Nous sommes désolés, mais votre navigateur n'est pas pris en charge par Marsh.com

Pour une utilisation optimale, veuillez installer un navigateur pris en charge :

X

RECHERCHES ET BULLETINS

Des pirates psychologiques concoctent un plan ingénieux qui pourrait vous laisser sans le sou

 


Lorsque vous pensez à un vol, vous imaginez peut-être quelque chose comme ceci : Un homme masqué fait irruption dans un restaurant, hurle des ordres aux employés apeurés et leur ordonne de vider la caisse. Mais dans bien des cas de nos jours, les vols sont exécutés avec l’aide d’employés qui ne se méfient pas. Ces fraudeurs recourent au piratage psychologique (« social engineering » en anglais), où les armes sont les paroles et le positionnement.

UNE ESCROQUERIE SOPHISTIQUÉE

Avec le piratage psychologique (ou fraude par usurpation d’identité), les voleurs en puissance apprennent tout ce qu’ils peuvent concernant une entreprise, ses employés et ses processus à l’aide de renseignements qui sont du domaine public : rapports annuels, blogues d’entreprise, articles de journaux, et même les appels d’investisseurs. Ils se font une idée de la façon dont les chefs de direction, les chefs de services financiers et d’autres membres du personnel parlent et agissent. Après avoir effectué leurs recherches, ils combinent ce qu’ils ont appris – et parfois du piratage informatique – à leur capacité de persuasion afin d’obtenir un accès aux données confidentielles d’une entreprise. Bref, le piratage psychologique consiste à faire paraître des communications comme si elles provenaient d’un initié authentique.

Plus tôt cette année, le FBI a déclaré qu’il s’attendait à voir une augmentation spectaculaire de la criminalité par piratage psychologique, par ce qu’il appelle la « compromission d’entreprise par courriel ». L’organisme a déclaré avoir constaté une augmentation de 1 300 % en pertes par exposition identifiées entre janvier 2015 et juin 2016, pour un montant total de plus de 3 milliards de dollars.

Les entreprises d’aliments et de boissons sont particulièrement vulnérables au piratage psychologique parce qu’elles ont des relations avec plusieurs fournisseurs et vendeurs. Une escroquerie type peut fonctionner comme ceci : Le voleur prétend être un fournisseur connu et s’adresse au service des comptes fournisseurs, l’informant d’un changement dans les renseignements sur le compte. Comme l’employé croit que la demande est authentique, il effectue le paiement. Résultat : les fonds ont disparu et le vrai fournisseur n’a pas été payé.

On serait porté à penser qu’un crime aussi effronté serait difficile à réaliser, et c’est ce qui explique pourquoi une recherche est faite à l’avance. L’escroc qui recourt au piratage psychologique créera peut-être une adresse de courriel qui ressemble à la véritable adresse. L’utilisation de renseignements « presque véridiques » convainc les employés qui ne se méfient pas de fournir l’accès à l’imposteur.

Gardez à l’esprit que l’argent n’est peut-être pas l’objectif visé – une perte de données peut être aussi dommageable qu’une frappe directe d’ordre financier. Par exemple, des entreprises de tailles diverses ont été victimes d’une escroquerie où l’on demandait aux employés de soumettre leur feuillet fiscal W2 à une boîte aux lettres numérique pour « un problème lié à l’Internal Revenue Service (IRS) ». Le courriel peut même sembler provenir de votre service des ressources humaines, avec toutes les mentions et tous les logos attendus. Dans un cas, l’imposteur a été en mesure d’extraire la totalité des 20 000 dossiers d’employés avant qu’on l’attrape.

D’autres fois, des voleurs se sont servis du piratage psychologique comme moyen d’accès aux données client.

AUGMENTER LA PRISE DE CONSCIENCE ET L’ATTÉNUATION DES RISQUES AU SEIN DE L’ENTREPRISE

Une attaque par piratage psychologique peut causer de grands maux à votre entreprise et à ceux qui travaillent avec vous. Songez à ce qui pourrait arriver si des criminels obtenaient et manipulaient des données précieuses : Dans quelle mesure cela pourrait-il nuire à votre réputation et à vos relations avec les clients et les fournisseurs? Pour certains, un audit de sécurité et une révision détaillée pourraient s’imposer. Mais il y a d’autres mesures que vous pouvez prendre immédiatement pour aider à renforcer vos défenses, y compris :

  • Établir et exiger un programme de formation et d’éducation continue pour les employés sur l’utilisation sûre et appropriée des fonctions de courriel et d’Internet, y compris la façon de vérifier les adresses de courriel, les domaines, et ainsi de suite.
  • Mettre en place une procédure de vérification pour les employés, avec des questions concernant l’authenticité d’un appel ou d’un courriel.
  • Essayer d’hameçonner vos propres employés pour obtenir un tableau ponctuel de la mesure dans laquelle ils sont susceptibles d’être bernés et des points où il peut être nécessaire de les sensibiliser davantage. Il existe des logiciels conçus pour ce faire, au sujet desquels votre service de TI devrait avoir plus d’information.
  • Appliquer une gestion efficace des mots de passe.
  • Comprendre ce qui est couvert par vos polices d’assurance. Par exemple, si vous détenez une police d’assurance des cyberrisques et une police d’assurance vols et détournements, comment celles-ci pourraient-elles interagir en cas de perte attribuable au piratage psychologique?

Le point principal à retenir est que chaque entreprise est une victime potentielle du piratage psychologique. En créant une culture de sensibilisation tout en mettant en œuvre des stratégies de gestion des risques et d’assurance appropriées, vous pouvez aider votre entreprise et vos employés à reconnaître et à atténuer l’incidence potentielle de ce type de vol.