Académique Documents
Professionnel Documents
Culture Documents
Sécurité Informatique
PRÉSENTÉE PAR: INGRID MOISE, ING. MS. SSI
MAI 2017
Sommaire
Définition plus juridique: «... Il s'agit d'un acte qui a été réalisé en utilisant
des moyens déloyaux destinés à surprendre un consentement, à obtenir
un avantage matériel ou moral indu ou réalisé avec l'intention d'échapper
à l'exécution des lois ». Serge Braudo - Dictionnaire du Droit Privé Français
Typologies de Fraude
La fraude touche toutes les tailles d'entreprise et tous les secteurs d'activité
Selon le FBI, la fraude aux faux ordres de virements internationaux (FOVI)
aurait augmenté de 1300% depuis Janvier 2015 et couté 3.1 milliards de
dollars aux entreprises dans le monde. Ces chiffres sont inférieurs à la
réalité car beaucoup d'entreprises craignent de les révéler pour des
raisons d'image.
Évolution de la Fraude
- Pression,
- Opportunité,
- Rationalisation.
Triangle de Fraude de Cressey
L'objectif est double: agir contre la fraude dans les opérations comptables
et financières, en instaurant un rapport sur le contrôle interne et mettre en
place un nouvel organisme appelé Haut Conseil du commissariat aux
comptes pour renforcer le contrôle des auditeurs.
Règlementation Bâle 2
Selon le FBI, elle aurait couté 3.1 milliards de dollars dans le monde. Soit 2,3
milliards rien que pour les entreprises américaines.
Dans 23.2% des cas, elle aurait couté plus d'un million de dollars et dans
56% des cas les coûts sont moins de 200,000$.
Au Québec, la Sureté du Québec affirme qu'une soixantaine d'entreprises
ont été touchées par cette escroquerie depuis 2014, pour un préjudice
global de 16 millions d'euros. De plus, la gendarmerie royale du Canada
estime que 95% de fraude ou de tentative de fraude ne sont pas
dénoncées dans ce pays.
Fraude par Ingénierie Sociale
(Chiffres)
En France, en 5 ans, 2340 plaintes ont déjà été déposées pour 1550
sociétés victimes.
D'après Euler Hermès, 93% des entreprises françaises déclarent avoir été
victimes d'une tentative de fraude en 2015 : une hausse de 16% comparé
à 2014 (77%).
On dénombre 2 tentatives par jour pour les grandes entreprises (CAC40).
La fraude au président est en tête des tentatives de fraudes réalisées en
France en 2015 (55%).
Depuis septembre 2010, la police judiciaire fédérale de Bruxelles a ouvert
32 enquêtes sur des cas d'arnaques au président, pour un montant
d'environ 37 millions d'euros.
Autres Statistiques
Selon l'enquête de PWC, la fraude touche tous les secteurs d'activités. Plus
l'entreprise est grande, plus les risques sont importants. Le secteur financier
demeure le plus touché dans le monde avec un taux de 48%.
Définition
La « Fraude au Président » est une escroquerie par usurpation d'identité. Elle
consiste pour l'escroc à se faire passer pour un dirigeant de l'entreprise afin de
persuader les employés d'effectuer en urgence un virement important à un tiers
sous prétexte d'une dette à régler, un contrôle fiscal ou autre.
Gilbert Chikli est considéré comme l'inventeur de cette escroquerie, qui est né
en 2005 et dont la première victime fût La Poste.
