Confrontés à une explosion des attaques sur Internet, les directeurs financiers sont de plus en plus appelés à la rescousse pour chercher les moyens, aux côtés des directions informatiques, de contrer ce nouveau type de fraude extérieure. Même si ces cyberattaques se manifestent de différentes manières (voir p.19), le but de ces escrocs très organisés est en effet le plus souvent le même : extorquer le maximum d’argent à l’entreprise ou voler des données susceptibles de se revendre au prix fort sur le marché noir.

A l’approche des ponts de mai, les directions financières vont devoir faire très attention. Avec les vacances de Noël et celles d’été, cette période est en effet la plus propice aux attaques de cybercriminels ! «Ces derniers profitent d’une moindre vigilance au sein des entreprises pour opérer discrètement», témoigne Gérôme Billois, consultant senior chez Solucom.

Outre ce pic d’activité saisonnier, les attaques sont globalement en constante augmentation. Selon le cabinet d’audit PwC, les incidents déclarés ont augmenté de 48 % à travers le monde en 2014. Leur nombre total a été de 42,8 millions l’année dernière, soit pas moins de 117 339 attaques journalières ! Elles ont très majoritairement pour but d’extorquer de l’argent aux sociétés ciblées ou de leur voler des informations pouvant ensuite être revendues au plus offrant. «Si ces attaquants mal intentionnés, les hackers, étaient au début du siècle des techniciens en recherche de défis, ils sont aujourd’hui de véritables businessmen à la recherche de retour sur investissement rapide», explique Laurent Heslault, directeur des stratégies de sécurité chez Symantec France.

Outre la hausse du nombre d’attaques, les sommes perdues quand celles-ci réussissent sont de plus en plus conséquentes. Ainsi, selon l’enquête de l’institut de recherche Ponemon de 2014 intitulée «Global Report on the Cost of Cyber Crime», le coût du cybercrime en France a atteint pas moins de 6,38 milliards de dollars en 2014. Cette somme est également en forte progression, puisque les pertes étaient estimées à 5,19 milliards de dollars en 2013. Elle recoupe plusieurs frais : la correction de la faille, les sommes volées ou les dégâts provoqués par les informations dérobées à l’entreprise.

Concrètement, l’entreprise et son directeur financier doivent dorénavant faire face à trois grands risques : le vol de données bancaires de ses clients, l’intrusion dans le système de trésorerie afin d’effectuer de faux virements et, plus récemment, l’encryptage des informations de l’entreprise avec une demande de rançon à la clef.

Un logiciel espion pour voler des données bancaires

Le premier risque pour une entreprise est de se faire voler des données bancaires. Dans la majorité des cas, ce sont souvent les coordonnées des clients qui sont dérobées car ces dernières se revendent aisément au marché noir, sur le Web. Le volume fait alors la valeur du larcin. Par exemple, le géant de la distribution américain Target s’est fait voler 70 millions de numéros de carte bleue. «En surveillant les marchés noirs, la vente de 2 millions de ces numéros bancaires a été observée, cédés en moyenne à 26 dollars l’unité, se souvient Gérôme Billois. Les pirates ont ainsi encaissé 53 millions juste sur ce segment des données volées.» Et nul doute que d’autres ventes, passées sous le radar des autorités, ont augmenté le butin ! Même si les voleurs n’ont pas vendu l’ensemble des informations détournées, l’opération demeure très rentable. «Nous estimons que, entre le repérage et la vente, l’attaque aurait mobilisé une dizaine de personnes pendant trois mois», précise Gérôme Billois.

Ces attaques suivent souvent un schéma classique. Ainsi, une ETI spécialisée en services de communication s’est fait voler les coordonnées bancaires de ses clients. Un audit de la société de conseil Grant Thornton a révélé que la faille était informatique. Un logiciel espion malveillant, un «malware», était installé sur plusieurs machines. «C’est en naviguant sur un site infecté qu’une des machines a été contaminée, témoigne Jocelyn Grignon, associé système d’information de Grant Thornton. L’infection a pu se répandre à d’autres ordinateurs dont les antivirus n’avaient pas été mis à jour.» Ce logiciel, installé sur une vingtaine de postes, a ensuite permis d’exfiltrer les informations bancaires des clients.

