Connect’In Lorient : Éviter les pièges numériques

Dans le Palais des congrès de Lorient (Morbihan), les couloirs bruissent de nombreuses discussions, des petits groupes se forment, les cartes de visite s’échangent courtoisement et les 06 se transforment habilement en « nouveau contact ». Connect’in Lorient est un rendez-vous annuel fort prisé des chefs d’entreprises, des collectivités et des prestataires de services informatiques.
Des conférences, des ateliers, des rencontres informelles… Tous les formats sont possibles tant qu’ils favorisent la diffusion des compétences et des connaissances en matière de digital. C’était notamment le cas de l’atelier « fraude financière dans les PME : décryptage de deux attaques. »

Une cible facile ?

Fabrice Litaize, expert en cybercriminalité chez Anozr Way, a été pendant 30 ans analyste en criminalité financière dans la gendarmerie. Il anime aujourd’hui l’atelier fraude aux côtés de Sandrine Morin, chargée des entreprises à la Caisse d’Épargne Bretagne-Pays de Loire. Dans la salle, une vingtaine d’entrepreneurs très attentifs, car soucieux de préserver leurs intérêts… et leurs données. « Comment ne plus être une cible facile ? Demande l’expert à l’auditoire. Sans préjuger de vos capacités à faire face à ce type de menaces, je vais vous décrire deux types de fraudes que j’ai eu à traiter récemment et qui reposent sur des mécanismes simples et malheureusement efficaces. »

«Tout le monde ici se dit qu’il serait passé à travers ces tentatives de fraudes…»

Premier cas de figure: une tentative de fraude au président. « Cette attaque par ruse visait une PME de Lorient (10 M€ de CA) qui a engagé de grosses dépenses d’investissements étalées sur plusieurs mois, résume Fabrice Litaize. Quand le responsable administratif et financier nouvellement embauché prend son poste, il reçoit un coup de fil « urgent » de son patron qui le presse d’exécuter un virement SEPA de 81 000€. Il prépare le document et donne l’ordre du virement puis passe devant le bureau du PD-G, un peu par hasard. Il entre le saluer et fait allusion à l’appel du matin. » L’attaque par ruse est alors détectée et le virement annulé. Heureusement qu’il n’était pas à débit immédiat !

Connect’In Lorient ©CCI56

L’urgence est un levier fort de la cybercriminalité

Deuxième exemple détaillé par le spécialiste : Une fraude au fournisseur. Une société de transport (6 M€ de CA) construit un nouveau bâtiment. Le patron reçoit la facture de 160 000€ de l’entreprise de terrassement qu’il s’est engagé à payer urgemment. Tout semble en ordre : le montant, le Siret, la date, le descriptif… Il certifie donc la facture est l’envoie à la comptabilité. Malgré l’aval de la société, la transaction est bloquée à la banque. Pour la simple raison que l’IBAN est domicilié… au Portugal. Pris par l’urgence en interne, personne ne s’était aperçu de ce « léger » détail.

Un vol de données anodines, de lourdes conséquences

« Ce second témoignage illustre parfaitement le fait qu’un seul élément peut faire toute la différence. A l’exception de l’IBAN, tout était bon dans cette affaire… Mais ce que le patron ne savait pas c’est que son prestataire s’est fait voler toutes ses données, explique Fabrice Litaize. Mais il n’avait pas communiqué sur la fuite des informations. Les pirates avaient donc le champ libre. » L’auditoire n’en croit pas ses oreilles. « Comment peut-on être aussi naïfs ? Ce n’est pas très sérieux tout ça ! Eh ben, il y a encore du chemin à faire… »

Notre empreinte numérique dit tout de nous

«Tout le monde ici se dit qu’il serait passé à travers ces tentatives de fraudes, continue l’ancien gendarme. Peut-être? Mais le nombre de tentatives d’intrusion, de fuites de données et d’utilisation généralisée de « nos » empreintes numériques me font douter de vos certitudes. Et c’est certainement là une partie du problème. Dans l’entreprise nous ne pouvons pas nous permettre de négliger des procédures internes strictes comme la communication directe, la double ou triple signature des documents sensibles, la protection des données personnelles, même les plus anodines… » Rappelons simplement que voler un planning numérique d’une entreprise permet de connaître les heures auxquelles les employés ne sont pas présents à leur domicile. Une information utiles aux cambrioleurs qui, eux, ne sont pas numériques.