Particuliers
Accueil Comptes bancaires
Cartes de crédit
Emprunts
Hypothèque
Épargne et placements
Assurances
Conseils
Entreprises
Accueil Mon entreprise
Solutions bancaires
International
Financement
Placements
Conseils et outils
Gestion de patrimoine
Accueil
FERMER

Comment se prémunir contre la cyberfraude

28 mai 2018 par Banque Nationale
how to prevent cybercrime

La cyberfraude peut toucher n’importe quelle entreprise. Ses victimes se multiplient et les méthodes utilisées se diversifient. Heureusement, il existe plusieurs façons de protéger votre entreprise.

En 2017, la cyberfraude représentait des pertes de 600 milliards de dollars à l’échelle mondiale. Au Canada seulement, près de la moitié des PME sont victimes de ce type d’attaques. Cette tendance est malheureusement à la hausse, le taux de cybercrimes ayant bondi de 45 % entre 2014 et 2016 selon l’éditeur de logiciels antivirus McAfee.

Des exemples de cyberfraude

Les techniques utilisées sont nombreuses et évoluent rapidement, ce qui les rend difficiles à prévenir. Les fraudeurs « ciblent généralement une personne précise au sein de l’entreprise, le directeur financier par exemple », explique Cyrille Aubergier, chargé de la gestion de la sécurité pour SITAONAIR et chargé de cours en cybersécurité à Polytechnique Montréal. Voici quelques-unes des cyberfraudes les plus fréquentes :

La « fraude du président » : Les fraudeurs réunissent beaucoup d’information sur l’entreprise ciblée, ses processus, les échelons hiérarchiques, les personnes qui tiennent les cordons de la bourse, etc. Puis, ils font parvenir un courriel au directeur financier ou au comptable de l’entreprise en lui faisant croire qu’il a été envoyé par le président. Le message ordonne de virer de toute urgence une importante somme sur un compte dont on fournit les coordonnées afin de pouvoir finaliser une acquisition qui doit demeurer confidentielle. « Le tout se fait généralement dans l’urgence, un vendredi à 17 h. Il ne reste que peu d’employés au bureau, et il est difficile d’effectuer des vérifications », explique Cyrille Aubergier. En général, le fraudeur profite du fait que le président est absent, idéalement en voyage d’affaires à l’étranger.

L’attaque au logiciel rançonneur (ransomware) : Un logiciel malveillant vient bloquer le système d’information de l’entreprise. Pour corriger la situation, les fraudeurs exigent une rançon.

L’hameçonnage (phishing) : Les fraudeurs font croire à la victime qu’elle s’adresse à une institution de confiance, sa banque par exemple, afin de lui soutirer des renseignements personnels comme ses mots de passe, ses numéros de carte de crédit, etc.

Ils tentent ensuite d’introduire un programme malveillant, communément appelé malware, dans l’ordinateur de cet employé, par l’intermédiaire d’un lien Internet ou d’un fichier contenu dans un courriel. Le malware effectue alors de la recherche et de la collecte d’information (coordonnées bancaires, numéros de compte, noms des responsables financiers avec les signatures, etc.) et fouille l’historique de navigation pour vérifier notamment si la victime a accédé à ses comptes bancaires à partir de l’ordinateur. Le logiciel peut aussi installer un capteur des touches utilisées sur le clavier afin de récupérer les mots de passe.

Faux courriel : Les fraudeurs se font passer pour l’un de vos fournisseurs et demandent que les paiements soient désormais effectués dans un autre compte bancaire. Le stratagème n’est découvert que lorsque le véritable fournisseur se plaint de ne pas avoir été payé.

Mise en place de processus de vérification

La protection commence par une prise de conscience du risque. Ensuite, il faut établir un plan de prévention qui couvre tous les secteurs de l’entreprise. « Il n’y a rien de pire que d’acheter une application pour protéger l’accès des utilisateurs et qu’elle ne serve à rien parce qu’elle est mal configurée ou que les alertes ne sont pas surveillées. Ça crée un faux sentiment de sécurité », avertit l’expert.

Pour sa part, Natasha Rocheleau, directrice principale, du service des Solutions de Gestion de trésorerie Entreprises à la Banque Nationale, insiste sur le fait qu’il faut sensibiliser ses employés à la cyberfraude et instaurer de bonnes pratiques à l’interne. « Dans le cas de la fraude du président, il y a des signaux qu’il faut reconnaître : l’urgence, la confidentialité, le fait que le bénéficiaire ne soit pas connu de la personne qui effectue la transaction, etc. Il est essentiel de mettre en place des procédures de vérification et d’identification pour s’assurer que la demande vient effectivement de lui », suggère-t-elle.

