Le Salon Documation se tient à Porte de Versailles les 6 et 7 avril, pour sa 22e édition. L’occasion pour les entreprises de s’intéresser de plus près aux dernières avancées en termes de dématérialisation, mais aussi… de cybersécurité. L’ISSA (Information Systems Security Association) se propose en effet de sensibiliser les professionnels présents sur place. Et la méthode est originale, comme nous l’explique Diane Rambaldini, présidente du chapitre français de l’association.
C’est la 3ème fois que l’ISSA participera à Documation. Pourquoi participer à Documation ?
Il est vrai qu’être présents sur ce salon nous fait sortir de notre zone de confort et de nos publics habituels, composés plutôt de spécialistes. Mais c’est ce que nous recherchons. Depuis quelques années, le relais médiatique et l’intérêt du législateur (LPM pour que les opérateurs d’importance vitale se sécurisent), mais aussi l’implémentation au niveau européen de la directive NIS* font que le sujet de la sécurité devient plus visible pour les acteurs du monde du document et de la dématérialisation. Les organisateurs ont été attentifs à cette dynamique, d’où l’intérêt de sensibiliser avec notre aide les professionnels présents, à des sujets critiques pour leurs entreprises.
Comment entendez-vous sensibiliser efficacement un public qui ne se sentira peut-être pas directement concerné ?
Nous voulions frapper fort, faire une opération « grandeur nature » car cela marque les esprits et c’est efficace pour sensibiliser durablement. Nous avons opté pour un serious game sur un sujet chaud : l’arnaque au président. Nous invitons les visiteurs de Documation à se mettre dans la peau d’un « attaquant », un arnaqueur qui va tenter de dérober des fonds à une entreprise en usurpant de l’identité de son dirigeant et éventuellement d’autres personnes, pour cibler des fonctions administratives et comptables.
Pourquoi avoir retenu la méthode du serious game ?
Dans notre expérience, sensibiliser les fonctions dirigeantes d’une entreprise demande d’être concret à l’extrême. Il est inutile de leur présenter des rapports, aussi recherchés soient-ils, ou d’entrer dans la dimension technique de la cybersécurité, qui revient souvent sur le devant de la scène et dans les médias. L’important, c’est de faire passer un état d’esprit, une envie d’agir face à des problèmes qui n’étaient pas bien identifiés auparavant. A ce titre les « hacker stories », un concept déposé par Hadi El-Khoury (co-fondateur du chapitre français de l’ISSA), c’est-à-dire partir des faits, du scénario d’une attaque, de son histoire, aident à voir les sujets de sécurité pour autre chose qu’un problème informatique. Mesurons l’impact économique et sur les usages quotidien, en partant de l’humain.
Le thème de l’arnaque au président se prête-elle bien au jeu ?
Il fait parfaitement le lien entre les deux mondes : celui des enjeux quotidiens et économiques d’une entreprise et celui des enjeux de cybersécurité, au-delà de ses aspects techniques. Ce type de fraude est très destructeur pour les entreprises. Tout particulièrement en France, où les spécialistes notent qu’on trouve environ 10% de cas de plus que dans d’autres pays. De nombreuses variantes existent : la demande de changement de RIB par un fournisseur, pour dérouter des fonds ou même la menace venant de pseudo représentants des brigades financières des forces de l’ordre. Il s’agit avant tout d’ingénierie sociale, où une personne est manipulée parce qu’il y a un défaut d’information et de processus dans l’entreprise. Ce n’est pas un problème « numérique » mais un problème qui a été rendu bien plus dangereux et efficace grâce à l’environnement numérique. Je suis toujours surprise de voir à quel point les entreprises et les individus mésestiment la quantité énorme d’information qui est disponibles sur eux, notamment sur Internet et plus précisément leurs sites et les réseaux sociaux, et qui peut servir un escroc: noms, fonctions, organigramme, actualités… Souvent l’attaquant n’est même pas un roi de la cybersécurité, même s’il lui est possible de s’appuyer sur des techniques comme le phishing pour recueillir les informations dont il a besoin pour rendre la fraude encore plus crédible et dangereuse.
Qu’apprend-t-on en se mettant ainsi dans la peau de l’attaquant ?
Plusieurs leviers fonctionnent bien pour pousser manipuler un employé, la culpabilité et l’intervention d’un tiers, notamment. Dans les deux cas, le problème vient d’un manque de clarté organisationnelle et de capacité de contrôle. Un comptable ciblé par une arnaque au président est livré à lui-même, car l’usurpateur insiste sur l’importance vitale de la confidentialité, et agit hors du cadre habituel de référence que connait la victime. Augmenter la sécurité dans son entreprise commence donc déjà par une démarche sur les processus : d’où l’intérêt de mettre en avant le sujet sur Documation où le Business Process Management est très représenté. Nous menons d’ailleurs le serious game en partenariat avec la start-up InteropSys, qui est experte de ces sujets.
Et en sachant cela, que peut faire un dirigeant pour protéger son entreprise de ces arnaques ?
La direction doit prendre le sujet en main. Cela peut commencer très simplement, avec un mail interne pour expliquer l’existence de ce risque et pointer le fait qu’il n’y aura jamais d’ordre direct « confidentiel » pour mener une opération de rachat, comme les arnaqueurs le prétendent souvent. La sécurité peut ensuite être améliorée au niveau des processus, en instituant des référents systématiques pour toutes les opérations, qui ont un caractère exceptionnel. Une signature par deux membres du Comex au lieu d’un seul peut faire la différence. La séparation des tâches a également fait ses preuves : quand la personne qui valide le paiement est différente de celui qui le fait, ou encore quand la vérification auprès des signataires est systématique. Les dirigeants doivent donner confiance à leurs employés, expliquer que c’est leur devoir de temporiser, de faire des vérifications, même si l’interlocuteur qui peut se faire passer pour le PDG explique le contraire. Si le processus imposé par la direction est par exemple de prendre un numéro de téléphone pour rappeler ensuite le (faux) donneur d’ordre, une grande part de levier de manipulation mentale, de l’urgence et de la culpabilité, deviendra caduque.
*Network Security and Information : la directive, approuvée par l’UE en décembre et qui doit entrer en vigueur en 2018 précise les mesures à mettre en place pour élever la sécurité des systèmes d’information en Europe et les obligations de nombreux acteurs.
En savoir plus : Pour participer au jeu concours, les apprentis escrocs doivent s’inscrire via le lien http://www.interopsys.fr/fraude-president-serious-game/ et s’enregistrer sur le salon Documation.