Un plan pour déjouer la cyberfraude

Publié le 02/03/2015 à 08:14

C’est à coups de millions de dollars que s’élèveront les dommages causés au studio Sony Pictures après la cyberattaque dont elle a été victime en novembre dernier. Le groupe de pirates, surnommé les « Gardiens de la paix », s’est introduit dans les systèmes informatiques de la société pour dérober des centaines de documents confidentiels. Tout ça en guise de représailles à la sortie d’un film ridiculisant le régime dictatorial de la Corée du Nord. Vraiment, jamais une comédie n’aura fait autant de dégâts.


L’affaire a fait le tour du monde, nous rappelant que même les grandes entreprises sont vulnérables aux cyberattaques. Qu’en est-il des PME ? Comment protéger ses données critiques des cybercriminels ?


Un risque mal compris


Si les dirigeants d’entreprise sont sensibilisés au risque que représente la cyberfraude, « ils n’ont pas nécessairement établi de plan pour gérer ces incidents », soutient Corey Anne Bloom, associée, Services d’enquêtes et de juricomptabilité et Conseil TI au cabinet MNP.


Les cadres et les employés sont-ils formés pour reconnaître les tentatives de cyberfraudes ? Les systèmes informatiques sont-ils sécuritaires ? Bref, en 2015, comment ériger une barrière entre votre organisation et les cyberfraudeurs ?


Les multiples visages de la cyberfraude


Cheval de Troie, hameçonnage, virus et autres programmes malveillants : la cyberfraude prend diverses formes et les pirates informatiques ne manquent pas d’imagination pour en inventer chaque jour.


« Ce qui est très à la mode en ce moment, ce sont les détournements frauduleux de virements électroniques, dit Corey Anne Bloom. Par exemple, une personne à la comptabilité d’une entreprise reçoit un courriel qui semble provenir d’un fournisseur connu, lui indiquant que le paiement par virement bancaire devra désormais se faire à tel numéro de compte. L’employé effectue le virement sans se douter qu’il s’agit d’un courriel frauduleux. On peut également tenter d’intercepter les paramètres d’authentification pour les sites bancaires afin de procéder à des virements électroniques à destination de comptes détenus par les fraudeurs. »


Les tentatives d’hameçonnage (phishing) sont aussi fréquentes. Et si elles visent le plus souvent les individus, les entreprises pourraient être des victimes de dommages collatéraux. Ainsi, un employé qui répond à un faux courriel provenant prétendument de son institution bancaire sur son lieu de travail « pourrait ainsi contribuer à infecter l’ensemble du réseau de l’entreprise », dit Mme Bloom.


Cela dit, si l’on s’imagine que ces méfaits sont l’œuvre d’un pirate informatique boutonneux qui opère d’une obscure chambre à coucher, il n’en est rien. Les cybercriminels forment aujourd’hui des groupes bien structurés, où l’on se répartit les tâches comme dans une entreprise : un groupe s’occupe d’obtenir des paramètres d’authentification et un autre s’occupe de les monnayer.


Cependant, il faut tout de même préciser que la plupart des menaces en matière de cyberfraude proviennent de l’interne. « Parfois, c’est un employé qui commet ces actes intentionnellement, explique Mme Bloom. D’autres fois, c’est simplement parce qu’un employé n’a pas respecté les politiques de l’entreprise. »


Un plan de prévention


Les politiques, justement, sont à la base de tout bon plan d’action que devraient élaborer les entreprises pour minimiser les risques de cyberfraude. « Dans le cas d’un virement frauduleux, il aurait été facile d’éviter le pire s’il y avait eu une politique prévoyant qu’un appel téléphonique doit être fait auprès d’un fournisseur pour autoriser un changement de compte bancaire », dit Corey Anne Bloom.


En outre, un tel plan devrait couvrir les risques technologiques, et ce, en s’assurant que le parc informatique de l’entreprise est toujours à jour. Ce n’est pas gagné. Au sein des organisations canadiennes, plusieurs ordinateurs fonctionnent encore avec le système d’exploitation Windows XP, en dépit du fait que Microsoft a cessé d’en assurer les mises à jour en 2014. « Les PME qui roulent encore sous XP sont plus vulnérables au piratage », dit Corey Anne Bloom,


D’autre part, un plan d’action devrait considérer le risque humain. « Ce que je trouve le plus important, poursuit Mme Bloom, c’est la formation des cadres et des employés pour qu’ils comprennent pourquoi et comment les cyberfraudes surviennent. »


Des experts en renfort


Le risque de cyberfraude augmentant, de plus en plus d’entreprises font appel à une expertise en émergence : l’informatique judiciaire.


