Les cyberattaques se multiplient et se professionnalisent

Les résultats du 4e Baromètre “Cybercriminalité et Fraude” mené par la DFCG et l’assureur Euler Hermes viennent de tomber.
Plutôt inquiétants, ils attestent qu’un tiers des entreprises avouent avoir été victimes d’une fraude avérée en 2017 et que seulement la moitié d’entre elles est assurée ou envisage de l’être.

C’est la quatrième année consécutive que l’association nationale des Directeurs financiers et de contrôle de gestion (DFCG) et un des leaders européens de l’assurance fraude, Euler Hermes, mènent une étude sur la fraude en entreprise.

Sébastien Hager, expert fraude chez Euler Hermès, et Bruno de Laigue, président de la DFCG , ont ainsi présenté les résultats de l’enquête qui s’est déroulée entre février et mars 2018 auprès de 302 adhérents de la DFCG, tout secteur confondu, de la PME au grand groupe.

Les membres des directions financières ont été interrogés sur leur exposition, leurs ressentis et leurs mesures de prévention face aux différentes facettes de la fraude.

« Tout est cyber aujourd’hui », selon Sébastien Hager, car les fraudes commencent toujours par une attaque aux systèmes d’information (SI) des entreprises.

Toutefois, « même si l’un peut être la conséquence de l’autre, la cybercriminalité et la fraude restent deux sujets distincts assurés par des polices différentes, y compris dans le cadre d’une offre combinée », précise Guillaume Deschamps, director head of FINEX France chez le courtier en assurance Gras Savoye.

Des attaques plus efficaces

Le constat est inquiétant : 7 entreprises sur 10 avouent avoir été visées par des fraudeurs en 2017, contre 8 sur 10 en 2016. Si ce signal peut sembler positif, les résultats de l’étude montrent que les pirates tentent moins, mais avec un meilleur taux de réussite.

Ainsi, une entreprise sur 5 a subi plus de 5 tentatives de fraudes sur l’année écoulée ce qui traduit un phénomène d’industrialisation des attaques.

Finalement, et « c’est le chiffre à retenir » selon Bruno de Laigue, une entreprise sur 3 a été victime d’au moins une fraude avérée en 2017.

L’année précédente, ce chiffre ne s’élevait qu’à une sur 4, preuve que « les attaques se multiplient et se professionnalisent », ajoute-t-il.

Cette professionnalisation croissante est aussi attestée parce que les fraudeurs s’appuient sur une connaissance approfondie des us et coutumes de chaque entreprise pour les attaquer à des périodes où elles présentent un signe de faiblesse : congés du dirigeant, reprise ou acquisition, opération de migration du système d’information, opération de croissance externe, changement de direction… Une entreprise interrogée sur trois déclare ainsi avoir constaté une recrudescence des tentatives de fraude en période de vacances ou de week-ends.

Désormais, les fraudeurs mènent des enquêtes approfondies sur leurs cibles potentielles, dont ils savent décrypter l’organisation (notamment grâce aux communiqués de presse et réseaux sociaux) et décident qui, comment et quand attaquer pour optimiser leurs chances de succès.
Les dirigeants d’entreprise sont donc « tous concernés et tous victimes potentielles », insiste Bruno de Laigue.

« Même s’il y a une prise de conscience de l’importance des risques, malheureusement, encore beaucoup de dirigeants d’entreprise estiment que ça n’arrive qu’aux autres », déplore Guillaume Deschamps.

La menace est toujours « très importante et sensible », souligne Sébastien Hager, convaincu que « la sensibilisation est un vecteur important de prévention ».

Un risque impactant le bilan

Désormais conscientes des dangers de leur exposition à la fraude, 70 % des directions financières interrogées craignent une accentuation du risque en 2018. « Une crainte justifiée », commente Bruno de Laigue. Elles doivent donc prévoir un budget pour se prémunir contre ce risque avéré.

