Le phishing (ou hameçonnage) est un phénomène relativement répandu sur Internet. Le plus souvent connu pour sa capacité à extorquer des personnes crédules via des moyens informatiques (mails frauduleux, URL détournées…), le phishing concerne de plus en plus les entreprises en tentant notamment de cibler les équipes financières et leurs clients avec des méthodes de plus en plus efficaces. Les conséquences peuvent être dramatiques et aboutir à des paiements frauduleux, source de danger pour la trésorerie des entreprises.
Dès lors, comment protéger les équipes financières du phishing en entreprise ? Après avoir analysé les formes de phishing les plus répandues, nous nous pencherons sur la prévention de ce type de fraude aux entreprises et aux potentiels remèdes.
Le phishing des entreprises, un phénomène en expansion
Selon la dernière étude d’Euler Hermes, le phishing aux entreprises connaît un nouvel essor avec une hausse de 700% par rapport au dernier trimestre 2019. Cette pratique de plus en plus en vogue fait peser sur les entreprises de véritables risques auxquels s’ajoutaient déjà les cyberattaques de type ransomware et les arnaques au RIB. Mais qu’est-il entendu par phishing ?
Le phishing est une fraude relativement simple à mettre en oeuvre. Dans sa forme simplifiée, elle se traduit par des manoeuvres frauduleuses, le plus souvent avec l’aide d’un outil informatique, visant notamment à l’obtention d’informations ou d’un paiement. Il s’agit donc d’une escroquerie où l’escroc cherche à obtenir la confiance de son interlocuteur en usurpant l’identité d’une personne physique ou morale pour lui faire réaliser une opération à son profit (le plus souvent un paiement).
Comme pour la fraude au président (qui est une forme de phishing), l’escroc va essentiellement se baser sur des techniques issues de l’ingénierie sociale couplées à l’informatique pour démultiplier son potentiel d’action. C’est d’ailleurs la raison pour laquelle il est fait usage du terme hameçonnage : l’escroc lance une multitude d’hameçons dans « l’océan » d’Internet dans le but de faire mordre les poissons. Il importe peu que la plupart des personnes le détectent à partir du moment où quelques personnes donnent suite à ses demandes.
Ainsi, le phishing prend souvent la forme de mails frauduleux. Facile à mettre en oeuvre et à envoyer de manière massive, le mail incite le destinataire à réaliser une action spécifique (cliquer sur un lien renvoyant vers une URL frauduleuse, initier un paiement immédiat…). Dès lors, comment distinguer les mails frauduleux des mails légitimes ?
Quels sont les signaux faibles pour repérer une tentative de phishing ?
Que ce soit par l’intermédiaire d’une boîte mail personnelle ou professionnelle, les tentatives de phishing sont facilement détectables à partir du moment où l’on prête attention à certains détails.
Si certains collaborateurs peuvent envoyer des mails avec la mention « URGENT » en objet de mail (ce qui au passage déroge à la fonction première d’un courrier électronique par opposition au SMS ou à l’appel téléphonique), il n’en demeure pas moins que l’urgence reste le maître-mot des spécialistes du phishing. En effet, il n’y a guère que dans l’urgence que l’on effectue les erreurs de jugement les plus flagrantes.
À y regarder de plus près et sans céder à la panique, il est possible de détecter plusieurs signaux faibles de phishing :
- une demande inhabituelle concernant des identifiants d’un compte (bancaires par exemple, mais pas seulement) ;
- un objet et un contenu alarmiste tel que l’expiration du délai légal d’une déclaration de TVA ;
- un chantage où l’escroc tente de faire croire qu’il dispose d’informations compromettantes susceptibles d’être révélées ;
- un lien dans le mail renvoyant à une URL non identifiée. Même si la page présente le même design que le site officiel, le nom de domaine est inconnu ;
- une adresse mail inconnue ou ne correspondant pas au nom de domaine de l’expéditeur légitime.
Sur ce dernier point, il convient d’être particulièrement vigilant. En effet, le phishing peut résulter initialement d’une cyberattaque où des adresses mail légitimes peuvent avoir été subtilisées afin de gagner plus facilement la confiance des interlocuteurs.
Quoi qu’il en soit, le moindre de ces éléments doit pouvoir semer un doute légitime en donnant lieu à des investigations complémentaires.
Quels recours en cas de phishing informatique ?
Malgré la vigilance, les collaborateurs de l’entreprise peuvent avoir été victimes de phishing. À défaut d’identification de l’escroc, l’un des recours envisageables en cas de subtilisation des identifiants bancaires au moyen d’un hameçonnage serait de demander le remboursement des sommes frauduleusement transférées à l’établissement bancaire de l’entreprise. En effet, la banque est tenue en principe à une obligation de vérification du donneur d’ordre (Cass. com 2 novembre 2016 n°15-12325). Elle doit s’assurer que l’instigateur du paiement est bien autorisé à transmettre un ordre de virement via un système d’identification par exemple.
