Fraude au président : une arnaque qui profite de l’essor du télétravail Tout comme les rançongiciels, la fraude au président a profité du télétravail massif dû à la crise sanitaire pour prendre un nouvel essor depuis 2020. Si, dans le cas des rançongiciels, ce sont les technologies d’accès distants inadaptées au télétravail qui sont à mettre en cause, ici c’est le manque d’interactions sociales en présentiel qui est l’une des causes majeures de la multiplication de ce type d’arnaque. Comment se déroule une fraude au président ? Dans le cadre de la fraude au président, un escroc qui a préalablement fait des recherches sur l’entreprise cible se fait passer pour le PDG ou un administrateur pour demander, par e-mail, au comptable de la société, un virement bancaire pour une opération confidentielle et urgente. Cet escroc usurpe donc l’identité d’une personne de confiance, via une adresse e-mail créée pour l’occasion et s’adresse directement à la bonne personne (le comptable). Cette tâche apparaissant comme urgente, la personne contactée va parfois s’exécuter sans prendre le temps de la réflexion et puisqu’il s’agit d’une opération confidentielle, elle n’en parlera pas à ses collègues et n’éveillera donc aucun soupçon. Le télétravail peut être considéré comme l’une des causes de la recrudescence des fraudes au président dans la mesure où les échanges à distance se sont démultipliés, de nombreux collaborateurs travaillant depuis chez eux au moins une partie de la semaine. Cela a pour conséquence de leur faire baisser la garde et là où une discussion de vive voix, au sein des bureaux de la société, avec le président ou l’administrateur aurait été de mise pour ce genre d’opération, un échange d’e-mails est aujourd’hui courant et légitime. Quelques bonnes pratiques pour s’en prémunir Pour les entreprises, la fraude au président est loin d’être une fatalité. Plusieurs actions peuvent en effet être mises en place pour limiter drastiquement le risque qu’une telle arnaque aille à son terme. Dans un premier temps il est nécessaire de sensibiliser les comptables vis-à-vis de ce type de fraude puisque ce sont eux qui sont spécifiquement visés. Deux éléments doivent les alerter : les caractères urgents et confidentiels de l’opération. En cas de doute, il conviendra alors de contacter le président par téléphone pour valider cette opération de vive voix. Cependant, si ce type de vérification est faisable dans les PMEs, dès lors qu’il s’agit d’une grande entreprise, il peut être plus compliqué d’obtenir une confirmation orale. C’est dans ces cas de figure qu’une fonctionnalité telle que la séparation des tâches (SoD – Segregation of Duties) prend tout son sens. Intégrée aux solutions d’Identity Governance and Administration (IGA)La gestion des identités des utilisateurs et de leurs habilitations… More telle que Systancia Identity, cette fonctionnalité rend nécessaire le fait d’avoir deux personnes pour réaliser certaines tâches considérées comme critiques. Les virements bancaires étant, en tout état de cause, critiques pour toute organisation, ceux-ci doivent être soumis à un mécanisme de SoD pour tout virement non récurrent ainsi que lors de la mise en place d’un virement récurrent. Dans ce cas de figure précis, la réalisation du virement bancaire par le comptable serait soumise à une validation électronique d’un administrateur de la société ou de tout autre personne habilitée à valider ce type d’opération. Ainsi, si le virement semble suspect, celui-ci sera investigué et stoppé avant même que le virement ne soit effectué. La fraude au président, tout comme les autres principales cybermenaces, doit donc être intégrée aux actions de sensibilisation à la cybersécurité dispensées par les organisations, car il s’agit là de la première barrière face aux cyberattaques et parfois de la seule disponible, dès lors qu’une société ne dispose pas de solutions de cybersécurité adéquates face aux différentes menaces qui pèsent sur les systèmes d’information.
Conformité réglementaire Une gestion des identités simplifiée et sécurisée : clef de voute de votre stratégie zero-trust