La menace de fraude est en constante augmentation, toutes les entreprises le constatent. Elles sont de plus en plus nombreuses à reporter des fraudes avérées : 28% d’entre elles en 2020, contre 27% et 26% respectivement en 2019 et 2018.
Parmi les techniques privilégiées des fraudeurs, l’usurpation d’identité est de loin la plus fréquemment utilisée : elle est citée 4 fois dans le top 5 du baromètre Euler Hermes 2021.
L’usurpation d’identité prend de nombreuses formes pour tromper les directions financières et extorquer les entreprises. Comment la reconnaître et comment s’en protéger efficacement ? Découvrez les bonnes pratiques proposées par Trustpair.
L’usurpation d’identité : la menace n°1 en entreprise
Une menace de plus en plus difficile à éviter
L’usurpation d’identité consiste à dérober puis à utiliser des données destinées à l’identification d’une personne interne à l’entreprise – ou à celle d’une entreprise tierce comme un fournisseur ou une banque – pour extorquer des fonds à l’entreprise victime de la fraude.
Cette technique de fraude est partout. Selon le baromètre établi par Onfido, dans le monde entier la fraude à l’identité a augmenté de 41% en 2020, passant de 4,1% à 5,8%. En France, elle a augmenté de 29% : de 6,6% en 2019 à 8,5% en 2020.
Cette menace ne cesse de grandir et les entreprises n’ayant jamais été menacées sont de plus en plus rares !
Quelles formes prend la fraude à l’identité ?
Ce qui fait toute la force des fraudes utilisant l’usurpation d’identité, c’est leur diversité. Elles peuvent se décliner de différentes façons :
- La fraude au faux fournisseur : l’entreprise reçoit un email d’un fournisseur qui lui indique que ses coordonnées bancaires ont changé. L’entreprise en prend compte pour les prochaines factures et les paiements sont donc réalisés sur le nouveau compte bancaire. Le temps que le fournisseur réel et l’entreprise s’aperçoivent de la fraude, des sommes importantes ont été extorquées.
La fraude au faux fournisseur est citée par 46% des répondants à l’enquête Euler-Hermes sur les arnaques avec usurpation d’identité. - La fraude au faux client : comme pour la fraude au faux fournisseurs, le fraudeur usurpe l’identité d’un client et signale un changement d’adresse ou de coordonnées bancaires. La fraude au faux client peut détourner aussi bien des fonds que des marchandises : en signalant un changement d’adresse ou en envoyant un faux transporteur, le fraudeur peut dérober d’importantes quantités de matériel.
La fraude au faux client est citée par 25% des répondants à l’enquête Euler-Hermes arnaques avec usurpation d’identité. - L’arnaque au président : le fraudeur identifie un membre avec une position à responsabilité, voire le président lui-même et usurpe son identité (avec une fausse adresse email par exemple) pour contacter un membre de la DAF. Le fraudeur, au nom du supérieur hiérarchique, demande un virement urgent et immédiat vers un compte encore inconnu de la DAF. Une fois le virement effectué, les fonds disparaissent évidemment pour toujours.
La fraude au faux président est citée par 47% des répondants à l’enquête Euler-Hermes sur les arnaques avec usurpation d’identité.
Tous les secteurs sont menacés par l’usurpation d’identité
Cette technique est particulièrement efficace parce qu’elle concerne tous les aspects qu’il est possible de falsifier : l’usurpation d’identité bancaire, mais aussi l’usurpation de l’identité d’un avocat, d’un commissaire au compte, etc.
Les fonds ou les marchandises ne sont pas les seuls à être visés par l’extorsion : les informations sensibles sont également visées par les fraudeurs, qui peuvent les utiliser ou les revendre à prix d’or.
Les entreprises fictives, bien connues dans le domaine de l’arnaque, utilisent elles aussi l’usurpation d’identité pour escroquer les banques ou d’autres entreprises. Elles gagnent ainsi la confiance de ces entités pour mieux parvenir à leurs fins.
La cyberfraude au service de l’usurpation d’identité
Le danger des attaques par email
Les techniques d’usurpation d’identité ont cours depuis de nombreuses années mais elles ne cessent de se perfectionner, notamment grâce aux progrès de la technologie.
Ainsi, aux méthodes traditionnelles qui ont fait leurs preuves, les fraudeurs ajoutent de nouvelles, entièrement digitales, en attaquant les victimes sur leurs adresses email :
- Le spoofing : il consiste à usurper l’identité d’un expéditeur connu en utilisant une adresse email similaire à la sienne. L’adresse email peut être quasiment identique, à un ou deux détails près : une lettre manquante ou ajoutée, deux lettres inversées, un .com au lieu d’un .fr, etc. En lisant vite l’adresse email, il est presque impossible de s’apercevoir de la fraude : l’email peut être utilisé pour extorquer des informations, des fonds ou pour transmettre un virus et infecter l’ordinateur de la victime.
