AUTOINSIDE Édition 5 – Mai 2021

FOCUS : SÉCURITÉ
contre la cybercriminalité expertisent le PC et
constatent qu’un cheval de Troie a été installé
sur le système du garage le 12 décembre à
11 h 20. Un tel maliciel est généralement joint
à un e-mail. La personne qui ouvre la pièce
jointe donne accès au PC aux cybercriminels.
L’expéditeur de l’e-mail ne peut être identifié,
car l’informaticien a effacé le disque dur pendant
son travail. Il n’est pas non plus possible
de savoir qui a ouvert la pièce jointe à l’e-mail
incriminé. R.S. : « Je n’en suis pas mécontent.
Dans le cas contraire, nous aurions peut-être
pointé quelqu’un du doigt. »
Il n’en reste pas moins que R.S. n’avait pas
vu de fenêtre de maintenance de sa banque,
mais bel et bien une authentique copie créée
par les cybercriminels alors qu’il tentait de
virer le 13 e mois de salaire dans la matinée
du 17 décembre. Ils ont eu le temps de préparer
un virement de 30 000 francs jusque
dans l’après-midi. R.S. : « En saisissant ultérieurement
mes données d’accès, j’ai signé le
virement sans le savoir. » Il n’est pas non plus
étonnant qu’aucune alarme ne se soit déclenchée
à la banque. Le commerce de voitures est
une activité gourmande en capitaux et les virements
à cinq chiffres sont monnaie courante.
Les fonds détournés par de tels cybercriminels
atterrissent souvent sur des comptes associés
à de fausses adresses. Tel n’a pas été le
cas pour R.S. Son argent a en effet été viré sur
le compte d’un résident suisse. Cet homme de
paille a ensuite réacheminé les fonds, percevant
une petite commission au passage. Une
procédure a été initiée contre lui. R.S. ne s’attend
toutefois pas à revoir ses 30 000 francs ;
même pas en partie. « La police m’a dit que ces
hommes de paille sont généralement sans le
sou. Il n’y a rien à y gagner… »
R.S. se retrouve avec un préjudice de 30 000
francs. « Nous étions et sommes assurés
contre les cyberattaques, mais les virements
bancaires n’étaient pas couverts à l’époque. »
L’assureur a toutefois fait preuve de souplesse
: « Je n’ai pas pu travailler pendant 14
jours, car notre matériel était d’abord dans
les locaux de la police avant d’être entièrement
remplacé. L’assurance m’a partiellement
indemnisé pour cette perte de temps
de travail. » Elle a aussi pris en charge une
partie des dépenses du nouveau système in-
formatique. Le cheval de Troie n’a pas causé
d’autres dégâts, par exemple en chiffrant des
données importantes. Le virement était son
seul but.
R.S. a-t-il renforcé la sécurité informatique à
la suite de cet incident ? « Les policiers spécialistes
de la cybercriminalité m’ont confirmé
que nous nous étions suffisamment protégés
sur le plan technique. Nous avons naturellement
redoublé de prudence. » Chaque e-mail
dont l’expéditeur n’est pas confirmé à 100 %
est immédiatement supprimé. Au lieu d’effectuer
des virements, il passe des ordres de
paiement qui doivent être signés par un autre
membre de la direction habilité à signer.
« Nous avons introduit un double contrôle. »
Quels que soient les efforts entrepris pour
sécuriser davantage les systèmes informatiques,
il ne faut pas oublier que le principal
risque est systématiquement assis devant
l’écran. <
* La rédaction a modifié le nom. Bien que cet
exemple soit authentique, nous publions cet article
sous forme anonyme.
Voici comment apprendre
à vous prémunir contre les
cyberattaques
Le principal risque est systématiquement
assis devant l’écran. Il convient donc
de sensibiliser tout le personnel aux
cybermenaces et d’apprendre les bonnes
manipulations. La Mobilière propose par
exemple une formation de sensibilisation
aux cyberrisques pour les entreprises en
collaboration avec Lucy Security SA. Lors
de séquences de formation en ligne, les
participants y apprennent à faire face à
des menaces provenant d’Internet. Les
réactions des collaborateurs sont évaluées
à l’aide d’attaques d’hameçonnage
simulées, et un rapport contenant les
principaux résultats est établi à partir de
l’unité de formation.
La Mobilière offre en outre un check-up
gratuit permettant aux entreprises de
déterminer leur niveau de protection
contre les cyberrisques et de découvrir
les mesures susceptibles d’améliorer la
sécurité.
Plus d’informations sur :
mobiliar.ch/cyber-training
Social Engineering
La locution « Social Engineering » désigne
une démarche frauduleuse qui exploite les
faiblesses humaines. Les collaborateurs
d’une entreprise sont souvent invités à leur
insu à contourner les précautions de sécurité
normales et à révéler des informations
sensibles. Exemples de Social Engineering :
• Hameçonnage : expédition de masse
de courriers ou d’e-mails frauduleux
visant à récolter des données protégées
ou privées.
Exemple : un expéditeur digne de
confiance de prime abord (Google,
par exemple) invite l’utilisateur à modifier
rapidement son mot de passe.
La victime est dirigée vers une copie
du site Internet sur laquelle elle doit
d’abord confirmer son mot de passe
existant, ce qui permet aux criminels
de l’obtenir.
• Baiting (appâter) : le fraudeur appâte
sa victime en lui remettant une clé
USB contenant un maliciel.
Exemple : le criminel prétend vendre
un produit et confie à la victime une
clé USB, sur laquelle il a préalablement
installé un logiciel malveillant,
en guise de cadeau publicitaire.
• Physical Breaches/Tailgating : le délinquant
tire parti de la politesse de
la victime pour accéder à un espace
sécurisé.
Exemple : un fraudeur doté d’un
badge falsifié d’une société informatique
se manifeste à l’accueil et
prétend qu’il doit installer une mise à
jour de sécurité sur l’accès Internet
dans la salle des serveurs. Il y installe
en fait un maliciel.
• Pretexting : utilisation d’un scénario
fabriqué de toutes pièces pour
soutirer des informations à la victime
de la fraude, qui ne les révélerait
normalement pas.
Exemple : un inconnu appelle une
entreprise et raconte qu’un collaborateur
en congé a été arrêté ou a
été victime d’un accident et qu’il l’a
chargé d’organiser une caution ou
une avance de fonds.
AUTOINSIDE | Mai 20219