Formation en

Sécurité Informatique
PRÉSENTÉE PAR: INGRID MOISE, ING. MS. SSI

MAI 2017
Sommaire

 Fraude: définition, typologies, évolution

 Fraude Informatique | Cyber-attaque
 Triangle de Fraude de Cressey
 Cyber-criminalité
 Cadre règlementaire et législatif
 Fraude par Ingénierie Sociale
 Lutte contre l’ingénierie sociale
 Recommandations Générales
Fraude: définition

 Latin fraus ou fraudis

 Signifie « tromperie », «préjudice » et même « crime »
 Larousse: Acte malhonnête fait dans l'intention de tromper en
contrevenant à la loi ou aux règlements
 La plupart des fraudes sont condamnées par la loi
Fraude: définition

 Définition plus juridique: «... Il s'agit d'un acte qui a été réalisé en utilisant
des moyens déloyaux destinés à surprendre un consentement, à obtenir
un avantage matériel ou moral indu ou réalisé avec l'intention d'échapper
à l'exécution des lois ». Serge Braudo - Dictionnaire du Droit Privé Français
Typologies de Fraude

 On distingue trois typologies de fraude :

 la fraude interne: L'utilisation de son propre emploi afin de s'enrichir
personnellement tout en abusant ou en détournant délibérément les ressources
ou les actifs de l'entreprise.
 la fraude externe: Il s'agit de toute fraude commise par une personne extérieure
à l'entité. Elle peut prendre la forme de la cybercriminalité, l'ingénierie sociale:
fraude au président, fraude au changement de coordonnes bancaires, etc.
 la fraude mixte: Certaines fraudes font intervenir une personne externe à
l'entreprise et un salarié complice.
Évolution de la Fraude

 La fraude touche toutes les tailles d'entreprise et tous les secteurs d'activité
 Selon le FBI, la fraude aux faux ordres de virements internationaux (FOVI)
aurait augmenté de 1300% depuis Janvier 2015 et couté 3.1 milliards de
dollars aux entreprises dans le monde. Ces chiffres sont inférieurs à la
réalité car beaucoup d'entreprises craignent de les révéler pour des
raisons d'image.
Évolution de la Fraude

 Années 2000: plusieurs scandales financiers

 2002: Les Etats-Unis adoptent la loi Sarbanes Oxley (SOX)
 2003: La France adopte la loi de Sécurité Financière (LSF)
 Années 2010:
 Nouvelles formes de fraudes qualifiées de « fraude par ingénierie sociale »
 Fraude via appels téléphoniques ou courriers (vishing, phishing)
Fraude Informatique | Cyber-attaque

 La fraude informatique peut être définit tout simplement au sens classique

comme une variante informatique de l'escroquerie, c'est-à-dire, une
escroquerie commise à l'aide du système informatique. Par exemple, la
fraude par malware (spyware, trojan, ver, ransomware, virus, adware).

 Le terme cyber-attaque signifie « un ou plusieurs évènements inattendus

ou indésirables fortement susceptibles de compromettre la sécurité des
informations et d'affaiblir ou de nuire à l'activité de l'établissement,
notamment pour les impacts majeurs. »
 Triangle de Fraude de Cressey

En 1986, le sociologue Donald Cressey a développé un

modèle à l'aide des entretiens menés avec des
personnes condamnées pour fraude, en tentant
d'extraire des points communs dans chaque cas. Il en
ressort que la perpétration de la fraude est le résultat de
la concomitance de trois éléments :

- Pression,
- Opportunité,
- Rationalisation.
Triangle de Fraude de Cressey

 Pressions financières personnelles (niveau de vie supérieur à ses moyens,

dette élevée, mauvais crédit..) ou des vices (toxicomanie, jeu, affaire
extra-conjugale...)

 Détecter une opportunité évidente lui permettant de régler ses difficultés

financières sans être découvert.

 Le fraudeur est en mesure de rationaliser l'acte qu'il a posé car il ne se

considère pas comme un criminel. Ainsi, il doit élaborer une justification
rendant son acte légitime.
Cyber-criminalité
 Qui?
▪ Entreprises criminelles
▪ Employés (vol, invol)
▪ Pirates (Dark Web)
▪ États / Nations
 Pourquoi?
▪ Gains financiers
▪ Rancune personnelle
▪ Dégats à la réputation
▪ Protestation (soc, pol, …)
▪ Espionnage industriel
▪ Guerre cybernétique
 Comment?
▪ Accès via partenaire (tiers)
▪ Malware (logiciel malveillant)
▪ Ingénierie sociale
▪ Sites web vulnérables
▪ Vulnérabilités matérielles
▪ Dénonceur
▪ Attaques de déni de service (DDoS)
▪ Infection virale via courriel
▪ Brèche interne
 Quoi?
 Pour obtenir:
▪ Information clients
▪ Identifiants de connexion
▪ Informations confidentielles compagnie
▪ Propriété intellectuelle
▪ Stratégies d'investissement
▪ Fraude financière
 Pour provoquer:
▪ Nuire à l'image et à la réputation
▪ Interruption de services
▪ Destruction de données et de biens
▪ Exposé
Cadre Règlementaire et Législatif

