Même s’ils sont nombreux à évaluer régulièrement les risques pour leur entreprise, les dirigeants ne perçoivent pas forcément la menace que représente la fraude en ligne.
Une menace que les petites entreprises sont particulièrement susceptibles de négliger. Or, les cybercriminels sont à l’affût de victimes vulnérables partout. Et pour protéger les entreprises contre la fraude, il faut être proactif.
Vous découvrirez ci-après nos six conseils pratiques pour aider les entreprises à faire vaillamment face aux comportements frauduleux et autres pièges.
1. Faites réaliser un audit de sécurité
Il est difficile pour les entreprises de savoir comment se protéger contre la fraude en ligne si leurs responsables méconnaissent les points problématiques. L’audit de sécurité permet aux experts en cybersécurité d’identifier les points faibles de l’entreprise. La correction de ces points de vulnérabilité réduit les possibilités pour les cybercriminels d’escroquer l’entreprise à l’aide de rançongiciels, par exemple, exigeant le versement d’une rançon pour rétablir l’accès aux fichiers de l’entreprise victime.
Malgré son coût, le paiement de la rançon pourrait être perçu comme la solution de facilité pour apaiser les escrocs. Or, les résultats escomptés ne sont pas toujours au rendez-vous. D’après un micro-sondage réalisé auprès d’entreprises victimes de telles attaques et ayant accepté de verser la rançon, seulement 45 % d’entre elles ont pu récupérer leurs données après avoir payé. Plus grave encore, le montant moyen versé par entreprise était de 4?323 $.
Quelles que soient les conclusions de l’audit de sécurité, les entreprises doivent absolument tenir compte des conseils pour renforcer stratégiquement leurs réseaux contre les tentatives de fraude. Au début, les responsables pourront se sentir dépassés, craignant que le problème ne soit insurmontable. Toutefois, les mesures préventives se justifient pleinement au vu de la prévalence de la fraude en ligne.
2. Instaurez une politique de mots de passe à l’échelle de l’entreprise
La mise en place à l’échelle de l’entreprise d’une politique régissant l’utilisation des mots de passe peut également contribuer à protéger l’entreprise contre la fraude en ligne. Le pouvoir de nuisance des cybercriminels est en effet décuplé lorsqu’ils disposent des mots de passe.
Hormis l’importance de définir des mots de passe forts assez longs et qui ne correspondent à aucun mot du dictionnaire, les employés doivent aussi prendre conscience des risques liés au partage de mots de passe entre collègues ou à l’utilisation des mêmes mots de passe pour plusieurs sites.
On utilise des mots de passe pour se connecter à ses comptes bancaires, à des plateformes de communication, des logiciels de comptabilité et de nombreuses autres applications susceptibles de contenir des informations sensibles. Sans bonnes pratiques régissant l’usage des mots de passe, les entreprises s’exposent à une augmentation des dommages liés à l’exploitation des mots de passe par les cyberfraudeurs.
L’entreprise qui utilise des sites et des services proposant une authentification à deux facteurs pourra judicieusement activer cette fonctionnalité. Avec l’authentification à deux facteurs, les utilisateurs de mots de passe doivent connaître la bonne chaîne de caractères et posséder quelque chose (un code d’accès temporaire, par exemple) avant de pouvoir accéder au site ou service correspondant.
Par exemple, de nombreux sites de banques en ligne savent lorsqu’un utilisateur tente d’accéder à un compte à partir d’un ordinateur inconnu. Ils envoient alors au titulaire du compte un code par mail ou SMS à saisir en plus du mot de passe. Avec cette méthode, l’utilisation du mot de passe seul ne suffit pas. Par conséquent, les comptes utilisant l’authentification à deux facteurs bénéficient potentiellement d’un niveau de sécurité renforcé pour faire face à la fraude en ligne.
3. Sachez repérer les signes de fraude aux paiements en ligne
Lorsque les entreprises prennent l’initiative d’apprendre à reconnaître les signes de fraude aux paiements, ils risquent fort d’être surpris.
Ainsi, la fraude aux paiements ne porte pas toujours sur de gros montants et peut prendre la forme d’une série de petits paiements ou de tentatives de paiement répétées au fil du temps — ce qui peut notamment poser problème aux petites entreprises. Selon une enquête réalisée en janvier 2018, quatre petites entreprises sur dix rencontrent des problèmes de trésorerie. Lorsque des transactions injustifiées restent trop longtemps invisibles, elles risquent d’exacerber ces problèmes.
Les personnes chargées de la gestion des comptes bancaires doivent vérifier quotidiennement les registres associés et signaler tout ce qui leur semble suspect. La définition de règles pour encadrer les frais professionnels des collaborateurs, leur saisie et leur validation devrait faciliter la détection de toute transaction louche.
Par ailleurs, certaines entreprises voudront sans doute investir dans un logiciel d’apprentissage automatique (machine learning)qui apprenne à caractériser l’activité normale d’un compte et qui les alerte lorsque quelque chose cloche.
