Se protéger contre la fraude de l’extérieur | Ordre des administrateurs agréés du Québec

Gestion - Articles, chroniques, outils

Se protéger contre la fraude de l’extérieur

Simon Marchand, Adm.A., CFE
  • Simon Marchand
  • Adm.A., CFE
  • Chef de la prévention de la fraude | Nuance Communications

Publié le : 28 septembre 2018

Dans cette série de trois articles, nous nous penchons sur le risque de fraude auquel les entreprises et OBNL peuvent être exposés ainsi que sur le rôle des gestionnaires et des administrateurs face à ce risque.

Dans ce 3e et dernier article sur le risque de fraude pour les entreprises, nous nous attardons à certains types de fraude qui guettent les entreprises de l’extérieur. Les fraudeurs, seuls ou organisés, débordent d’imagination et les manières de monétiser une attaque contre votre organisation sont nombreuses. Voici quelques-unes des manières de s’en prendre à votre entreprise et quelques contrôles que vous devriez connaître et vous assurez d’avoir en place en tant que gestionnaire.

Vol d’informations et extorsion informatique

Le vol d’informations faisant suite à une brèche informatique est une fraude qui fait de plus en plus parler ces dernières années. Avec l’arrivée de mesures de sécurité comme la puce sur les cartes de paiements et l’explosion du Dark Web et ses sites illicites, les dossiers de crédits et les identités volées sont devenus une mine d’or pour les fraudeurs.

Comme organisation, vous avez probablement à entreposer des informations de clients sur vos serveurs. Ces informations peuvent être banales (nom et adresse), mais il arrive que vous ayez à conserver des données plus sensibles telles que les pièces d’identité ou autres. Un fraudeur qui réussirait à s’infiltrer dans vos serveurs pourrait en extraire de l’information précieuse qui sera revendue, ou encore pourrait crypter l’ensemble de votre information stockée en échange d’une « rançon », généralement payable en cryptomonnaies (tel que le bitcoin). Dans ce dernier cas, un archivage périodique de vos données (hebdomadaire au minimum), séparé de vos serveurs, peut réduire votre dépendance et les risques auxquels vous faites face.

Le risque zéro n’existe pas, et toutes les organisations n’ont pas à leur disposition les mêmes ressources, mais certaines bonnes pratiques sont à prendre pour éviter ce genre de situation :

  1. Mettez en place une politique sur l’utilisation acceptable des ressources informatiques ;
  2. Ayez des contrôles en place pour assurer le respect de vos politiques ;
  3. Assurez-vous de restreindre l’accès aux sites web les plus à risque par des solutions éprouvées ;
  4. Assurez-vous que vos employés ne puissent pas installer n’importe quel logiciel sur leur ordinateur, surtout s’ils ne proviennent pas de sources vérifiées ;
  5. Effectuez des copies sauvegardes périodiques de vos serveurs ;
  6. Cryptez toute information sensible stockée ;
  7. Assurez-vous de toujours savoir quelle information vous collectez de vos clients, où et comment cette information est stockée, et ayez un processus de purge lorsqu’elle n’est plus nécessaire ;
  8. Ne conservez que ce qui est essentiel. Par exemple, il est peu probable que vous puissiez justifier le fait de conserver une pièce d’identité ou les informations y figurant ;
  9. Ne conservez pas les informations de cartes de crédit de vos clients. Toute information de paiement récurrent devrait être confiée à un fournisseur de service reconnu et vous ne devriez jamais conserver un numéro de carte dans le but de faire des transactions manuelles mensuelles, même avec le consentement d’un client.

Piratage de système téléphonique

Moins connu, le piratage de système téléphonique reste répandu. L’objectif est simple; pénétrer dans un système téléphonique hors des heures d'affaires pour ensuite utiliser le plus de lignes téléphoniques possible pour faire des appels à l’étranger sur des lignes « premium ». Les pirates sont généralement embauchés par d’autres fraudeurs qui détiennent des intérêts dans ces lignes premium et qui bénéficient du trafic généré frauduleusement.

L’important est donc de vous assurer de ne pas faciliter la tâche aux fraudeurs. Dans ces cas de piratage, gardez en tête que si vous possédez le système de gestion des appels, vous allez être tenu responsable des frais encourus par votre fournisseur de services téléphoniques. Voici certaines des bonnes pratiques à mettre en place :

  1. Assurez-vous de changer le mot de passe d’administrateur de base de votre système, changez-le régulièrement et limitez le nombre d’individus y ayant accès ;
  2. Lorsqu’un nouvel employé est accueilli, créez un mot de passe temporaire aléatoire pour leur boîte vocale et évitez les mots de passe faciles tels qu’une année de naissance, « 1234 », « 0000 », etc.
  3. Si vous le pouvez, restreignez l’utilisation de mots de passe trop faciles pour les boîtes vocales par les employés ;
  4. Assurez-vous que vos employés changent leur mot de passe régulièrement ;
  5. S’il n’est pas nécessaire que vos employés puissent faire des appels longue distance, restreignez ce droit sur leur ligne téléphonique. Cette permission ne devrait pas être donnée « par défaut » mais bien donnée individuellement, lorsque requise ;
  6. Si votre système téléphonique est géré par un logiciel, assurez-vous qu’il soit toujours mis à jour.

Clonage de carte

Ce type de fraude est connu et a fait les manchettes il y a plusieurs années. Même en déclin depuis l’arrivée de la carte à puce au Canada il y a quelques années, il arrive encore que des terminaux de paiement soient compromis.