 Plusieurs lois et réglementations internationales ont été adoptées à la suite

des scandales financiers survenus particulièrement aux Etats Unis et en
France. Elles ont pour objectif de prévenir les fraudes financières :

 La loi Sarbanes Oxley,

 La loi de sécurité financière,
 La réglementation Bale 2,
 Etc…
Loi de Sarbanes-Oxley

 La loi Sarbanes – Oxley en abrégée « SOX » du 30 juillet 2002 s'applique à

toutes les sociétés cotées en bourse aux Etats-Unis, que la société soit
américaine ou non. Elle préconise surtout de renforcer le contrôle interne
et la gestion des risques, d'augmenter la transparence financière, la
vigilance et l'indépendance des auditeurs.
 La création d'un comité d'audit
 Mise en œuvre d'un contrôle interne efficient et efficace
 Protection des auteurs de l'alerte
Loi de Sécurité Financière

 Promulgué en août 2003, la loi de sécurité financière en abrégée «LSF»

s'inscrit dans la lignée de la loi Sarbanes Oxley. Cette loi s'applique à
toutes les sociétés anonymes qu'elles soient cotées ou non.

 L'objectif est double: agir contre la fraude dans les opérations comptables
et financières, en instaurant un rapport sur le contrôle interne et mettre en
place un nouvel organisme appelé Haut Conseil du commissariat aux
comptes pour renforcer le contrôle des auditeurs.
Règlementation Bâle 2

 Les établissements assujetties à cette réglementation sont : les établissements

de crédit, établissements de monnaie électronique; les entreprises
d'investissement et les compagnies financières.
 Cette règlementation replace en priorité la préoccupation des établissements
de crédit sur le problème de fraude en milieu bancaire en nommant
explicitement la fraude comme composante du risque opérationnel. Cette
réglementation préconise aux établissements de prévenir et de repérer les
actes frauduleux et d'en informer les responsables du dispositif et les autorités
compétentes des faits soupçonnés et tout cas de fraude portant sur la
sécurité, la solidité ou la réputation de la banque.
 Cette règlementation fournit également des lignes de conduites pour la
construction d'un dispositif anti-fraude efficient et efficace.
Fraude par Ingénierie Sociale

 L'ingénierie sociale est tout simplement l'art de manipuler son interlocuteur

afin que ce dernier réalise une opération frauduleuse ou divulgue une
information sensible sur l'entreprise.

 Autrement dit, c'est une technique de manipulation psychologique

humaine qui sert à acquérir invisiblement et de manière déloyale les
informations d'une personne ciblée dans l'optique d'obtenir d'autrui
l'exécution d'une opération frauduleuse (par exemple un virement).
Fraude par Ingénierie Sociale

 Cette technique utilise d'avantage des moyens de communications

traditionnels comme le téléphone, les mails et même le contact direct, en
exploitant la confiance, l'ignorance ou la crédulité de tierces personnes.
 C'est l'une des technique de piratage les plus simples et les plus faciles à faire.
 Beaucoup de personnes aujourd'hui ne connaissent pas la valeur de
l'information qu'elles possèdent et la nécessité de la garder confidentielle.
 Techniques de l'attaque : apparence, charisme, flatterie, niveau de langage,
persuasion, savoir mentir, c'est-à-dire apprendre à exploiter les failles humaines,
confiance, manque d'information, etc.
 Le facteur humain est considéré dans certains cas comme un maillon faible de
la sécurité du système d'information.
Fraude par Ingénierie Sociale
(Chiffres)

 Selon le FBI, elle aurait couté 3.1 milliards de dollars dans le monde. Soit 2,3
milliards rien que pour les entreprises américaines.
 Dans 23.2% des cas, elle aurait couté plus d'un million de dollars et dans
56% des cas les coûts sont moins de 200,000$.
 Au Québec, la Sureté du Québec affirme qu'une soixantaine d'entreprises
ont été touchées par cette escroquerie depuis 2014, pour un préjudice
global de 16 millions d'euros. De plus, la gendarmerie royale du Canada
estime que 95% de fraude ou de tentative de fraude ne sont pas
dénoncées dans ce pays.
Fraude par Ingénierie Sociale
(Chiffres)

 En France, en 5 ans, 2340 plaintes ont déjà été déposées pour 1550
sociétés victimes.
 D'après Euler Hermès, 93% des entreprises françaises déclarent avoir été
victimes d'une tentative de fraude en 2015 : une hausse de 16% comparé
à 2014 (77%).
 On dénombre 2 tentatives par jour pour les grandes entreprises (CAC40).
La fraude au président est en tête des tentatives de fraudes réalisées en
France en 2015 (55%).
 Depuis septembre 2010, la police judiciaire fédérale de Bruxelles a ouvert
32 enquêtes sur des cas d'arnaques au président, pour un montant
d'environ 37 millions d'euros.
Autres Statistiques

 Selon l'enquête de PWC, la fraude touche tous les secteurs d'activités. Plus
l'entreprise est grande, plus les risques sont importants. Le secteur financier
demeure le plus touché dans le monde avec un taux de 48%.