4. Intégrez la fraude en ligne aux thèmes de formation de vos collaborateurs
La lutte contre la fraude en ligne est une démarche collective qui doit, à l’idéal, être descendante. En clair, en faisant de la fraude en ligne l’une de leurs priorités, les dirigeants de l’entreprise encouragent leurs collaborateurs à suivre leur exemple. Tous les employés doivent pour cela être formés à ce qui constitue de la fraude en ligne.
Certaines tentatives de fraude font miroiter la perspective de gains et de produits gratuits. On peut imaginer qu’une victime potentielle ait vent de la possibilité de gagner à un jeu-concours ou d’accéder gratuitement à un logiciel onéreux à la condition de fournir tout d’abord certains renseignements. Mais la fraude peut également porter sur des transactions sur le lieu de travail. À l’instar des arnaques à la loterie en ligne qui demandent aux « gagnants » de fournir des renseignements sensibles (comme leurs données bancaires) pour recevoir de l’argent, certains fraudeurs visent les entreprises et leur demandent de fournir des informations pour pouvoir rester conformes à certains organismes.
Dans une tentative d’hameçonnage, des cybercriminels se sont même fait passer pour les services du fisc américain. Ces faux agents du fisc ont essayé de convaincre des contribuables en train de préparer leur déclaration de revenus de fournir des renseignements pour, soi-disant, actualiser leur dossier fiscal.
Si les collaborateurs savent mieux repérer les signes annonciateurs d’une fraude en ligne, ils éviteront plus facilement de tomber dans le piège et signaleront aux personnes compétentes tout message suspect reçu sur leur lieu de travail.
5. Prenez conscience du rôle que les tiers peuvent jouer
Pour mieux protéger une entreprise contre la fraude en ligne, il faut connaître les types de fraudes que peuvent commettre des tiers liés à l’entreprise — notamment ses clients et sous-traitants.
Certains clients peuvent frauder contre une entreprise en essayant de renvoyer des articles proposés par une boutique en ligne alors que ces articles ont été achetés ailleurs, ou en retournant des articles pour des motifs non valables. Récemment, Amazon s’est fait escroquer de plus d’un million de dollars et trois personnes ont été condamnées à de longues peines d’emprisonnement.
Amazon a commencé à adresser des avertissements à certains clients ou à fermer certains comptes associés à des clients qui renvoyaient trop d’articles ou qui le faisaient pour des raisons illogiques par rapport à la majorité des acheteurs. D’autres magasins procèdent de même pour surveiller les achats et sévir contre ceux qu’ils surnomment les « renvoyeurs en série ».
Avec les sous-traitants, on parle de fraude en cas de facturation à l’entreprise cliente de travaux qui n’ont jamais été exécutés. En ligne, ce genre de fraude peut se produire avec des travailleurs indépendants qui ne travaillent pas sur place. Avant de faire une confiance aveugle et de payer toutes les factures reçues, les entreprises doivent procéder à des vérifications minutieuses.
6. Étudiez attentivement toutes les demandes en ligne — surtout les demandes urgentes
Certaines entreprises veulent tellement satisfaire leurs interlocuteurs qu’elles se précipitent pour répondre à n’importe quel besoin sans s’assurer de l’honnêteté de la demande. Or, les entreprises doivent évaluer soigneusement toutes les demandes en ligne qui ont l’air légitimes, surtout si l’expéditeur insiste sur le caractère exceptionnellement urgent.
Pour piéger leurs victimes, de nombreux cybercriminels utilisent des tactiques de dramatisation, évoquant les risques de fermetures de comptes ou d’amendes potentielles si la victime n’agit pas immédiatement. Ces scénarios malhonnêtes utilisent des ressorts comme la peur. Avant de prendre des décisions à la hâte susceptibles de perturber les opérations de l’entreprise, mieux vaut donc consulter un juriste ou des experts en cybersécurité.
La fraude en ligne affecte les entreprises de tout type et de toute taille
En définitive, toutes les entreprises peuvent faire l’objet de tentatives de fraude en ligne. Heureusement, les organisations sensibilisées savent repérer les caractéristiques potentielles d’une fraude et comment riposter de la meilleure façon.
Ces suggestions aideront les entreprises à partir du bon pied pour lutter efficacement contre les problèmes de fraude et à déterminer les tactiques les mieux adaptées à leur organisation.
Vous souhaitez en savoir plus sur la sécurité dans le cybermonde ? Plongez-vous dans notre sélection de ressources ci-dessous et découvrez comment GlobalSign peut vous être utile :
https://www.globalsign.com/fr/company/blog/articles/comment-creer-un-mot-de-passe-fort/
À propos de l’auteur
Kayla Matthews est journaliste technologique à Pittsburg. Elle écrit pour les sites Hacker Noon, Cloud Tweaks, Houzz, et bien d’autres. Elle est également propriétaire et rédactrice en chef d’un blog consacré à la productivité technologique qui s’appelle Productivity Bytes.
Note : ce billet de blog a été écrit par un rédacteur externe afin de varier les contenus proposés à nos lecteurs. Les opinions exprimées par l’auteur de cet article sont exclusivement les siennes et ne reflètent pas nécessairement les opinions de GlobalSign.