On connaît la juricomptabilité depuis longtemps déjà. Cette discipline juridique se consacre aux enquêtes sur les crimes commerciaux ou les fraudes financières, en repérant les écritures comptables illégales ou les tours de passe-passe fiscaux.


Spécialisation de la juricomptabilité, l’informatique judiciaire se penche quant à elle sur les cybercrimes financiers. « Les cybercriminels ont des logiciels qui leur permettent de trouver une preuve dissimulée, par exemple, parmi un million de courriels, ou encore de récupérer des données qui auraient été supprimées d’un disque dur. »


Désormais, l'informatique judiciaire, nouvel aspect de la juricomptabilité, fait partie du paysage des entreprises du XXIe siècle et il faudra y porter une attention toute particulière.



C’est à coups de millions de dollars que s’élèveront les dommages causés au studio Sony Pictures après la cyberattaque dont elle a été victime en novembre dernier. Le groupe de pirates, surnommé les « Gardiens de la paix », s’est introduit dans les systèmes informatiques de la société pour dérober des centaines de documents confidentiels. Tout ça en guise de représailles à la sortie d’un film ridiculisant le régime dictatorial de la Corée du Nord. Vraiment, jamais une comédie n’aura fait autant de dégâts.


                                                                                                        


L’affaire a fait le tour du monde, nous rappelant que même les grandes entreprises sont vulnérables aux cyberattaques. Qu’en est-il des PME ? Comment protéger ses données critiques des cybercriminels ?


 


Un risque mal compris 


Si les dirigeants d’entreprise sont sensibilisés au risque que représente la cyberfraude, « ils n’ont pas nécessairement établi de plan pour gérer ces incidents », soutient Corey Anne Bloom, associée, Services d’enquêtes et de juricomptabilité et Conseil TI au cabinet MNP.


 


Les cadres et les employés sont-ils formés pour reconnaître les tentatives de cyberfraudes ? Les systèmes informatiques sont-ils sécuritaires ? Bref, en 2015, comment ériger une barrière entre votre organisation et les cyberfraudeurs ?


                                                                                                                     


Les multiples visages de la cyberfraude


Cheval de Troie, hameçonnage, virus et autres programmes malveillants : la cyberfraude prend diverses formes et les pirates informatiques ne manquent pas d’imagination pour en inventer chaque jour.


 


« Ce qui est très à la mode en ce moment, ce sont les détournements frauduleux de virements électroniques, dit Corey Anne Bloom. Par exemple, une personne à la comptabilité d’une entreprise reçoit un courriel qui semble provenir d’un fournisseur connu, lui indiquant que le paiement par virement bancaire devra désormais se faire à tel numéro de compte. L’employé effectue le virement sans se douter qu’il s’agit d’un courriel frauduleux. On peut également tenter d’intercepter les paramètres d’authentification pour les sites bancaires afin de procéder à des virements électroniques à destination de comptes détenus par les fraudeurs. »


 


Les tentatives d’hameçonnage (phishing) sont aussi fréquentes. Et si elles visent le plus souvent les individus, les entreprises pourraient être des victimes de dommages collatéraux. Ainsi, un employé qui répond à un faux courriel provenant prétendument de son institution bancaire sur son lieu de travail « pourrait ainsi contribuer à infecter l’ensemble du réseau de l’entreprise », dit Mme Bloom.


 


Cela dit, si l’on s’imagine que ces méfaits sont l’œuvre d’un pirate informatique boutonneux qui opère d’une obscure chambre à coucher, il n’en est rien. Les cybercriminels forment aujourd’hui des groupes bien structurés, où l’on se répartit les tâches comme dans une entreprise : un groupe s’occupe d’obtenir des paramètres d’authentification et un autre s’occupe de les monnayer.


 


Cependant, il faut tout de même préciser que la plupart des menaces en matière de cyberfraude proviennent de l’interne. « Parfois, c’est un employé qui commet ces actes intentionnellement, explique Mme Bloom. D’autres fois, c’est simplement parce qu’un employé n’a pas respecté les politiques de l’entreprise. »


 


Un plan de prévention


Les politiques, justement, sont à la base de tout bon plan d’action que devraient élaborer les entreprises pour minimiser les risques de cyberfraude. « Dans le cas d’un virement frauduleux, il aurait été facile d’éviter le pire s’il y avait eu une politique prévoyant qu’un appel téléphonique doit être fait auprès d’un fournisseur pour autoriser un changement de compte bancaire », dit Corey Anne Bloom.