 D'après les enquêtes, la fraude survient majoritairement aux moments

suivants : les périodes de congés (juillet à septembre), les voyages du
Président, les veilles de long week-end (la fraude survient alors vers 16h,
lorsque le collaborateur n'a plus la même attention que le reste du temps).

 Plus de 29 % de fraudes survenues ont été causées par un manque

évident de contrôles internes adéquat.
Types de fraude par ingénierie
sociale: Fraude du Président

 Définition
 La « Fraude au Président » est une escroquerie par usurpation d'identité. Elle
consiste pour l'escroc à se faire passer pour un dirigeant de l'entreprise afin de
persuader les employés d'effectuer en urgence un virement important à un tiers
sous prétexte d'une dette à régler, un contrôle fiscal ou autre.
 Gilbert Chikli est considéré comme l'inventeur de cette escroquerie, qui est né
en 2005 et dont la première victime fût La Poste.
Types de fraude par ingénierie
sociale: Fraude au Président

 Signaux d'alerte:
 une prise de contact généralement le vendredi après-midi ou pendant les congés :
l'interlocuteur qui se fait passer pour le PDG, n'a pas l'habitude d'appeler ;
 une demande exceptionnelle qui ne respecte pas les procédures habituelles de
l'entreprise;
 une demande urgente et ultra confidentielle: « ce projet doit rester confidentiel »), (« n'en
référer à personne »), (« c'est une affaire de très haute importance »), etc. ;
 les flatteries : (« il m'a dit que je pouvais compter sur vous ») ; (« vous serez récompensé »);
 une forte pression exercée sur le salarié et intimidation: il rappelle à plusieurs reprises et
utilise des termes comme (« est-ce que vous écoutez ce que je dis ? Je vous dis que c'est
très urgent ! ») ; (« c'est un ordre ») ; (« ne me décevez pas »), etc.
 une opération inhabituelle dont le montant est élevée et vers des comptes ou des
bénéficiaires inconnus ou encore vers les pays ou la société n'a pas d'activité.
Types de fraude par ingénierie soc.:
Fraude au Changement de RIB

 Définition:
 La Fraude au changement de RIB consiste pour l'escroc à envoyer un mail ou
un courrier frauduleux à un collaborateur du service de trésorerie ou de
comptabilité de l'entreprise en se faisant passer pour le nouveau comptable du
fournisseur de l'entreprise, et lui demander de diriger ses versements vers un
autre compte bancaire appartenant aux escrocs, généralement situé à
l'étranger.
Types de fraude par ingénierie soc.:
Fraude au Changement de RIB

 Signaux d'alerte:
 toute demande de modification de RIB d'un bailleur ou fournisseur par courriel,
email, téléphone, etc. ;
 des emails similaires à ceux de l'entreprise mais portant des mentions « Gmail ou
Hotmail » ou un chiffre ou une lettre rajouté ;
 le papier à en-tête diffère légèrement de celui du vrai fournisseur ;
 d'importantes fautes d'orthographes, généralement pas d'accents ni de « s » ;
 la domiciliation du nouveau compte bancaire est située à l'étranger.
Types de fraude par ingénierie
sociale: Fraude par Phishing

 Définition
 Ce terme signifie « la pêche aux mots de passe ». Il est qualifié de filoutage en
français et d'hameçonnage en québécois. Quand l’attaquant cible un
particulier ou une institution, on parle de spear phishing. Quand un exécutif est
ciblé, on parle de whaling/harpooning.