Authentification et sécurité renforcée

Pour les transactions à risque, elle recommande l’utilisation d’une solution d’authentification telle qu’une clé SécurID ou un jeton d’authentification. Ces dispositifs produisent des mots de passe qui changent à intervalle régulier. Pour poursuivre la navigation, l’usager doit entrer le code affiché. Il s’agit d’une protection supplémentaire qui empêche l’accès au site, à moins d’avoir en main la solution d’authentification avec soi.

La « sécurité renforcée » est une mesure de sécurité supplémentaire qui restreint l’accès à des sites web en associant le code utilisateur ou le nom d’usager à un ordinateur précis. Lorsqu’une session est ouverte à partir d’un ordinateur non enregistré, le système demande à l’utilisateur de confirmer son identité en répondant à l’une des questions personnelles créées dans le profil.

« Lorsqu’il s’agit de transactions, on peut aussi imposer des limites de montant par employé, ou exiger des autorisations supplémentaires d’une autre personne à l’interne, par exemple », mentionne Mme Rocheleau.

Adoptez les bons réflexes

    • Ne cliquez pas sur des liens qui paraissent louches et n’ouvrez pas de documents provenant de sources inconnues.

    • Limitez l’accès à Internet pour les ordinateurs qui traitent des informations sensibles.

    • N’envoyez pas de documents personnels à votre adresse courriel professionnelle et vice-versa.

    • Effectuez régulièrement les mises à jour de sécurité. Tous les mois, mettez à jour votre système d’exploitation, vos logiciels et vos antivirus.

    • Avant d’autoriser un transfert d’argent, confirmer la demande auprès des intéressés.

    • Ne comptez pas aveuglément sur l’antivirus ou l’anti-malwarepour protéger vos données : s’il s’agit d’une nouvelle menace, ce logiciel n’est pas encore programmé pour la reconnaître.

    Il est facile de se laisser berner. Les courriels frauduleux sont de mieux en mieux conçus, bien traduits et sans fautes d’orthographe, et les sujets abordés suscitent la curiosité, la pitié ou la surprise. Restez sur vos gardes!

    Notes légales 

    Toute reproduction totale ou partielle est strictement interdite sans l’autorisation préalable écrite de la Banque Nationale du Canada.

    Les articles et renseignements accessibles sur ce site Internet sont protégés par les lois sur le droit d'auteur en vigueur au Canada ou dans d'autres pays, le cas échéant. Les droits d’auteur dans ces articles et renseignements peuvent appartenir à la Banque Nationale du Canada ou à d'autres personnes. Toute reproduction, rediffusion, communication par télécommunication, incluant par référence via un hyperlien, ou toute autre utilisation non explicitement permise, de la totalité ou d’une partie de ces articles et renseignements, est interdite sans le consentement préalable et écrit de leur titulaire respectif.

    Le contenu de ce site ne doit en aucune façon être interprété, considéré ou utilisé comme s’il constituait des conseils d’ordre financier, juridique, fiscal ou autre. La Banque Nationale et ses partenaires en contenu ne peuvent être tenus responsables des dommages que vous pourriez subir dans le cadre d’une telle utilisation.

    Nous tenons à vous informer que l'information présentée sur ce site web, qu'elle soit d'ordre financier, fiscal ou réglementaire, pourrait ne pas être valable à l'extérieur de la province du Québec.

    Cet article est offert par la Banque Nationale, ses filiales et les entités de son groupe à titre informatif seulement. Il ne crée aucune obligation légale ou contractuelle pour la Banque Nationale, ses filiales et les entités de son groupe et le contenu des programmes et des conditions qui y sont décrits est sujet à changement.

    Les hyperliens contenus dans cet article pourraient rediriger vers un site externe qui n’est pas administré par la Banque Nationale. La Banque ne peut être tenue responsable du contenu de ce site externe ni des dommages résultant de son utilisation.

    Les opinions présentées dans ce texte sont celles de la personne interviewée. Elles ne reflètent pas nécessairement les opinions de la Banque Nationale ou de ses filiales.

    Pour tout conseil concernant vos finances et celles de votre entreprise, veuillez consulter votre conseiller de la Banque Nationale, votre planificateur financier ou, le cas échéant, tout professionnel (comptable, fiscaliste, avocat, etc.).

    Tags:

    Catégories

    Catégories