La compromission de la messagerie d’entreprise et l’usurpation de l’identité du PDG sont en augmentation et mettent en péril l’ensemble de l’organisation
L’une des cyberattaques les plus efficaces de 2022 est la fraude au PDG, également connue sous le nom de Business Email Compromise (BEC) en anglais. Selon le rapport 2021 de l’Internet Crime Complaint Center du FBI , ce type d’attaque est l’un des plus rentables et l’un de ceux qui ont connu une forte hausse. Il est aussi extrêmement astucieux : les cybercriminels se font passer pour le PDG ou un cadre supérieur en utilisant des courriels, des deep fakes ou des fichiers audio pour inciter le personnel à fournir l’accès à des informations et des systèmes sensibles de l’entreprise, voire à autoriser des transactions de paiement frauduleuses.
Selon Anna Collard, SVP Content Strategy & Evangelist chez KnowBe4 AFRICA, il s’agit d’une fraude omniprésente et intelligente, qui exige des entreprises qu’elles accordent une attention toute particulière aux protocoles de sécurité conçus pour réduire cette menace.
« Ce type de fraude est l’un des plus prolifiques à l’heure actuelle, probablement parce qu’il a connu un grand succès », explique-t-elle. « En résumé, les cybercriminels usurpent ou compromettent l’adresse électronique du PDG ou d’un cadre supérieur et s’en servent pour envoyer des instructions à des employés qui occupent un poste clé. Parfois, ils combinent même ces messages avec des notes vocales en utilisant une voix artificielle qui imite celle du dirigeant, et demandent aux employés de transférer de l’argent, de fournir des informations sur leur mot de passe ou de leur donner accès à certains systèmes. Le faux PDG est si convaincant que les employés font exactement ce qu’on leur demande. »
Les BEC sont généralement motivés par des raisons financières. Les pirates informatiques profitent de la dépendance mondiale à l’égard du travail hybride et à distance, ainsi que des réunions virtuelles, pour gagner des millions. Selon le FBI, le coût des escroqueries BEC excédait 43 milliards de dollars en 2022, et ces types d’attaques représentent aujourd’hui 35 % de l’ensemble des pertes liées à la cybercriminalité. Leur taux de réussite est élevé parce que le vecteur d’attaque fonctionne uniquement sur la base de l’ingénierie sociale d’un être humain et ne nécessite pas l’utilisation d’un logiciel malveillant. Les pirates jouent la carte du long terme lorsqu’il s’agit de pénétrer les systèmes et d’accéder aux courriels du PDG.
« Cela commence généralement par une campagne d’hameçonnage », explique Mme Collard. « Les utilisateurs de l’entreprise sont pris pour cibles et reçoivent des courriels d’hameçonnage qui leur demandent d’entrer des informations sur des sites Web d’apparence très réaliste. Ces courriels sont conçus pour duper les employés afin qu’ils donnent accidentellement les informations de leur compte aux cybercriminels. Une fois que ces derniers les ont obtenues, ils pénètrent dans le système de l’entreprise et tentent d’usurper l’identité du PDG ou d’autres personnes au niveau de la direction, comme le directeur financier. Ils peuvent ensuite mettre au point des escroqueries BEC convaincantes en envoyant des courriels directement à partir des comptes compromis. »
Une fois que les pirates ont accès au système de messagerie du PDG, les chances qu’ils réussissent à détourner des millions de l’organisation augmentent de façon exponentielle. Et les sommes d’argent qu’ils volent sont impressionnantes, surtout si l’on considère les marchés qu’ils visent. Le rapport du FBI a révélé que les banques étaient les cibles les plus courantes, en particulier celles situées en Thaïlande, à Hong Kong, au Mexique et à Singapour. Selon un récent rapport de Trend Micro, les personnes interrogées estiment que la principale cybermenace en 2022 est le BEC et que le taux de réussite des cyberattaques est passé de 84 % à 90 %.
« Le problème est que ce type d’attaque est très facile à commettre une fois que l’on dispose de toutes les bonnes informations », déclare Mme Collard. « Qui peut s’opposer au PDG s’il vous envoie un message vous demandant d’effectuer un paiement urgent parce qu’il est occupé à embarquer dans un avion ? Ou s’il vous envoie un courriel vous demandant de payer un fournisseur de toute urgence ? Les employés angoissent et essaient d’agir correctement car ils veulent impressionner le président. C’est la raison pour laquelle cette attaque est si efficace. Qui dirait non au PDG ? »
Pour surmonter cette menace, il faut à la fois des contrôles financiers, tels que la séparation des tâches afin d’éviter qu’une seule personne ne soit responsable de chaque étape du processus de paiement ainsi qu’une formation de sensibilisation. Cela implique des rappels constants et des formations de sensibilisation à tous les niveaux de l’entreprise qui soulignent la nature insidieuse de l’ingénierie sociale et les risques liés au BEC.
« La formation et la sensibilisation sont absolument la meilleure ligne de défense contre les attaques BEC », conclut Mme Collard. « Cela peut potentiellement arrêter la tentative initiale d’hameçonnage qui expose les informations du PDG et, si cela échoue, cela peut même empêcher le paiement d’avoir lieu parce que l’employé pose les bonnes questions au lieu de se précipiter pour faire ce qu’on lui dit de faire. Si les employés savent comment ces escroqueries sont commises, ils peuvent prendre des décisions éclairées qui peuvent faire économiser des millions à l’entreprise. »