Blog

Pourquoi mettre en place des contrôles de cybersécurité au sein de votre département financier?

Jean-Marie Bequevort Expert Practice Leader Connect on Linkedin

Avez-vous déjà pensé mettre en place des contrôles internes plus stricts lorsque votre personnel financier travaille de la maison ? Les contrôles de cybersécurité sont indispensables pour les Finance Managers. En particulier depuis que les régulateurs du marché financier exigent des entreprises qu’elles communiquent à leurs investisseurs les risques et incidents de cybersécurité auxquels elles sont confrontées. Voici quelques conseils pratiques pour protéger votre entreprise de la cyberfraude au cours des semaines à venir, mais aussi au-delà.

Hameçonnage et faux agents de call centers

Ces derniers mois, un grand nombre d’entreprises ont rapporté que les cybercriminels avaient intensifié leurs activités, tirant parti de la pandémie de Covid-19 pour voler, exploiter et perturber les organisations. Leurs instruments de prédilection ? Les e-mails d’hameçonnage et les apps et sites Web malveillants. Il est établi que la vulnérabilité d’une entreprise augmente lorsque ses employés travaillent de chez eux, une situation dans laquelle la capacité à détecter les intrusions et à y réagir est aussi diminuée.

Pour comprendre en quoi le télétravail facilite les cyberattaques, je vous renvoie à l’article de McKinsey 'Cybersecurity’s dual mission during the coronavirus crisis'. Personnellement, je comprends pourquoi les taux de réussite des e-mails d’hameçonnage et des faux agents de call centers sont plus élevés dans le cadre du télétravail. Dans un bureau, un « contrôle social » de base est exercé, les travailleurs agissant comme une sorte de 'bouclier humain' lorsqu’ils mentionnent à leurs collègues des e-mails suspects.

'Business email compromise'

Au cours de ces 12 derniers mois, on m’a demandé de passer en revue les contrôles de plusieurs départements financiers victimes de 'business email compromise', une forme de fraude par e-mail qui s’est imposée comme l’un des outils les plus courants d’ingénierie sociale.

Mes recherches ont révélé un schéma clair : le pirate falsifie les données de contact d’un fournisseur et demande au comptable de l’entreprise de modifier les coordonnées bancaires pour le paiement des factures en cours. La demande semble légitime (logo et données du fournisseur), puisque le pirate a entre-temps pénétré la base de données du fournisseur pour obtenir les informations du client ainsi que ses coordonnées.

Il est connu que les cybercriminels utilisent des informations accessibles à tous (site Web de l’entreprise, pages LinkedIn, etc.) pour cibler des employés spécifiques d’une entreprise et les inciter à transmettre des codes d’accès.

Il est connu que les cybercriminels utilisent des informations accessibles à tous (site Web de l’entreprise, pages LinkedIn, etc.) pour cibler des employés spécifiques d’une entreprise et les inciter à transmettre des codes d’accès

Jean-Marie Bequevort, Expert Practice Leader CFO Services

Se faire passer pour une entreprise d’audit externe

Une autre façon pour les cybercriminels de piéger des départements financiers est de se faire passer pour une entreprise d’audit externe. Dans ce cas, un employé de l’entreprise reçoit un e-mail de l’avocat supposé de la société d’audit externe (l’adresse e-mail est souvent trompeuse) pour demander un transfert de fonds. Cet e-mail est suivi d’un autre e-mail (également un faux) d’un Senior Executive de l’entreprise (CEO ou autre), confirmant l’urgence et la nature confidentielle de la demande de l’avocat.

Mesures de lutte contre la cybercriminalité

Les circonstances actuelles augmentent la vulnérabilité des entreprises à ce type de pratiques frauduleuses, c’est pourquoi les Finance Managers doivent réévaluer et renforcer leurs procédures.

1. Sensibiliser à la fraude

La première étape consiste à s’assurer que les membres de l’équipe financière sont tous suffisamment conscients de l’existence de fraudes. Il faut donc prévoir des formations et documents permettant de détecter les signaux de fraude afin d’augmenter la vigilance face aux initiatives frauduleuses, comme des demandes de paiement de la part de nouveaux « fournisseurs », l’ouverture d’un nouveau compte bancaire pour un fournisseur existant ou le paiement urgent de sommes sur des comptes étrangers.

Dans le cadre d’un récent projet pour une grande entreprise belge, le management a misé sur la formation et la communication, créant notamment des fonds d’écran amusants et des affiches expliquant les choses à faire et à ne pas faire pour les employés en charge des comptes clients et des achats.