 


En outre, un tel plan devrait couvrir les risques technologiques, et ce, en s’assurant que le parc informatique de l’entreprise est toujours à jour. Ce n’est pas gagné. Au sein des organisations canadiennes, plusieurs ordinateurs fonctionnent encore avec le système d’exploitation Windows XP, en dépit du fait que Microsoft a cessé d’en assurer les mises à jour en 2014. « Les PME qui roulent encore sous XP sont plus vulnérables au piratage », dit Corey Anne Bloom,


 


D’autre part, un plan d’action devrait considérer le risque humain. « Ce que je trouve le plus important, poursuit Mme Bloom, c’est la formation des cadres et des employés pour qu’ils comprennent pourquoi et comment les cyberfraudes surviennent. »


 


Des experts en renfort


Le risque de cyberfraude augmentant, de plus en plus d’entreprises font appel à une expertise en émergence : l’informatique judiciaire.


 


On connaît la juricomptabilité depuis longtemps déjà. Cette discipline juridique se consacre aux enquêtes sur les crimes commerciaux ou les fraudes financières, en repérant les écritures comptables illégales ou les tours de passe-passe fiscaux.


 


Spécialisation de la juricomptabilité, l’informatique judiciaire  se penche quant à elle sur les cybercrimes financiers. « Les cybercriminels ont des logiciels qui leur permettent de trouver une preuve dissimulée, par exemple, parmi un million de courriels, ou encore de récupérer des données qui auraient été supprimées d’un disque dur. »


 


Désormais, l'informatique judiciaire, nouvel aspect de la juricomptabilité, fait partie du paysage des entreprises du XXIe siècle et il faudra y porter une attention toute particulièr

C’est à coups de millions de dollars que s’élèveront les dommages causés au studio Sony Pictures après la cyberattaque dont elle a été victime en novembre dernier. Le groupe de pirates, surnommé les « Gardiens de la paix », s’est introduit dans les systèmes informatiques de la société pour dérober des centaines de documents confidentiels. Tout ça en guise de représailles à la sortie d’un film ridiculisant le régime dictatorial de la Corée du Nord. Vraiment, jamais une comédie n’aura fait autant de dégâts.


 


L’affaire a fait le tour du monde, nous rappelant que même les grandes entreprises sont vulnérables aux cyberattaques. Qu’en est-il des PME ? Comment protéger ses données critiques des cybercriminels ?


 


Un risque mal compris


Si les dirigeants d’entreprise sont sensibilisés au risque que représente la cyberfraude, « ils n’ont pas nécessairement établi de plan pour gérer ces incidents », soutient Corey Anne Bloom, associée, Services d’enquêtes et de juricomptabilité et Conseil TI au cabinet MNP.


 


Les cadres et les employés sont-ils formés pour reconnaître les tentatives de cyberfraudes ? Les systèmes informatiques sont-ils sécuritaires ? Bref, en 2015, comment ériger une barrière entre votre organisation et les cyberfraudeurs ?


 


Les multiples visages de la cyberfraude


Cheval de Troie, hameçonnage, virus et autres programmes malveillants : la cyberfraude prend diverses formes et les pirates informatiques ne manquent pas d’imagination pour en inventer chaque jour.


 


« Ce qui est très à la mode en ce moment, ce sont les détournements frauduleux de virements électroniques, dit Corey Anne Bloom. Par exemple, une personne à la comptabilité d’une entreprise reçoit un courriel qui semble provenir d’un fournisseur connu, lui indiquant que le paiement par virement bancaire devra désormais se faire à tel numéro de compte. L’employé effectue le virement sans se douter qu’il s’agit d’un courriel frauduleux. On peut également tenter d’intercepter les paramètres d’authentification pour les sites bancaires afin de procéder à des virements électroniques à destination de comptes détenus par les fraudeurs. »


 


Les tentatives d’hameçonnage (phishing) sont aussi fréquentes. Et si elles visent le plus souvent les individus, les entreprises pourraient être des victimes de dommages collatéraux. Ainsi, un employé qui répond à un faux courriel provenant prétendument de son institution bancaire sur son lieu de travail « pourrait ainsi contribuer à infecter l’ensemble du réseau de l’entreprise », dit Mme Bloom.


 


Cela dit, si l’on s’imagine que ces méfaits sont l’œuvre d’un pirate informatique boutonneux qui opère d’une obscure chambre à coucher, il n’en est rien. Les cybercriminels forment aujourd’hui des groupes bien structurés, où l’on se répartit les tâches comme dans une entreprise : un groupe s’occupe d’obtenir des paramètres d’authentification et un autre s’occupe de les monnayer.


