AUTOINSIDE Édition 5 – Mai 2021
You also want an ePaper? Increase the reach of your titles
YUMPU automatically turns print PDFs into web optimized ePapers that Google loves.
FOCUS : SÉCURITÉ<br />
contre la cybercriminalité expertisent le PC et<br />
constatent qu’un cheval de Troie a été installé<br />
sur le système du garage le 12 décembre à<br />
11 h 20. Un tel maliciel est généralement joint<br />
à un e-mail. La personne qui ouvre la pièce<br />
jointe donne accès au PC aux cybercriminels.<br />
L’expéditeur de l’e-mail ne peut être identifié,<br />
car l’informaticien a effacé le disque dur pendant<br />
son travail. Il n’est pas non plus possible<br />
de savoir qui a ouvert la pièce jointe à l’e-mail<br />
incriminé. R.S. : « Je n’en suis pas mécontent.<br />
Dans le cas contraire, nous aurions peut-être<br />
pointé quelqu’un du doigt. »<br />
Il n’en reste pas moins que R.S. n’avait pas<br />
vu de fenêtre de maintenance de sa banque,<br />
mais bel et bien une authentique copie créée<br />
par les cybercriminels alors qu’il tentait de<br />
virer le 13 e mois de salaire dans la matinée<br />
du 17 décembre. Ils ont eu le temps de préparer<br />
un virement de 30 000 francs jusque<br />
dans l’après-midi. R.S. : « En saisissant ultérieurement<br />
mes données d’accès, j’ai signé le<br />
virement sans le savoir. » Il n’est pas non plus<br />
étonnant qu’aucune alarme ne se soit déclenchée<br />
à la banque. Le commerce de voitures est<br />
une activité gourmande en capitaux et les virements<br />
à cinq chiffres sont monnaie courante.<br />
Les fonds détournés par de tels cybercriminels<br />
atterrissent souvent sur des comptes associés<br />
à de fausses adresses. Tel n’a pas été le<br />
cas pour R.S. Son argent a en effet été viré sur<br />
le compte d’un résident suisse. Cet homme de<br />
paille a ensuite réacheminé les fonds, percevant<br />
une petite commission au passage. Une<br />
procédure a été initiée contre lui. R.S. ne s’attend<br />
toutefois pas à revoir ses 30 000 francs ;<br />
même pas en partie. « La police m’a dit que ces<br />
hommes de paille sont généralement sans le<br />
sou. Il n’y a rien à y gagner… »<br />
R.S. se retrouve avec un préjudice de 30 000<br />
francs. « Nous étions et sommes assurés<br />
contre les cyberattaques, mais les virements<br />
bancaires n’étaient pas couverts à l’époque. »<br />
L’assureur a toutefois fait preuve de souplesse<br />
: « Je n’ai pas pu travailler pendant 14<br />
jours, car notre matériel était d’abord dans<br />
les locaux de la police avant d’être entièrement<br />
remplacé. L’assurance m’a partiellement<br />
indemnisé pour cette perte de temps<br />
de travail. » Elle a aussi pris en charge une<br />
partie des dépenses du nouveau système in-<br />
formatique. Le cheval de Troie n’a pas causé<br />
d’autres dégâts, par exemple en chiffrant des<br />
données importantes. Le virement était son<br />
seul but.<br />
R.S. a-t-il renforcé la sécurité informatique à<br />
la suite de cet incident ? « Les policiers spécialistes<br />
de la cybercriminalité m’ont confirmé<br />
que nous nous étions suffisamment protégés<br />
sur le plan technique. Nous avons naturellement<br />
redoublé de prudence. » Chaque e-mail<br />
dont l’expéditeur n’est pas confirmé à 100 %<br />
est immédiatement supprimé. Au lieu d’effectuer<br />
des virements, il passe des ordres de<br />
paiement qui doivent être signés par un autre<br />
membre de la direction habilité à signer.<br />
« Nous avons introduit un double contrôle. »<br />