- Le spearphishing : le pirate apprend à bien connaître sa cible et récolte ses données personnelles pour lui envoyer un mail dont le contenu a une apparence familière pour les victimes ciblées. Celles-ci divulguent alors des informations, ou effectuent un virement sur un compte frauduleux. Cette technique vise principalement les membres de la hiérarchie haute de l’entreprise.
- le Business Email Compromise (BEC) : dans ce type d’attaque frauduleuse, le fraudeur utilise le spoofing pour se faire passer pour quelqu’un de connu de la victime et envoie des mails ayant pour but de pousser les destinataires à faire des virements bancaires ou à transmettre des données sensibles.
Certaines techniques d’usurpation sont très difficiles à repérer
Les progrès de la technologie sont constants et offrent un champ toujours plus large d’exploration. Malheureusement, ces progrès créent également un terrain de jeu plus large pour les pirates et les fraudeurs.
Deux types d’usurpation d’identité particulièrement pernicieux piègent de plus en plus d’entreprises :
- La fraude documentaire : si la technique n’est pas nouvelle, elle est devenue presque indétectable avec les progrès numériques. Le pirate falsifie des documents officiels : documents d’identité de membres décisionnaires de l’entreprise, RIB ou IBAN, factures, ou encore vol pur et simple de documents utilisés à des fins frauduleuses. Ces éléments sont ensuite utilisés pour piéger des membres de l’entreprise ou extorquer des fonds, de la marchandise ou encore des informations à une entreprise tierce.
- Les deepfakes : grâce à une intelligence artificielle, le fraudeur peut imiter la voix et le visage d’une personne connue – le président de l’entreprise par exemple – et se faire passer pour elle. La victime a très peu de chances de s’apercevoir qu’elle est en train d’être piégée. Avec l’amélioration de ce type de technologie, il est à prévoir que les arnaques avec des deepfakes augmentent considérablement.
Victime d’usurpation d’identité : comment réagir ?
Le pire est arrivé : vous avez été victime d’usurpation d’identité. Face à cette situation stressante, quels sont les bons réflexes à adopter ?
Le plan d’action suivant en trois points vous permet d’améliorer la situation :
- Contactez immédiatement le service de sécurité ou le service anti fraude de votre banque. Ils ont l’habitude de faire face aux fraudes et apportent des solutions adaptées à la situation.
- Contactez les autorités compétentes et déposez une plainte contre les fraudeurs si vous connaissez leur identité, ou contre X. Cette plainte vous permet de vous constituer partie civile et ainsi d’être en droit de réclamer des dommages et intérêts pour le préjudice subi.
- Modifiez le plus vite possible les mots de passe de vos comptes en ligne ou autres données sensibles : n’attendez pas pour vous protéger d’un vol.
Directions financières : adoptez dès maintenant les bons réflexes
Comment se protéger contre les risques ?
Pour se mettre à l’abri d’une menace de fraude à l’usurpation d’identité, les Directions financières doivent mettre en place plusieurs bonnes pratiques :
- Ne pas cliquer sur un lien inconnu : c’est le premier réflexe à adopter à l’ouverture d’un email. Ne jamais cliquer sur un lien, même après avoir ouvert l’email, avant d’avoir effectué des contrôles permet d’éviter facilement d’être infecté par un virus.
- Être attentifs aux détails de la requête : l’adresse email de l’expéditeur, un nom de domaine erroné, des fautes d’orthographe sont des signes évidents d’une tentative de fraude. Le caractère urgent et/ou confidentiel doit également mettre la puce à l’oreille.
- Toujours vérifier la demande de l’expéditeur : si celle-ci comprend un virement bancaire ou la divulgation d’informations précieuses, après avoir procédé aux contrôles ci-dessus, la demande doit être validée auprès des autorités compétentes dans l’entreprise.
Trois modèles principaux garantissent le succès de ces bonnes pratiques :
- Le modèle Zero Trust qui impose de ne jamais faire confiance et de toujours vérifier une demande. Il permet de suivre une procédure interne stricte, par exemple la double authentification, pour limiter les risques au maximum.
- La formation des collaborateurs : ce sont les principales cibles des fraudeurs, il est donc fondamental de les prévenir des risques auxquels ils sont exposés et de les former à acquérir de bons réflexes pour déjouer ces menaces.
- L’établissement d’une cartographie des risques pour évaluer les secteurs les plus menacés et apporter des solutions en conséquence.
La solution Trustpair
Le risque zéro n’existe pas avec les méthodes manuelles, faillibles et chronophages réalisées par les équipes financières. Pour garantir la sécurité des données des entreprises et leurs échanges avec des tiers (leurs fournisseurs, clients, banques, etc.), Trustpair met à la disposition de ses clients une solution SaaS anti-fraude permettant l’automatisation des contrôles pour fiabiliser les nombreuses opérations menées par les Directions financières.
Grâce à Trustpair, les Directions financières maîtrisent l’ensemble de leurs données tiers et sécurisent leur processus Procure-to-Pay, depuis l’achat jusqu’au virement. Le contrôle automatique en temps réel s’adapte aux changements de la base de données et assure une protection permanente.
