Cyberfraudes et cyberattaques : les impacts sur les organisations
par Groupe services-conseils en gestion des risques
Original, tel qu’il apparaît sur Finance et Investissement – https://www.finance-investissement.com/
Il y a quelques mois, je vous ai parlé d’une évolution de la « cyberfraude au technicien bancaire » sur laquelle j’avais enquêté et depuis cet article, les fraudes se suivent, se ressemblent, se complexifient et deviennent hybrides.
Sans forcément rentrer dans les détails de ces cyberfraudes, je vais aujourd’hui écrire sur leurs impacts et sur les recommandations à observer au plus vite dans vos vies professionnelles et même personnelles.
Au travers des enquêtes, j’ai eu une prise de conscience. Les entreprises victimes de ces cyberfraudes et cyberattaques, outre la perte financière directe en dollars liée à la fraude menée par le cybercriminel, ont littéralement subi un choc. Un choc comparable à celui ressenti lors du premier cambriolage, à une crise de confiance lors d’un détournement de fonds, ou à un remaniement exécutif totalement inattendu. Ces états de choc ne sont malheureusement pas quantifiables, bien qu’ils affectent directement la culture et les motivations individuelles de l’organisation.
Ces enquêtes m’ont aussi permis de comprendre que la cyberassurance est, en 2017, un passage quasi obligé de toute activité professionnelle qui intègre l’Internet et de l’informatique dans son modèle d’affaires.
Toutes ces victimes se sont posées la fameuse question du « pourquoi moi ». La réponse est simple : chaque personne morale ou physique a une « digital persona » évaluée et définie comme plus ou moins vulnérable par les cybercriminels. C’est le cas si vous ou votre entreprise avez répondu facilement et bien volontiers à quelques sondages marketing, ou à des questions sur votre fonction hiérarchique ou celle de vos collègues, ou que votre organisation a quelques identités compromises publiées sur le Darkweb et que lors d’un scan rapide de découverte de votre site web ou de votre infrastructure TI, plusieurs vulnérabilités ont été identifiées. Alors le cybercriminel conclura que vous êtes une cible de choix plus rentable (effort vs réussite de la cyberattaque) que votre voisin.
Vous comprenez donc que votre profil holistique de victime créé par les cyberfraudeurs et les cybercriminels découle directement de vos comportements, pratiques et habitudes de navigation professionnels et parfois même personnels, ou de ceux de vos collègues.
Vous comprendrez que passez de l’état de cible à celui de victime est souvent lié au facteur humain et à votre capacité d’interpeler « ce qui vous semble louche ». Dans les enquêtes que j’ai menées, bien du dommage et de la perte financière auraient pu être évités si l’individu ciblé avait posé des questions. Cette conclusion s’applique également aux employés de la banque qui étaient la dernière ligne ultime de défense. Bref, un bon antivirus ou anti-malware ne vous protège pas d’un excès de confiance, voire même ils l’aggravent. Mes clients victimes de cyberextorsion me disent parfois qu’ils n’accepteront jamais les revendications des criminels, alors que d’autres me disent que payer sera toujours plus facile. La réponse n’est pas noire ou blanche. Elle est bien grise : il faut négocier, il peut y avoir une stratégie de cyberintelligence, mais pour l’identifier il faut simuler.
Vous comprenez que l’impact des cyberattaques est bien souvent humain, car elles ciblent le « nerf de notre guerre ». Si vous commencez à croire qu’il vous faut agir, alors définissez une approche holistique : suis-je personnellement à risque ? Vérifiez l’état de votre identité via BreachAlarm ou Haveibeenpwned. Puis, considérez de ne pas utiliser le même mot de passe partout. Séparez le plus possible votre écosystème de données personnelles de celui qui est professionnel. Par exemple, s’envoyer du travail sur votre courriel personnel est vraiment une habitude à bannir pour des raisons contractuelles, légales et de sécurité.
En conclusion, il faut être prêt. Cela veut dire : s’ouvrir un portefeuille de cryptomonnaie à l’avance pour pouvoir réagir vite au besoin. Poser des questions et rester vigilant. Toujours obliger votre interlocuteur à être recontacté sur le courriel officiel ou sur le numéro de téléphone officiel de son organisation. Simuler des cas de cybercrises. Imaginer que des données de vos clients ont été dérobées, et identifier un scénario de réponse. Vous comprenez que même si le mot « cyber » implique la technologie, l’élément différenciateur, c’est vous, vos collègues et votre vigilance.