Ce genre de cas n’est pas rare, car les pirates privilégient de plus en plus des attaques ciblées afin d’augmenter l’efficacité de leurs logiciels espions. Selon Symantec, ces dernières ont progressé de 91 % entre 2012 et 2013, après une hausse de 42 % entre 2011 et 2012. Au sein de celles-ci, les fonctions les plus exposées aux emails extérieurs sont les assistantes de direction et les salariés des départements relations publiques, qui permettent ensuite un accès aux différents cadres dirigeants de ces sociétés.

Les attaques ciblées, pour générer de faux virements

Plus discrète, l’attaque la plus prisée actuellement vise le coffre-fort de l’entreprise : le système d’information de la trésorerie. Si cette tentative demande de fortes compétences techniques, elle permet – si elle aboutit – de manipuler directement les flux financiers de la société. La modification de factures déjà enregistrées est actuellement le mode opératoire privilégié des escrocs (voir article p. 19).

Cela a notamment été le cas au sein d’une entreprise du secteur de la santé, qui a vu les postes de travail de l’équipe trésorerie piratés. «Les fraudeurs ont commencé par envoyer un mail, contenant un logiciel malveillant en pièce jointe, à de nombreux collaborateurs de la direction financière, explique Marc Ayadi, associé responsable IT risk advisory chez Deloitte. Certains ont téléchargé la pièce jointe et cette dernière a installé un logiciel malveillant, dit cheval de Troie.» Ce malware a ensuite permis aux attaquants de pénétrer dans le logiciel de trésorerie et d’y modifier le bénéficiaire d’un virement préexistant de 5 millions d’euros. Heureusement, la vigilance d’un collaborateur a permis d’éviter le pire en détectant la fraude à temps.

La prise d’otage d’information, contre une rançon

En parallèle, une nouvelle méthode de piratage se développe, aussi bien auprès des entreprises que des particuliers : celle de la prise d’otage de données ou «ransomware». Les pirates cryptent l’intégralité des données du serveur de l’entreprise et lui demandent une rançon pour les décoder. Les escrocs se montrent là encore très pragmatiques : ils évaluent le coût du dommage pour l’entreprise et demandent en conséquence la plus grosse rançon possible sans qu’elle ne soit trop dissuasive pour autant. «S’ils demandent de 100 à 300 euros pour les particuliers, l’addition se chiffre en milliers d’euros pour les sociétés, explique Laurent Heslault. Par exemple, une société dont 17 terra-octets de données (l’équivalent de plusieurs dizaines de disques durs, Ndlr) ont été cryptées s’est vu réclamer 90 000 euros de rançon.» Cette dernière a payé la rançon car son back-up n’étant pas à jour, la perte des données aurait alors été beaucoup plus coûteuse. «Parfois, la rançon peut simplement éviter la publication gratuite ou la vente des données récupérées sur Internet, ajoute Gérôme Billois. Cela explique pourquoi Nokia a préféré payer à l’époque, mais la meilleure attitude est de résister pour éviter de tomber dans un cercle vicieux. C’est la position qu’a suivie Domino’s Pizza en 2014.»

Dans tous les cas, le comble est que les escrocs tiennent à garder une «bonne réputation». Pour ce faire, ils veillent à restituer les données dérobées en temps et en heure et sans dégâts aucun… afin d’encourager les prochaines victimes à céder ! Un «service client» qui vaut aux pirates un très fort taux d’acceptation dans ce genre d’arnaque.

