À l’heure où l’univers de la trésorerie est en “révolution permanente”, les journées de l’AFTE qui ont eu lieu les 19 & 20 novembre 2019, rassemblaient les professionnels du secteur. Ces derniers ont débattu autour de sujets d’actualité touchant les équipes Finance des grandes entreprises Françaises tels que la cybermenace et la protection contre la fraude au virement. Trustpair revient alors sur les quelques points à retenir de la conférence :
“Tous unis contre la fraude et la cybermenace”.
Etaient invités pour en discuter :
Gérôme Billois, Partner – Cybersecurity and Digital Trust, Wavestone
Lari Lehtonen, Responsable d’équipe Cyber Risques, Marsh France
Monika Razny, Responsable de la Trésorerie et de Financement Corporate, EDF Energies Nouvelles
Vincent Loriot, Head of Cyber Risk Management Unit, ANSSI
Betty Sfez, Avocat Associé, Cabinet Sfez Avocats
Bernard GALL, Trésorier-Adjoint, Eurazeo
Ce qu’il faut retenir des échanges :
« Cela fait déjà bien 10 ans que la fraude est l’activité du quotidien des trésoriers d’entreprise et la cybermenace est omniprésente. L’objectif de cette rencontre est d’apprendre tous ensemble ce que veut dire cybermenace et comment faire face à la fraude ? » Bernard Le Gall, Eurazeo
État des lieux de la menace de fraudes et la cybermenace
L’appât du gain financier est le moteur principal des cybercriminels en 2019. En étudiant la répartition des incidents de sécurité par motivation des attaquants, on constate que 42% sont motivés par des gains financiers (ransomware ou fraudes).
Les risque de cybermenace sont de plus en plus présents, et à la recherche d’un but de plus en plus lucratif et dans un but d’efficacité. Depuis 2017, les gains financiers générés par des cybermenaces ont dépassé les gains générés par les vols traditionnels enregistrés dans les gendarmeries. Vincent Loriot, ANSSI
Quelques exemples de cyberattaques très récentes :
Le cas Toyota : le 29 mars 2019 la société Japonaise Toyota annonce une faille de sécurité ayant permis à des hackers de s’infiltrer dans le système informatique de la société…
Le cas Pemex : une attaque au moyen de ransomwares a frappé des serveurs et interrompu lundi les travaux administratifs de la compagnie pétrolière mexicaine Pemex, selon les employés et des courriels internes…
Observe-t-on une recrudescence de certaines techniques par rapport à d’autres ?
La médiatisation de la cyber-attaque et de la fraude informatique a permis aux entreprises de libérer leur parole. En 4 ans, il y a eu une recrudescence significative des attaques liées à la technologie. Cela fait un bon nombre d’années que les entreprises sont victimes mais peu de temps qu’elle décident de porter plainte et diligenter des enquêtes.
Le ransomware est une attaque informatique qui a le vent en poupe, et dont les médias ne cessent de parler et dévoiler des cas de plus en plus complexes ou importants. Le cabinet Sfef Avocats dresse un constat navrant : les campagnes de sensibilisation lancées il y a quelques années au sujet des campagnes de phishing (hameçonnage), de la fraude en entreprise, de la fraude au président, ont eu très peu d’effet… Aujourd’hui encore un bon nombre d’entreprises sont victimes de ces attaques qui ne nécessitent aucune complexité technique particulière. Le seul responsable de ces attaques est l’humain.
Risques et cybermenace : comment se protéger des ransomware ?
« Les cas de ransomware explosent car ce sont des actions extrêmement rentables. On estime le ROI d’une ransomware ROI entre 400% et 600%. Voilà la raison simple de l’augmentation de ces attaques ces dernières années. » Gérôme Billois, Wavestone
Pour agir et limiter les failles en entreprise, il faut réussir à faire travailler tous les acteurs ensemble et appliquer des règles à tous les niveaux : humain, SI, processus métier, etc. Dans 65% des cas, les failles utilisées par les cyber-criminels sont extrêmement simples.
Il existe trois processus à respecter pour se protéger des ransomware :
- Bien comprendre les risques : qui peut vous attaquer et pourquoi faire ?
- Analyse technique des systèmes : comment les utilisateurs ont-ils accès à ces systèmes ? Quels sont les processus de validation des ordres de transactions ?
- Mener un audit régulier : Il est important de se mettre dans le rôle du pirate pour tester les failles pour rendre la vie des cyber-criminels plus difficiles.
Quel est le rôle des avocats en ce qui concerne les fraudes ? Interviennent-ils seulement en cas de fraude avérée?
Les cabinets d’avocats jouent un rôle préventif qui intervient à plusieurs niveaux :
- Mener des actions de sensibilisation auprès des opérationnels (souvent accompagnés d’un expert en sécurité informatique).
- (par exemple: les éditeurs de logiciels pouvant avoir accès aux données de l’entreprise). Ces tiers doivent fournir des garanties effectives en matière de sécurité de l’information.
- Sécuriser l’information en interne à tous les niveaux : stagiaires, intervenants, collaborateurs.
Le binôme SI/juridique est incontournable pour protéger les entreprises de la cybermenace. Le rôle du juridique dans la protection des entreprises est de s’assurer que contractuellement et juridiquement, il n’y a pas de faille dans la diffusion l’information de l’entreprise, tout simplement. » Betty Sfez, Sfez Avocat
Le trésorier est-il responsable en cas de fraude ?
Lui-même peut être tenu responsable d’une fraude avérée. En effet, il fait preuve de négligence face à une anomalie. Par exemple, une demande de montant inhabituel ou envers un pays inconnu. Aucune responsabilité pénale ne s’applique au trésorier, la responsabilité est d’ordre disciplinaire. Ce dernier peut se voir remercié de la société dans laquelle il exerce, et cela est plus fréquent que ce qu’on ne le pense.
D’où viennent fraudeurs et où se trouvent les cibles ? Y a-t-il des limites à la cybermenace ?
En 2019, on note une hausse des attaques de 20% sur l’ensemble du monde occidental. La cybermenace n’a plus de frontières. Des pays sont spécialisés dans la réalisation des attaques et le nombre de victimes augmentent sans cesse.
Les processus en France et en Europe sont davantage réglementés et respectés. Les procédures de contrôles sont bien moins professionnalisés dans les filiales. Très souvent les fraudes ont lieu dans les filiales en dehors de l’Europe. Ces dernières sont infiltrées pour viser les maisons mères en France. Les filiales sont de réelles portes d’entrées pour les pirates, la cyber-sécurité doit être appréhendée de la même manière dans toutes les branches des entreprises.
Conclusion par Bernard Gall
L’ingénierie sociale classique est encore une réalité dans la plupart des cas de fraudes (fraude au président, fraude interne,…) mais la cyber-criminalité est la plus grande menace aujourd’hui. Les cyberpirates utilisent nos faiblesses et la meilleure manière de se protéger consiste à se remettre en question continuellement.