Le concept est simple. Un fraudeur installe un appareil de paiement modifié à la place d’un appareil que vous avez en place. Chaque transaction physique avec la carte et le NIP permettra au fraudeur d’enregistrer l’information de la bande magnétique et le NIP lui-même, le tout étant ensuite stocké directement dans l’appareil jusqu’au moment de le récupérer, ou transféré via une connexion Bluetooth. Cette information est ensuite revendue pour créer de fausses cartes qui seront utilisées là où la carte à puce n’est pas nécessaire.

Nul besoin de le spécifier, bien que votre organisation ne perde pas d’argent, c’est sa réputation qui est en jeu et vous devez vous assurer que les mesures préventives de base sont en place :

  1. Ne jamais installer un appareil de paiement qui ne soit pas constamment à la vue d’un employé ;
  2. Si un appareil est laissé sur un comptoir et n’a pas à être déplacé, assurez-vous qu’il soit solidement maintenu en place dans un cadre métallique ; 
  3. Si l’appareil est sans fil et doit être déplacé, ayez un endroit sécuritaire pour les entreposer et sensibilisez les employés à l’importance de ne jamais les laisser sans surveillance ;
  4. Assurez-vous qu’un système de surveillance vidéo puisse avoir une vue sur chaque terminal de paiement et que vos enregistrements sont conservés suffisamment longtemps pour servir en cas d’enquête ;
  5. Installer des sceaux de sécurité et procédez à une rapide inspection quotidienne des appareils en début de journée pour tenter de repérer toute altération ;
  6. Facilitez le paiement sans contact (Paypass ou Paywave) pour les transactions de petits montants.

Fraude du président et hameçonnage des entreprises

Ce type de fraude a fait les manchettes au Québec l’an dernier avec une affaire spectaculaire qui a frappé la Coop fédérée en plus d’autres plus petits cas d’hameçonnage. Dans le cas de la fraude du président comme de l’hameçonnage d’entreprise, l’objectif du fraudeur est d’avoir accès à un employé et d’amener cet employé à accomplir certaines tâches qui permettront le détournement de fonds.

La fraude du président consiste à recueillir de l’information sur les hauts dirigeants et les employés clés d’une organisation. Le but est d’établir, d’un côté, les pouvoirs qu’a chaque employé haut placé et notamment de repérer qui est autorisé à déplacer des fonds dans l’organisation et, de l’autre côté, de connaître les horaires à venir des dirigeants et leurs habitudes.

Une fois ces informations obtenues, les fraudeurs mettront en branle une opération relativement complexe où ils se feront passer pour un exécutif (président, vice-président finance, etc.) et ils contacteront un employé détenant suffisamment de pouvoir pour faire des transferts de fonds. Le tout se fera plus souvent la fin de semaine ou en soirée, alors que le ou les véritables exécutifs seront en vacances ou non joignables. Les fraudeurs prétexteront alors une affaire à conclure ou un problème à régler et ils donneront des instructions pour compléter un virement bancaire vers une institution étrangère. L’employé croyant avoir affaire au président obtempère et quand la supercherie est découverte, il est déjà trop tard. Ainsi, le cas de la Coop fédérée a coûté 5.5M$ à l’organisation. L’employée visée dans ce cas n’était pas inexpérimentée ; CPA ayant travaillé au Vérificateur général du Canada, elle était en poste depuis 10 ans. Mais les fraudeurs sont créatifs et ingénieux. Les organisations doivent être conscientes que même les meilleurs employés sont susceptibles de commettre une telle erreur.

L’hameçonnage des entreprises est similaire quoique beaucoup moins raffiné. Il s’agit ici de contacter, au hasard, des entreprises et de tenter de se faire passer pour un employé d’une institution financière. À force d’essais auprès de plusieurs organisations et de plusieurs employés, le fraudeur finit par attraper quelqu’un qui croira au scénario. C’est à ce moment que le fraudeur profitera de l’aide de l’employé pour accéder à un ordinateur de l’organisation, installer un logiciel espion et, en peu de temps, avoir accès aux comptes bancaires de l’organisation. Malgré la simplicité désarmante de cette approche, en 2017, plus de 8M$ de pertes avaient été rapportés à la Sureté du Québec. Il s’agit de différentes formes de social engineering de la part des fraudeurs.

Pour ces deux modèles de fraude, les criminels comptent sur la crédulité ou l’inattention d’un employé. Et c’est tout ce qu’il faut ; un employé pour créer une brèche et créer potentiellement des millions de dollars de pertes en très peu de temps.

Pour prévenir ces types de fraude, puisque même les employés les plus expérimentés sont des cibles potentielles et peuvent se faire entraîner malgré eux, la clé est la sensibilisation, et des politiques claires encadrant les pratiques les plus à risque. Comme administrateur et comme gestionnaire, posez-vous la question : « avons-nous, comme organisation, réfléchi au risque qui nous guette ? Avons-nous pris le temps de recenser ces risques, des les nommer et d’y répondre par des attentes claires, transmises à l’ensemble de l’organisation ? ».

Conclusion

En tant que gestionnaire, en tant qu’administrateur, la protection des actifs et de la réputation de votre organisation doit être au cœur de vos actions. Prendre conscience des risques de fraude est une première étape essentielle. Et le processus de gestion du risque de fraude est continuel : vous ne pouvez pas penser qu’en prenant les bonnes actions une seule fois, le travail s’arrête. Même si vous n’avez pas les mêmes ressources qu’une grande corporation, nous vous avons présenté certaines actions simples à mettre en place pour réduire les risques. C’est un premier pas. En cas de problème, ou de doute, posez des questions, allez chercher le soutien d’experts si nécessaire et, surtout, n’hésitez jamais à aller au fond des choses.


Articles précédents sur la fraude en entreprise

Imprimer

Simon Marchand, Adm.A., CFE
  • Chef de la prévention de la fraude | Nuance Communications