Les DAF interrogés ont compris que leur trésorerie n’était pas le seul actif mis en danger par les tentatives de fraude. Si 85 % des répondants mentionnent les risques financiers comme principale menace, le risque lié à la corruption ou à la fuite sur les données arrive en seconde place (45 %) devant le risque d’interruption de l’activité (30 %) et le risque de réputation (29 %).

La fraude et la cybercriminalité menacent donc le bilan de l’entreprise. Si le montant des préjudices est très variable, selon l’étude 10 % des entreprises attaquées ont subi un préjudice moyen supérieur à 100.000 euros.

« Je suis étonné par le chiffre relatif au montant du préjudice moyen parce que la presse a fait état à plusieurs reprises dans le passé de fraudes externes ayant abouti à des pertes beaucoup plus importantes », témoigne Guillaume Deschamps.

Un manque de prévention

Le paradoxe de l’étude est que 73 % des DAF interrogés considèrent leur dispositif de protection face à la fraude satisfaisant alors que seulement une sur deux dispose d’un plan d’urgence à activer en cas d’attaque et envisage de s’assurer.

« Il est pourtant essentiel d’envisager des plans d’urgence, notamment avec des sauvegardes des SI», insiste Sébastien Hager.

En 2015, 80 % des entreprises interrogées ignoraient l’existence des cyberassurances, aujourd’hui près d’une sur 2 est assurée. Le problème du coût se pose car il faut entre 10 et 15 000 euros pour s’assurer à hauteur d’un million d’euros. Il existe toutefois des polices spécifiques aux petites entreprises.

« Les procédures internes, qui augmentent fortement, permettent de déjouer les fraudes, ce qui prouve que les dispositifs techniques et procédures de contrôles fonctionnent », explique Bruno de Laigue. « Le maître mot en termes de lutte contre la fraude en entreprise est le bon sens », ajoute-t-il.

© Etude DFCG-Euler Hermes

Les dispositifs de sensibilisation du personnel (envoi de faux mails frauduleux, formation vidéos), de contrôle interne et d’audit (tests d’intrusion), ne suffisent pas à se couvrir. L’application prochaine du règlement européen de protection des données personnelles (RGPD), le 25 mai, est le « bon créneau d’entrée pour les entreprises afin de faire analyser leurs SI ». Pour Bruno de Laigue, ce n’est pas seulement une contrainte administrative, mais « un excellent moyen de savoir où elles en sont pour lutter contre la fraude ».

Les experts sont unanimes : il y existe un lien fort entre cybersécurité, cybergouvernance et conformité au RGPD, qui doivent être étudiés ensemble.

« La conclusion de cette étude est qu’il y a encore de nombreux mécanismes de prévention et de sensibilisation à mettre en place dans les sociétés au niveau de leurs collaborateurs notamment tant contre le risque de fraude que pour leur exposition aux risques cyber », témoigne le courtier en assurance Guillaume Deschamps.

Top 3 des tentatives de fraudes

Sur le podium des modes de fraudes les plus courants en 2017, on trouve la fraude au faux fournisseur (54 %), les cyberattaques (50 % dont 20% de ransomware) et la fraude aux faux professionnels du chiffre ou du droit (passés de 29 à 43 %).

Sur la plus haute marche l’an dernier, la fraude au faux président est passée à la 4e place. Elle est toutefois encore très souvent subie par les TPE-PME françaises selon les avocats et courtiers en assurance. « L’usurpation d’identité reste la majeure partie des fraudes utilisées », souligne Sébastien Hager, notamment par le biais de cyberattaques antérieures.

Souvent « grande absente des conférences sur la fraude », la fraude interne est aussi courante et remet en cause l’ensemble des procédures de prévention. Ce type d’attaque est « le plus redoutable » selon Pierre Delort, président de l’Association nationale des directeurs des systèmes d’information (ANDSI), « car le salarié ou le prestataire sait généralement comment camoufler les faits comme Edward Snowden prestataire travaillant à la NSA ». Il faut ainsi 18 mois en moyenne pour les découvrir.

Sources : Les affiches parisiennes | le  – Anne MOREAUX