La seconde étape consiste à vérifier que les contrôles clés sont en place à chaque étape du processus : contrôles des autorisations, modification des master data et confirmation des changements.

2. Mettre en place des contrôles clés

Dans le cas des comptes clients, les mesures suivantes doivent être prises :

  • Contrôles des autorisations: l’employé doit toujours vérifier que les utilisateurs sont autorisés à demander des changements à un compte bancaire ou à toute autre information de paiement. La procédure consiste à appeler le représentant du fournisseur pour demander confirmation ou à demander une preuve à la banque.
  • Vérification des changements aux master data: un superviseur ou manager passe en revue tous les changements au fichier de base du fournisseur.
  • Confirmation des changements: l’employé doit envoyer un message de confirmation au fournisseur lorsqu’une modification est apportée à ses informations bancaires.

3. Prendre une assurance contre la cybercriminalité

La troisième étape est d’examiner le programme d’assurance de l’entreprise afin de déterminer s’il couvre l’ingénierie sociale et les autres pertes liées à la cybercriminalité. L’assurance apporte une protection supplémentaire, lorsque les contrôles ne suffisent pas.

Une large gamme de produits est désormais disponible auprès de la plupart des banques et compagnies d’assurance en Belgique. Ces produits permettent de bénéficier d’une assistance technique en cas de perte de données, d’une protection financière en cas de perte de ventes (par ex. à la suite d’une panne de serveur) et d’un soutien juridique en cas de perte de réputation. Certains produits couvrent de nombreux cas de cybercriminalité, tandis que d’autres se concentrent sur l’ingénierie sociale.

Lorsque vous examinerez votre couverture actuelle ou possible, je vous recommande de tenir compte de 3 aspects :

  1. La couverture de votre responsabilité en cas de préjudices à des tiers (fournisseurs, clients, etc.)
  2. La couverture géographique, étant donné que les conséquences des cyberattaques ne se limitent pas aux sites des entreprises
  3. L’existence de restrictions pour les technologies plus anciennes (Windows XP, etc.)

Le prix d’une assurance contre la cybercriminalité dépend de plusieurs facteurs, comme la taille de l’organisation, les activités exercées, la présence d’un canal de vente en ligne, etc. Une chose est sûre : le coût d’une assurance reste avantageux comparé à ce que peut coûter une cyberattaque.

Je vous recommande aussi vivement d’adopter et de faire en sorte de bien comprendre des protocoles d’authentification par e-mail, comme le Sender Policy Framework (SPF) et le DMARC (Domain-based Message Authentication, Reporting and Conformance).

Jean-Marie Bequevort, Expert Practice Leader CFO Services

Contrôles en matière d’IT et de sécurité

Ces actions relèvent directement du champ d’application des départements financiers, mais ne remplacent pas des contrôles efficaces en matière d’IT et de sécurité. Les CFO et Finance Managers doivent également encourager la mise en place de contrôles et pratiques en matière d’IT, en ce compris l’authentification à plusieurs facteurs, les logiciels antivirus, le filtrage URL, les simulations d’hameçonnage, le cryptage des e-mails, etc.

Je vous recommande aussi vivement d’adopter et de faire en sorte de bien comprendre des protocoles d’authentification par e-mail, comme le Sender Policy Framework (SPF) et le DMARC (Domain-based Message Authentication, Reporting and Conformance). Ces protocoles sont conçus pour donner au propriétaire d’un domaine la possibilité de protéger ce domaine contre toute utilisation dans le cadre d’une attaque de business email compromise, d’une tentative d’hameçonnage, d’une arnaque par e-mail et autres activités frauduleuses.

Appelez votre banque. Et la police.

Si vous êtes victime d’une fraude informatique, la première chose à faire est d’appeler sans tarder votre banque et la police. Si vous repérez la fraude le même jour que celui où le paiement est réalisé, il est possible que l’argent soit « gelé » dans le système bancaire. En cas de fraude, les chances de récupérer l’argent diminuent de jour en jour.

Récemment, la Federal Cyber Emergency Team a donné des conseils bien utiles sur comment se protéger de l’ingénierie sociale en période de Covid-19. Ces précieuses recommandations sont valables pour tous.

Les contrôles de cybersécurité sont indispensables pour les Finance Managers, en particulier depuis que les régulateurs du marché financier exigent des entreprises qu’elles communiquent à leurs investisseurs les risques et incidents de cybersécurité auxquels elles sont confrontées.

Je serais ravi de lire vos commentaires et opinions sur le sujet.