 


Cependant, il faut tout de même préciser que la plupart des menaces en matière de cyberfraude proviennent de l’interne. « Parfois, c’est un employé qui commet ces actes intentionnellement, explique Mme Bloom. D’autres fois, c’est simplement parce qu’un employé n’a pas respecté les politiques de l’entreprise. »


 


Un plan de prévention


Les politiques, justement, sont à la base de tout bon plan d’action que devraient élaborer les entreprises pour minimiser les risques de cyberfraude. « Dans le cas d’un virement frauduleux, il aurait été facile d’éviter le pire s’il y avait eu une politique prévoyant qu’un appel téléphonique doit être fait auprès d’un fournisseur pour autoriser un changement de compte bancaire », dit Corey Anne Bloom.


 


En outre, un tel plan devrait couvrir les risques technologiques, et ce, en s’assurant que le parc informatique de l’entreprise est toujours à jour. Ce n’est pas gagné. Au sein des organisations canadiennes, plusieurs ordinateurs fonctionnent encore avec le système d’exploitation Windows XP, en dépit du fait que Microsoft a cessé d’en assurer les mises à jour en 2014. « Les PME qui roulent encore sous XP sont plus vulnérables au piratage », dit Corey Anne Bloom,


 


D’autre part, un plan d’action devrait considérer le risque humain. « Ce que je trouve le plus important, poursuit Mme Bloom, c’est la formation des cadres et des employés pour qu’ils comprennent pourquoi et comment les cyberfraudes surviennent. »


 


Des experts en renfort


Le risque de cyberfraude augmentant, de plus en plus d’entreprises font appel à une expertise en émergence : l’informatique judiciaire.


 


On connaît la juricomptabilité depuis longtemps déjà. Cette discipline juridique se consacre aux enquêtes sur les crimes commerciaux ou les fraudes financières, en repérant les écritures comptables illégales ou les tours de passe-passe fiscaux.


 


Spécialisation de la juricomptabilité, l’informatique judiciaire se penche quant à elle sur les cybercrimes financiers. « Les cybercriminels ont des logiciels qui leur permettent de trouver une preuve dissimulée, par exemple, parmi un million de courriels, ou encore de récupérer des données qui auraient été supprimées d’un disque dur. »


 


Désormais, l'informatique judiciaire, nouvel aspect de la juricomptabilité, fait partie du paysage des entreprises du XXIe siècle et il faudra y porter une attention toute particulière.


 


e.
 

C’est à coups de millions de dollars que s’élèveront les dommages causés au studio Sony Pictures après la cyberattaque dont elle a été victime en novembre dernier. Le groupe de pirates, surnommé les « Gardiens de la paix », s’est introduit dans les systèmes informatiques de la société pour dérober des centaines de documents confidentiels. Tout ça en guise de représailles à la sortie d’un film ridiculisant le régime dictatorial de la Corée du Nord. Vraiment, jamais une comédie n’aura fait autant de dégâts.


 


L’affaire a fait le tour du monde, nous rappelant que même les grandes entreprises sont vulnérables aux cyberattaques. Qu’en est-il des PME ? Comment protéger ses données critiques des cybercriminels ?


 


Un risque mal compris


Si les dirigeants d’entreprise sont sensibilisés au risque que représente la cyberfraude, « ils n’ont pas nécessairement établi de plan pour gérer ces incidents », soutient Corey Anne Bloom, associée, Services d’enquêtes et de juricomptabilité et Conseil TI au cabinet MNP.


 


Les cadres et les employés sont-ils formés pour reconnaître les tentatives de cyberfraudes ? Les systèmes informatiques sont-ils sécuritaires ? Bref, en 2015, comment ériger une barrière entre votre organisation et les cyberfraudeurs ?


 


Les multiples visages de la cyberfraude


Cheval de Troie, hameçonnage, virus et autres programmes malveillants : la cyberfraude prend diverses formes et les pirates informatiques ne manquent pas d’imagination pour en inventer chaque jour.


 


« Ce qui est très à la mode en ce moment, ce sont les détournements frauduleux de virements électroniques, dit Corey Anne Bloom. Par exemple, une personne à la comptabilité d’une entreprise reçoit un courriel qui semble provenir d’un fournisseur connu, lui indiquant que le paiement par virement bancaire devra désormais se faire à tel numéro de compte. L’employé effectue le virement sans se douter qu’il s’agit d’un courriel frauduleux. On peut également tenter d’intercepter les paramètres d’authentification pour les sites bancaires afin de procéder à des virements électroniques à destination de comptes détenus par les fraudeurs. »


 


Les tentatives d’hameçonnage (phishing) sont aussi fréquentes. Et si elles visent le plus souvent les individus, les entreprises pourraient être des victimes de dommages collatéraux. Ainsi, un employé qui répond à un faux courriel provenant prétendument de son institution bancaire sur son lieu de travail « pourrait ainsi contribuer à infecter l’ensemble du réseau de l’entreprise », dit Mme Bloom.


 


Cela dit, si l’on s’imagine que ces méfaits sont l’œuvre d’un pirate informatique boutonneux qui opère d’une obscure chambre à coucher, il n’en est rien. Les cybercriminels forment aujourd’hui des groupes bien structurés, où l’on se répartit les tâches comme dans une entreprise : un groupe s’occupe d’obtenir des paramètres d’authentification et un autre s’occupe de les monnayer.


 


Cependant, il faut tout de même préciser que la plupart des menaces en matière de cyberfraude proviennent de l’interne. « Parfois, c’est un employé qui commet ces actes intentionnellement, explique Mme Bloom. D’autres fois, c’est simplement parce qu’un employé n’a pas respecté les politiques de l’entreprise. »


 


Un plan de prévention


Les politiques, justement, sont à la base de tout bon plan d’action que devraient élaborer les entreprises pour minimiser les risques de cyberfraude. « Dans le cas d’un virement frauduleux, il aurait été facile d’éviter le pire s’il y avait eu une politique prévoyant qu’un appel téléphonique doit être fait auprès d’un fournisseur pour autoriser un changement de compte bancaire », dit Corey Anne Bloom.


 


En outre, un tel plan devrait couvrir les risques technologiques, et ce, en s’assurant que le parc informatique de l’entreprise est toujours à jour. Ce n’est pas gagné. Au sein des organisations canadiennes, plusieurs ordinateurs fonctionnent encore avec le système d’exploitation Windows XP, en dépit du fait que Microsoft a cessé d’en assurer les mises à jour en 2014. « Les PME qui roulent encore sous XP sont plus vulnérables au piratage », dit Corey Anne Bloom,


 


D’autre part, un plan d’action devrait considérer le risque humain. « Ce que je trouve le plus important, poursuit Mme Bloom, c’est la formation des cadres et des employés pour qu’ils comprennent pourquoi et comment les cyberfraudes surviennent. »


 


Des experts en renfort


Le risque de cyberfraude augmentant, de plus en plus d’entreprises font appel à une expertise en émergence : l’informatique judiciaire.


 


On connaît la juricomptabilité depuis longtemps déjà. Cette discipline juridique se consacre aux enquêtes sur les crimes commerciaux ou les fraudes financières, en repérant les écritures comptables illégales ou les tours de passe-passe fiscaux.


 


Spécialisation de la juricomptabilité, l’informatique judiciaire se penche quant à elle sur les cybercrimes financiers. « Les cybercriminels ont des logiciels qui leur permettent de trouver une preuve dissimulée, par exemple, parmi un million de courriels, ou encore de récupérer des données qui auraient été supprimées d’un disque dur. »


 


Désormais, l'informatique judiciaire, nouvel aspect de la juricomptabilité, fait partie du paysage des entreprises du XXIe siècle et il faudra y porter une attention toute particulière.


 


Le savoir d'entreprise c'est quoi ?

Par l'intermédiaire du Savoir d'entreprise, Les Affaires souhaite offrir à ses lecteurs des connaissances de pointe provenant d'organisations désireuses de partager leur expertise.

Les contenus sont produits par le Service de contenu Les Affaires en collaboration avec l'organisation. Notez qu'à aucun moment, les journalistes de Les Affaires ne participent à la rédaction de ces articles. Pour plus d'information sur ce produit, veuillez communiquer avec

À la une

Voici comment l’IA aide à soigner la maladie d’Alzheimer

Il y a 24 minutes | Alain McKenna

BLOGUE. Facebook utilise l’IA pour identifier des chats dans les images. Arctic Fox AI repère les maladies du cerveau.

En quoi #MoiAussi concerne aussi les conseils d’administration

BLOGUE INVITÉ. Voici des actions concrètes que les CA de PME peuvent poser pour gérer les risques de harcèlement.

Anfibio chausse une nouvelle génération

15/11/2018 | Marie Lyan

PME DE LA SEMAINE. Cinquante ans après sa création, la PME ouvrira son premier atelier-boutique.