèmes informatiques sophistiqués pour agir. Ils manipulent la confiance ou l’ignorance des personnes ou, encore plus simple, se contentent d’envoyer des e-mails avec des pièces jointes infectées.

L’information répétée

et continue à l’ensemble du personnel d’une entreprise est clé. Bien entendu, cela ne dispense pas de doter les ordinateurs et serveurs de pare-feu adéquats et mis à jour. Selon le Centre national pour la cybersécurité de la Confédération, ce n’est pas les cas de plus de deux mille huit cents serveurs d’entreprises en Suisse. Cette négligence peut aller jusqu’à entraîner la faillite de l’entreprise.

La FER Genève a pris la mesure de ces enjeux et propose à ses membres un bilan cyber, pour que les failles de leurs systèmes d’information soient mises à jour. Les risques d’erreur humaine sont aussi adressés, avec bienveillance et sans jugement. La bonne nouvelle est que des parades existent. Aux entreprises de prendre leurs responsabilités et de les mettre en œuvre.