En 2022, l’hameçonnage, le piratage de compte et les rançongiciels ont été au cœur des préoccupations des entreprises, des associations, des collectivités et des administrations. Face à des fraudes et des escrocs de plus en plus ingénieux, l’ensemble des acteurs du secteur privé et public doivent mettre en place des actions pour combattre ces fraudeurs et assurer la sécurité de leurs données. La Banque Postale vous accompagne en vous listant les fraudes bancaires les plus répandues, ainsi que la démarche à suivre en cas de fraude et les bons réflexes à adopter pour s’en prémunir.
69% des entreprises déclarent avoir subi une ou plusieurs fraudes au cours de l'année 2022.
Panorama des fraudes bancaires les plus répandues
Aujourd’hui, les entreprises et le secteur public local font face à de nombreuses attaques de la part de personnes mal intentionnées qui redoublent d’efforts et d’imagination pour arriver à leur but : collecter des données et/ou réaliser des opérations financières frauduleuses.
En amont de ces fraudes bancaires (fraude au président, fraude au fournisseur, usurpation des moyens de télécommunication…), les fraudeurs usent de diverses techniques pour les préparer et assurer leur réussite.
En 2022 : 45% des entreprises sont victimes de la fraude aux faux fournisseur, 41% des entreprises sont touchées par la fraude au Président et 41% des entreprises sont touchées par une intrusion dans les systèmes informatiques.
L'ingénierie sociale
L’ingénierie sociale précède souvent une escroquerie. En effet, cette pratique utilise différentes techniques de manipulation pour inciter des personnes à divulguer des informations sur une entreprise ou une administration. Pour obtenir ces informations, les fraudeurs ciblent leur victime par tous les moyens (téléphone, e-mails, réseaux sociaux, Internet, sphère privée, etc.). Le fraudeur cherche alors à gagner leur confiance pour récupérer habilement des données sensibles.
Cette technique s’inscrit dans une escroquerie bien organisée et scriptée. Elle pousse les victimes dans des pièges vicieux (souvent dirigés sur un seul et même individu).
Pour collecter des informations, les fraudeurs n’hésitent pas à se faire passer pour un tiers en ayant recours à l’usurpation d’identité.
L'usurpation d'identité
L’usurpation d’identité est une utilisation de données personnelles utilisées comme moyen d’identification sans l’accord de l’individu usurpé.
Ces données personnelles peuvent être récupérées sur de nombreux documents officiels (carte d’identité, permis de conduire, passeport) ou administratifs (facture, justificatif de domicile, etc.), ou sur Internet (Sites officiels, réseaux sociaux…).
Pour récupérer ces données, l’usurpateur peut aussi hacker un appareil électronique de sa victime (salarié, bénévole, etc.) ou intercepter des échanges avec des clients (coordonnées, factures…), des fournisseurs ou des collaborateurs ;
Ces données pourront servir au fraudeur dans le cadre de l’ingénierie sociale afin d’instaurer un climat de confiance en se faisant passer pour une personne d’autorité ou un organisme privé ou public connu.
Détenues entre de mauvaises mains, ces informations précieuses peuvent ensuite servir à :
- Réaliser des opérations financières ;
- Commettre des actes répréhensibles ;
- Nuire à la réputation de la victime.
Le Phishing
Le phishing (ou « hameçonnage ») est une forme d’escroquerie qui consiste à dérober les données personnelles ou bancaires d’une personne physique ou morale.
C’est aujourd’hui la menace n°1 tous publics confondus selon Cybermalveillance.gouv qui a comptabilisé 1,9 million de recherches d’assistance et de consultations d’articles sur le phishing sur sa plateforme en 2022, soit une hausse de 54 % par rapport à 2021. Par ailleurs, le phishing représente la menace majeure pour :
-
Le phishing représente la menace majeure pour 27% des entreprises et associations.
-
Le phishing représente la menace majeure pour 28% des collectivités et administrations.
Autre chiffre qui témoigne de la hausse des attaques par hameçonnage : le baromètre de la cybersécurité du CESIN de janvier 2023 qui indique que le phishing constitue 74 % des attaques dans les entreprises.
Ces cyberattaques constituent donc une priorité en matière de cybersécurité, d’autant plus qu’elles peuvent intervenir partout (par SMS, mail ou sur Internet) et qu’elles sont relativement simples à mettre en œuvre.
Dans une entreprise, une association, une collectivité ou une administration, le modus operandi du phishing reste le même et se déroule en 3 étapes :
1 - L'appât
Les fraudeurs utilisent la technique de l’ingénierie sociale pour étudier la cible afin de trouver l’approche idéale dans leur message.
2 - Le message
Les fraudeurs envoient un mail ou un SMS dont le message :
- Contient un pseudo alerte de sécurité (faux support technique) ;
- Peut demander à renseigner des informations d’identité bancaire (hameçonnage bancaire) ;
- Propose aux salariés de participer à un jeu concours ;
- Invite à accéder à un espace de partage de documents ;
3 - La collecte d'information
Le message contient un lien qui redirige la victime vers un formulaire en ligne, l’obligeant à saisir diverses informations (coordonnées bancaires, mots de passe ou identifiants d’accès à des espaces sécurisés, etc.).
La fraude au Président
Depuis plus de 10 ans, la fraude au président touche de plus en plus de victimes. Parmi elles figurent les entreprises mais aussi le secteur public local (collectivités locales, établissements de santé, bailleurs sociaux, etc.).