 Le « Phishing » est une pratique frauduleuse effectuée par SMS ou mail(Smishing)

ou par téléphone (Vishing) pour soutirer des informations bancaires
confidentielles et usurper l'identité de la personne pour effectuer un virement
frauduleux. Généralement les codes ciblés sont souvent les données
personnelles, les identifiants bancaires ou les identifiants de connexion.
Types de fraude par ingénierie
sociale: Fraude par Phishing

 Signaux d'alertes:
 Adresse email approximative avec des termes comme « Gmail » et non celui de
l’ institution ;
 Beaucoup de fautes d'orthographe (pas d'accent, fautes d'accords...) ;
 Des liens vers des pages phishing ne mentionnant aucun nom d’ institution sur
l'URL ;
 Des logos déformés ou différents de la version réelle;
 Caractère urgent voir menaçant à la fin du message.
Types de fraude par ingénierie
sociale: Fraude par Malware

 Définition
 Cette technique consiste à envoyer un mail contenant un fichier contaminé
(par exemple Cheval de Troie). Une fois installé, celui-ci permettra au fraudeur
de prendre le contrôle du poste de travail de la victime et de récupérer les
données confidentielles (identifiants, codes secrets, etc.). Ces derniers seront
utilisés à l'insu de la victime pour exécuter les ordres de paiements.
Types de fraude par ingénierie
sociale: Fraude par Malware

 Signaux d'alerte:
 des emails à caractère inhabituel comportant des pièces jointes inconnus;
 la lenteur du site de l’institution constatée après l'ouverture de la pièce jointe ;
 une page de validation qui est inhabituelle.
Lutte contre l’ingénierie sociale

 Les conséquences de la fraude par ingénierie sociale sont extrêmement

coûteuses pour les institutions et leurs clients. Le préjudice humain dépasse
le préjudice financier. Les principaux risques sont :
 Risques d'atteinte à l'image de l'entreprise (vis-à-vis de ses clients, ses
fournisseurs, etc.) et à la réputation du Groupe;
 Risques de lourdes pertes financières;
 Risques de cessation de paiement et de liquidation judiciaire de l'entreprise;
 Risques de pertes d'emploi (licenciements pour faute grave ou démission de
l'exécuteur du virement ou du PDG)
Lutte contre l’ingénierie sociale

 Risques d'implication (poursuite pour complicité);

 Risque de troubles psychiques et de suicide (dépression, moqueries des
collègues, honte...)
 Risques de sanctions pour les banques de la part des régulateurs manquement
de la Banque à « ses obligations de surveillance, de contrôle et de vigilance ».
Lutte contre la fraude par ingénierie
sociale: Prévention

 Limiter la diffusion de l'information:

 Les entreprises doivent publier uniquement ce qui est obligatoire dans le respect
des exigences de transparences qui leurs sont imposées. Les salariés pourront
par exemple être contraints de signer une charte de confidentialité leur
interdisant cette divulgation sur leur page personnelle.
 L'entreprise doit notamment veiller à limiter l'accès aux documents sensibles en
interne ou demander à ses salariés de ne rien jeter de sensibles dans les
poubelles.
Lutte contre la fraude par ingénierie
sociale: Prévention

 Sensibilisation des collaborateurs:

 La sensibilisation reste le plus grand principe de lutte contre le risque de fraude
à l'ingénierie sociale. Une telle campagne est de développer chez les employés
les bons réflexes en cas de situations suspectes.
 Sécuriser les procédures de contrôle interne et les outils de virement:
 Les dirigeants doivent améliorer l'efficacité de leurs outils et de leurs procédures
de contrôles internes.
 Sécuriser les échanges entre la banque et l'entreprise
 Souscrire à un contrat d'assurance si possible
Lutte contre la fraude par ingénierie
sociale: Détection

 La gestion du risque de fraude ne peut reposer uniquement que sur la

prévention, car ce dernier peut échouer en cas d'inadéquation ou
d'inefficacité des contrôles de prévention.
 Outils de sécurisation en général : logiciel, support de communication et
biométrie
 Outils de sécurisations des installations informatiques
Lutte contre la fraude par ingénierie
sociale: Correction

 Définition claire et nette des procédures de virement ou autres

transactions sensibles (cas particuliers: virements urgents, projets
confidentiels, fin de journée, jours de congé…)
 Communiquer toute erreur commise, tout doute, toute ambiguïté afin de
rectifier autant que possible le tir et bloquer toute transaction frauduleuse.
 Mise en place d'actions correctrices permettant d'assurer la pérennité du
nouveau système de contrôle, de renforcer la supervision des opérations
et d'améliorer la sécurité des systèmes informatiques.
Lutte contre la fraude par ingénierie
sociale: Correction

 Il faudra donc:
 Renforcer la sensibilisation, l'information et la formation du personnel;
 Renforcer l'implication des organisations chargées de la surveillance : Direction
Générale, Contrôle interne et audit interne, etc.);
 Mettre en place de nouvelles procédures de validation des virements au besoin
(améliorer les mesures de contrôle anti-fraude en se basant sur les cas relevés).
 Communiquer en interne lorsque la présence d'une fraude intervient.
Recommandations Générales:
se méfier

 Emails d'inconnus
 Pièces jointes suspectes
 Logiciels gratuits
 PC lent ou jamais verrouillé
 Programmes inhabituels
 Clefs USB suspects
 WiFi public
 Vérifier tout ordre donné via phone ou email
Questions | Réponses

MERCI !