Types de fraude par ingénierie
sociale: Fraude au Président
Signaux d'alerte:
une prise de contact généralement le vendredi après-midi ou pendant les congés :
l'interlocuteur qui se fait passer pour le PDG, n'a pas l'habitude d'appeler ;
une demande exceptionnelle qui ne respecte pas les procédures habituelles de
l'entreprise;
une demande urgente et ultra confidentielle: « ce projet doit rester confidentiel »), (« n'en
référer à personne »), (« c'est une affaire de très haute importance »), etc. ;
les flatteries : (« il m'a dit que je pouvais compter sur vous ») ; (« vous serez récompensé »);
une forte pression exercée sur le salarié et intimidation: il rappelle à plusieurs reprises et
utilise des termes comme (« est-ce que vous écoutez ce que je dis ? Je vous dis que c'est
très urgent ! ») ; (« c'est un ordre ») ; (« ne me décevez pas »), etc.
une opération inhabituelle dont le montant est élevée et vers des comptes ou des
bénéficiaires inconnus ou encore vers les pays ou la société n'a pas d'activité.
Types de fraude par ingénierie soc.:
Fraude au Changement de RIB
Définition:
La Fraude au changement de RIB consiste pour l'escroc à envoyer un mail ou
un courrier frauduleux à un collaborateur du service de trésorerie ou de
comptabilité de l'entreprise en se faisant passer pour le nouveau comptable du
fournisseur de l'entreprise, et lui demander de diriger ses versements vers un
autre compte bancaire appartenant aux escrocs, généralement situé à
l'étranger.
Types de fraude par ingénierie soc.:
Fraude au Changement de RIB
Signaux d'alerte:
toute demande de modification de RIB d'un bailleur ou fournisseur par courriel,
email, téléphone, etc. ;
des emails similaires à ceux de l'entreprise mais portant des mentions « Gmail ou
Hotmail » ou un chiffre ou une lettre rajouté ;
le papier à en-tête diffère légèrement de celui du vrai fournisseur ;
d'importantes fautes d'orthographes, généralement pas d'accents ni de « s » ;
la domiciliation du nouveau compte bancaire est située à l'étranger.
Types de fraude par ingénierie
sociale: Fraude par Phishing
Définition
Ce terme signifie « la pêche aux mots de passe ». Il est qualifié de filoutage en
français et d'hameçonnage en québécois. Quand l’attaquant cible un
particulier ou une institution, on parle de spear phishing. Quand un exécutif est
ciblé, on parle de whaling/harpooning.
Signaux d'alertes:
Adresse email approximative avec des termes comme « Gmail » et non celui de
l’ institution ;
Beaucoup de fautes d'orthographe (pas d'accent, fautes d'accords...) ;
Des liens vers des pages phishing ne mentionnant aucun nom d’ institution sur
l'URL ;
Des logos déformés ou différents de la version réelle;
Caractère urgent voir menaçant à la fin du message.
Types de fraude par ingénierie
sociale: Fraude par Malware
Définition
Cette technique consiste à envoyer un mail contenant un fichier contaminé
(par exemple Cheval de Troie). Une fois installé, celui-ci permettra au fraudeur
de prendre le contrôle du poste de travail de la victime et de récupérer les
données confidentielles (identifiants, codes secrets, etc.). Ces derniers seront
utilisés à l'insu de la victime pour exécuter les ordres de paiements.
Types de fraude par ingénierie
sociale: Fraude par Malware
Signaux d'alerte:
des emails à caractère inhabituel comportant des pièces jointes inconnus;
la lenteur du site de l’institution constatée après l'ouverture de la pièce jointe ;
une page de validation qui est inhabituelle.
Lutte contre l’ingénierie sociale
Il faudra donc:
Renforcer la sensibilisation, l'information et la formation du personnel;
Renforcer l'implication des organisations chargées de la surveillance : Direction
Générale, Contrôle interne et audit interne, etc.);
Mettre en place de nouvelles procédures de validation des virements au besoin
(améliorer les mesures de contrôle anti-fraude en se basant sur les cas relevés).
Communiquer en interne lorsque la présence d'une fraude intervient.
Recommandations Générales:
se méfier
Emails d'inconnus
Pièces jointes suspectes
Logiciels gratuits
PC lent ou jamais verrouillé
Programmes inhabituels
Clefs USB suspects
WiFi public
Vérifier tout ordre donné via phone ou email
Questions | Réponses
MERCI !