Quels que soient les efforts entrepris pour<br />
sécuriser davantage les systèmes informatiques,<br />
il ne faut pas oublier que le principal<br />
risque est systématiquement assis devant<br />
l’écran. <<br />
* La rédaction a modifié le nom. Bien que cet<br />
exemple soit authentique, nous publions cet article<br />
sous forme anonyme.<br />
Voici comment apprendre<br />
à vous prémunir contre les<br />
cyberattaques<br />
Le principal risque est systématiquement<br />
assis devant l’écran. Il convient donc<br />
de sensibiliser tout le personnel aux<br />
cybermenaces et d’apprendre les bonnes<br />
manipulations. La Mobilière propose par<br />
exemple une formation de sensibilisation<br />
aux cyberrisques pour les entreprises en<br />
collaboration avec Lucy Security SA. Lors<br />
de séquences de formation en ligne, les<br />
participants y apprennent à faire face à<br />
des menaces provenant d’Internet. Les<br />
réactions des collaborateurs sont évaluées<br />
à l’aide d’attaques d’hameçonnage<br />
simulées, et un rapport contenant les<br />
principaux résultats est établi à partir de<br />
l’unité de formation.<br />
La Mobilière offre en outre un check-up<br />
gratuit permettant aux entreprises de<br />
déterminer leur niveau de protection<br />
contre les cyberrisques et de découvrir<br />
les mesures susceptibles d’améliorer la<br />
sécurité.<br />
Plus d’informations sur :<br />
mobiliar.ch/cyber-training<br />
Social Engineering<br />
La locution « Social Engineering » désigne<br />
une démarche frauduleuse qui exploite les<br />
faiblesses humaines. Les collaborateurs<br />
d’une entreprise sont souvent invités à leur<br />
insu à contourner les précautions de sécurité<br />
normales et à révéler des informations<br />
sensibles. Exemples de Social Engineering :<br />
• Hameçonnage : expédition de masse<br />
de courriers ou d’e-mails frauduleux<br />
visant à récolter des données protégées<br />
ou privées.<br />
Exemple : un expéditeur digne de<br />
confiance de prime abord (Google,<br />
par exemple) invite l’utilisateur à modifier<br />
rapidement son mot de passe.<br />
La victime est dirigée vers une copie<br />
du site Internet sur laquelle elle doit<br />
d’abord confirmer son mot de passe<br />
existant, ce qui permet aux criminels<br />
de l’obtenir.<br />
• Baiting (appâter) : le fraudeur appâte<br />
sa victime en lui remettant une clé<br />
USB contenant un maliciel.<br />
Exemple : le criminel prétend vendre<br />
un produit et confie à la victime une<br />
clé USB, sur laquelle il a préalablement<br />
installé un logiciel malveillant,<br />
en guise de cadeau publicitaire.<br />
• Physical Breaches/Tailgating : le délinquant<br />
tire parti de la politesse de<br />
la victime pour accéder à un espace<br />
sécurisé.<br />
Exemple : un fraudeur doté d’un<br />
badge falsifié d’une société informatique<br />
se manifeste à l’accueil et<br />
prétend qu’il doit installer une mise à<br />
jour de sécurité sur l’accès Internet<br />
dans la salle des serveurs. Il y installe<br />
en fait un maliciel.<br />
• Pretexting : utilisation d’un scénario<br />
fabriqué de toutes pièces pour<br />
soutirer des informations à la victime<br />
de la fraude, qui ne les révélerait<br />
normalement pas.<br />
Exemple : un inconnu appelle une<br />
entreprise et raconte qu’un collaborateur<br />
en congé a été arrêté ou a<br />
été victime d’un accident et qu’il l’a<br />
chargé d’organiser une caution ou<br />
une avance de fonds.<br />
<strong>AUTOINSIDE</strong> | <strong>Mai</strong> <strong>2021</strong>9