Ainsi, deux situations sont à distinguer :
- le donneur d’ordre est un délégataire de pouvoir bancaire légitime qui, sur instruction de l’escroc, effectue un virement à son profit. Dans ce cas de figure, cette personne avait bien le pouvoir d’effectuer un virement, la banque n’a pas failli à son obligation d’identification du donneur d’ordre ;
- le donneur d’ordre n’est autre que l’escroc qui, grâce au phishing, a réussi à obtenir les identifiants bancaires d’un compte de l’entreprise.
Dans ce dernier cas de figure, il pourrait être tentant de penser que la banque a failli à son obligation d’identification de sorte qu’il serait possible d’obtenir un remboursement. Mais, la responsabilité de la banque ne peut être engagée qu’en l’absence de négligence grave du délégataire de pouvoir bancaire (Article L133-19 IV du Code monétaire et financier). Or, ce dernier est tenu de prendre toutes les mesures raisonnables pour conserver ses données de sécurités personnalisées telles que son identifiant et son mot de passe (Article L133-16 du Code monétaire et financier). Ainsi, la Cour de cassation a pu considérer que le fait de transmettre ses identifiants bancaires à un escroc dans le cadre d’un phishing informatique constituait une négligence grave (Cass. com 18 mars 2018 n°16-20018). La banque ne peut donc être tenue pour responsable, et les coûts de la fraude doivent donc être supportés en totalité par l’entreprise.
Dans ces conditions, l’entreprise ne dispose d’aucun recours pour obtenir un remboursement en cas de phishing, sauf à trouver l’identité de l’escroc. Il apparaît donc impératif de mettre en place des solutions pour protéger les équipes financières contre le phishing informatique.
Les solutions pour protéger l’entreprise contre le phishing informatique
La meilleure manière de lutter contre le phishing reste de faire preuve d’une vigilance accrue et d’un esprit critique. Les signaux faibles du phishing sont plus faciles à détecter que ce que l’on peut croire.
Ceci étant, il convient néanmoins d’identifier dans l’entreprise les fonctions les plus susceptibles de générer des dommages en cas de phishing. Si la plupart des clients mails sont capables de filtrer en amont la plupart des tentatives de phishing, la vigilance de chacun reste la meilleure défense contre de type de cyberfraude. Ainsi, les équipes financières doivent être particulièrement sensibilisées à la lutte contre le phishing ou autres techniques de fraude et cyber attaques au moyen d’une politique de prévention adéquate (ateliers, formations…).
Pour aller plus loin dans la prévention, des moyens plus concrets peuvent aussi être déployés par les services financiers afin d’accroître la sécurisation des process, des contrôles d’identité et de coordonnées bancaire. Chez Trustpair, notre mission est justement de permettre aux équipes financières de toujours payer le bon fournisseur et sur le bon compte bancaire. Par exemple, si une personne reçoit une demande paiement par mail, anormal ou non, elle doit être en mesure de vérifier l’identité du demandeur afin d’émettre ou non le dit paiement. Avec Trustpair, les donneurs d’ordres sont ainsi capables de contrôler rapidement l’identité des tiers grâce à un contrôle dynamique et continu de la donnée. Si vous souhaitez en savoir plus sur la protection de votre Direction financière face aux tentatives de fraude, n’hésitez pas à contacter nos experts pour en discuter.
POINTS À RETENIR
- Le phishing, ou hameçonnage, et un phénomène de plus en plus répandu depuis quelques années. Selon une Etude Heuler Hermes, cette pratique connaît un nouvel essor avec une hausse de 700% par rapport au dernier trimestre 2019.
- Comme pour la fraude au président (qui est une forme de phishing), l’escroc va essentiellement se baser sur des techniques issues de l’ingénierie sociale. Via l’envoi de mails ou d’URL frauduleux, son but est de récupérer des informations sensibles sur les collaborateurs, l’entreprise ou les tiers afin d’usurper leur identité ou de leur faire du chantage.
- Plusieurs signaux faibles peuvent permettre de détecter une tentative de phishing : une demande inhabituelle concernant des identifiants d’un compte, un nom de domaine anormal, etc. La vigilance doit donc devenir le mot d’ordre des professionnels.
- En cas de tentative de phishing avérée, la demande de retour de fonds reste complexe et difficilement applicable. En effet, l’entreprise sera considérée dans la plupart des cas comme « responsable de la situation », car elle a eu un manque de rigueur et de vigilance.
- La solution la plus adaptée pour se protéger du phishing reste donc la vigilance et la sensibilisation des collaborateurs quant aux risques des cyberattaques ou voire même de fraude. Pour aller plus loin dans la prévention, des solutions existent afin de permettre aux équipes financières de procéder aux contrôles d’identité des tiers à l’origine d’une demande de virement. Chez Trustpair, nous accompagnons les Directions financières des ETI et Grands Comptes dans la sécurisation de leurs contrôles de coordonnées bancaires et d’identité des tiers. Ainsi, les équipes sont en mesure de toujours vérifier les demandes de paiements et de payer le bon tiers sur le bon compte bancaire.