Des directeurs financiers impliqués

Face à toutes ces menaces, les directeurs financiers s’emparent de plus en plus de la question. Il est vrai qu’ils sont donc particulièrement visés et constituent le dernier rempart face à ces tentatives d’escroquerie. Ils doivent être très vigilants, afin de détecter tout comportement anormal : des comptes en banques dans des paradis fiscaux, des fautes d’orthographe dans un mail ou même l’absence de jargon propre – sigles, noms de projet, titre hiérarchique… – à l’entreprise. «La culture de l’entreprise est alors l’atout le plus stratégique pour détecter les tentatives de fraudes, explique un directeur de la sûreté d’un groupe du CAC 40. Pour autant, le devoir du directeur général, du directeur de la sûreté et du directeur financier est de tout mettre en oeuvre pour mesurer le risque et l’encadrer.»

Ainsi ces derniers s’impliquent plus que jamais, y compris en amont, afin de ne plus être une cible facile. «Aujourd’hui quand nous faisons un test d’intrusion sur le système d’information trésorerie, le directeur financier s’implique, nous pose des questions très précises et nous interroge sur les compétences et les certifications des personnes qui en auront la charge comme il le ferait pour ses commissaires aux comptes, témoigne Marc Ayadi. C’était inenvisageable, il y a seulement deux ans. A l’époque, seul le directeur du système d’information s’impliquait à nos côtés.»

Aujourd’hui, les directeurs financiers sont eux-mêmes proactifs et peuvent par exemple demander un audit au moment de leur prise de poste. Cet audit peut concerner le système d’information bien entendu, mais aussi la sécurisation des infrastructures, comme les salles de conférences. En effet, certains pirates n’hésitent pas à prendre la main sur les systèmes de visio-conférence, le micro et la caméra de ces derniers pouvant être activés depuis l’extérieur.

En parallèle de cet audit, les directeurs financiers doivent réaliser une cartographie des données stratégiques et identifier quel collaborateur peut avoir accès à quel niveau d’information. «Par exemple, la recherche et développement doit être hyperprotégée et rester dans l’entreprise, sans être connectée à Internet», met en garde Laurent Heslault. Concrètement, cela signifie que tous les projets d’innovation doivent être hébergés en interne, avec un accès limité à un nombre de personnes restreint. L’audit doit alors veiller à ce que les autorisations d’accès soient mises à jour en permanence pour éviter les fuites.

Pas de risque zéro

Quel que soit son degré d’investissement, le directeur financier ou le trésorier doit surtout avoir conscience de la sophistication des attaques. Par exemple, depuis quelques mois, les dispositifs qui permettent aux financiers d’avoir un code unique pour accéder à la plateforme en ligne de leur banque, ne suffisent plus à garantir la sécurité d’un virement. «Des pirates installent des malwares qui ont pour but d’intercepter ce code au moment où il est généré afin d’accéder légitimement aux comptes et opérer ensuite des virements frauduleux», témoigne Marc Ayadi.

Les pirates étant extrêmement innovants et professionnels, le risque zéro n’existe donc pas. La meilleure solution reste alors de créer une cellule de veille dédiée à la détection et à la gestion de ces cyberattaques. Pour le moment, ce sont principalement les plus grandes entreprises qui consacrent un budget à une telle équipe spécialisée. Surtout, elles le considèrent comme une assurance contre un risque bien plus grand et non uniquement comme un poste de coûts. «Aujourd’hui plus du quart des directeurs financiers avec qui nous travaillons envisage cette dépense comme nécessaire», assure Marc Ayadi.

Un directeur financier ne pourra cependant jamais être en mesure de rendre une attaque impossible… mais seulement de compliquer suffisamment les nouvelles tentatives. En général, cela suffit à décourager les pirates. En effet, dès lors que ceux-ci estiment que les moyens à mettre en oeuvre sont trop conséquents pour attendre un retour sur investissement rapide, ils cherchent une cible plus facile. La plupart des grands groupes ont ainsi réussi à les écarter sensiblement. Seul ennui, ces derniers privilégient désormais les ETI et les PME à la fois comme victimes directes… mais aussi comme porte d’entrée auprès de leurs clients, parmi lesquels se trouvent aussi lesdits grands groupes !


 

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *