Si la « CEO fraud » (ou fraude au président) reste encore une méthode peu employée par les cybercriminels, son efficacité est redoutable. En effet, 90% des attaques « CEO fraud » ont été réalisées avec succès[1]. Aussi connue sous le nom de « Fake President », cette fraude utilise essentiellement deux techniques : la compromission du compte email du ou des dirigeant(s) visé(s) d’une entreprise et l’utilisation d’un nom de domaine de messagerie ayant une forte ressemblance avec celui de l’entreprise afin d’induire en erreur le(s) destinataire(s).
Les cybercriminels s’efforcent de cibler des personnes ayant accès à des données sensibles ou ayant l’autorisation d’effectuer des paiements : un assistant exécutif du PDG par exemple, ou bien des employés du département financier ou RH. Le(s) destinataire(s) ciblé(s) reçoivent ainsi un email portant le nom de leur PDG. Le message contient généralement une demande de transaction urgente et hautement confidentielle – comme l’acquisition d’une entreprise, pour laquelle un montant élevé doit être transféré sans délai.
Comment procèdent les cybercriminels ?
Pour être crédible, les cybercriminels utilisent des techniques d’ingénierie sociale pour rechercher le nom et l’adresse électronique du PDG de l’entreprise. Ces informations sont facilement disponibles auprès de sources publiques tels que les sites web d’entreprise ou les registres commerciaux. Les cybercriminels profitent souvent des périodes de vacances des PDG pour attaquer les victimes ciblées. En effet, les effectifs étant réduits, le niveau de sécurité et de contrôle est souvent moindre.
Les petites et moyennes entreprises sont des cibles particulièrement populaires. Les grandes sociétés disposent habituellement des mécanismes de sécurité et de contrôle stricts pour les transferts bancaires importants, mais les entreprises de taille moyenne manquent souvent de politique définie et de processus clairs.
Comment le salarié doit-il réagir en cas de doute ?
En cas de doute du salarié, il doit être en capacité de vérifier la demande initiale par un autre canal de communication (adresse mail personnelle ou par téléphone en contactant directement le PDG) afin de valider ou non la demande de paiement. Il faut surtout éviter de répondre directement à l’expéditeur du « fake e-mail » en cas de doute afin de ne pas tomber dans le piège du cybercriminel. Si une réponse est transmise, un signal est automatiquement envoyé au cybercriminel mentionnant qu’une victime potentielle a été identifiée.
Si la cyberattaque s’avère effective, les personnes affectées par cette dernière doivent informer sans tarder leurs services IT respectifs ainsi que l’ensemble des salariés et l’équipe de direction pour les sensibiliser à l’attaque et les inviter à prendre les précautions nécessaires.
Quelles précautions prendre si le salarié a déjà répondu à un « fake e-mail » ?
Les victimes doivent réagir rapidement et informer la police locale ou le service d’enquêtes criminelles responsable de ces cyberattaques. Si la banque a déjà reçu les instructions pour réaliser le transfert d’argent, il est nécessaire que les membres de l’entreprise signataires du contrat bancaire signalent dès que possible l’arrêt du transfert d’argent ou demandent à récupérer les montants qui auraient déjà été transférés par la banque.
Quelles sont les solutions techniques permettant d’anticiper et de se protéger de ces cyberattaques ?
Comme toujours, même le service IT le plus optimisé ne peut remplacer la formation de l’humain qui vise à le protéger contre ces cyberattaques. Cependant, pour assurer la protection des salariés contre les « CEO fraud », les entreprises doivent se prémunir du plus haut niveau de systèmes de sécurité permettant de vérifier l’authenticité de l’expéditeur. Parmi les solutions reconnues dans ce domaine, il existe le Sender Policy Framework (SPF) ou bien le Domain Keys Identified Mail (DKIM).
Les solutions de sécurité IT, comme les services de sécurité des e-mails, peuvent apporter une mesure supplémentaire de protection au sein de l’entreprise. Bien qu’il soit extrêmement difficile de distinguer les e-mails « CEO fraud » des e-mails authentiques, les professionnels en cybersécurité ont mis au point des solutions recensant un grand nombre d’informations sur les éventuelles escroqueries par courriels professionnels. Ces solutions détectent immédiatement les irrégularités techniques pouvant survenir dans les noms des domaines ou l’objet de l’e-mail comportant des caractères suspects, particulièrement si l’expéditeur est un dirigeant.
Quelles mesures de sécurité mettre en place (en plus d’un service IT sécurisé) ?
Comme pour toutes méthodes de cyberattaques, le facteur humain représente un risque potentiel pour les « CEO fraud ». L’entreprise doit prendre des mesures pour sensibiliser de manière régulière son personnel sur l’existence de ces cyberattaques, les risques encourus et les précautions à prendre, avec des simulations concrètes. En complément, il faut prévoir d’instaurer des directives générales faciles à implémenter afin d’appliquer en toute transparence les mêmes méthodes organisationnelles et IT par l’ensemble du personnel. Par exemple, la mise en place de limites sur le montant des transferts d’argent, ainsi qu’un système de contrôle et de gouvernance des identités bien défini en amont pour autoriser les transferts.
Nombreux sont ceux qui pensent que les fraudes utilisant l’ingénierie sociale sont faciles à repérer. Ils commettent alors l’erreur de les sous-estimer. Très sophistiqués, ces cybercrimes de nouvelle génération sont pourtant de plus en plus difficiles à détecter sans l’aide de professionnels de la cybersécurité. L’extraction et la corrélation des événements, adaptées aux besoins de chaque entreprise, permettent aux professionnels de déceler les anomalies et les tromperies par courriel, améliorant ainsi la politique globale de sécurité dans l’entreprise.