Le mode opératoire est simple, mais particulièrement efficace :
1 - L'usurpation
Le fraudeur usurpe l’identité d’un tiers :
- si c’est une grande entreprise, ce dernier va se faire passer pour un collaborateur haut placé dans l’entreprise (président de société mère ou du groupe) ou un tiers (avocat, cabinet d’expertise comptable…);
- si c’est une administration publique, le fraudeur va utiliser les sceaux, les timbres de l’État et citer des articles législatifs pour justifier son statut.
2 - La prise de contact
Sur la base des informations collectées via l'ingénierie sociale (réseaux sociaux professionnels, organigramme, etc.), le fraudeur contacte un interlocuteur bien identifié par téléphone ou par mail. Il choisit un moment de faible activité (en fin de journée) ou pendant des périodes où les effectifs sont réduits (week-ends ou vacances scolaires) pour profiter d'un moment où le donneur d’ordre n’est pas disponible pour vérification.
3 - Le virement
Le fraudeur demande à son interlocuteur de réaliser un virement en insistant sur le caractère urgent et confidentiel de l’opération.
Le faux fournisseur / le faux RIB
L’arnaque au faux fournisseur se rapproche de la fraude au président, à la différence près que le fraudeur usurpe l'identité d'un fournisseur ou d’un prestataire afin de soutirer de l'argent à leurs clients.
La méthode se déroule en trois grandes étapes :
1 - La collecte d'informations
Les fraudeurs utilisent l'ingénierie sociale pour récupérer des données sur des fournisseurs et/ou des prestataires.
2 - L’usurpation
Les fraudeurs usurpent l'identité du fournisseur et/ou prestataire et contactent leurs clients par mail pour les informer d’un changement de coordonnées bancaires.
3 - Le virement
La victime modifie le RIB du faux fournisseur/prestataire et règle ses factures directement à l’usurpateur.
Zoom sur les prélèvements frauduleux
L’arnaque aux prélèvements frauduleux joue sur deux éléments : la facilité de paiement du système SEPA et la possibilité de réaliser un prélèvement sur un compte bancaire grâce à un RIB, et ce sans l’autorisation préalable du titulaire.
Le fraudeur va émettre des prélèvements sur des RIB récupérés au préalable (à l’issue de fuites de données ou sur le dark web par exemple).
Pensez à vérifier régulièrement vos opérations au débit !
Que faire en cas d'escroquerie bancaire ?
Si votre structure est victime d’une escroquerie, le service le plus compétent en matière de sécurité doit entamer les démarches suivantes le plus rapidement possible :
Déclarer fraude
Dès l’apparition d’une fraude bancaire ou d’une suspicion de fraude, vous devez alerter immédiatement votre établissement bancaire en contactant votre CSE. Si votre interlocuteur n’est pas disponible, vous pouvez joindre le service client. Lorsque l’escroquerie est découverte à temps, la banque a des chances d’en limiter son impact.
Si l’escroquerie porte sur un acte de cybermalveillance, le site cybermalveillance.gouv vous propose un diagnostic afin de vous offrir des solutions personnalisées et de l’aide professionnelle.
Si vous constatez une fuite de vos données personnelles, faites une déclaration sur le site de la CNIL (Commission nationale de l’informatique et des libertés).
Bon à savoir
Le ministère de l’Intérieur invite tout témoin ou victime d’une escroquerie à signaler le contenu illicite sur la plateforme Pharos, le portail officiel de signalement des contenus illicites de l'Internet.
Vous pouvez aussi contacter les services compétents en fonction de la situation géographique de votre structure :
- le service impôt des entreprises de la direction générale des finances publiques (DGFiP) ;
- Le bureau régional de la direction générale des douanes et droits indirects (DGDDI) ;
- la direction départementale de l'emploi, du travail, des solidarités et de la protection des populations (DDETSPP) de la Direction générale de la concurrence, de la consommation et de la répression des fraudes (DGCCRF).
Bon à savoir
Ouvert de 9h à 18h30 du lundi au vendredi, le numéro vert gratuit « Info Escroqueries » (0 805 805 817) informe, conseille et oriente les entreprises victimes d’une escroquerie. A noter que c’est un service d’information, non de déclaration.
Déposer plainte
Le dépôt de plainte peut se faire de trois façons :
- dans le commissariat de police ou la brigade de gendarmerie dont votre structure dépend ;
- par écrit au procureur de la République de votre tribunal judiciaire ;
- par écrit au tribunal civil ou de commerce ;
Les bons réflexes à adopter au sein de son entité pour se prémunir des fraudes
1 - Protéger et sauvegarder ses données
- Détruire tout document comportant des données personnelles avant de le jeter ;
- Ne jamais fournir de photocopies de quelconque document à un tiers ;
- Renforcer le système informatique de l’entreprise ou de l’organisation et sécuriser l’ensemble de vos données ;
- Organiser des sauvegardes de données périodiques et offline ;
- Restreindre les accès aux documents sensibles, etc. ;
2 - Adapter son organisation interne
- Avoir des outils et procédures adaptés ;
- S’en tenir aux procédures, même en situation d’urgences/ sous pression d’un tiers ;
- Vérifier très régulièrement les opérations au débit des comptes bancaires de l’entreprise ; Mettre en place une veille pour se tenir informé des scénarios actuels et anticiper de possibles fraudes ;
- Se faire aider par des conseils en cybersécurité.
3 - Sensibiliser l’ensemble des collaborateurs
- Réaliser des formations régulières et des campagnes tests de phishing par exemple ;
- Ne jamais diffuser d’informations professionnelles hors cadre du travail (par exemple sur les réseaux sociaux…) ;
- Veiller à utiliser des filtres de confidentialité dans les transports et ne pas se connecter aux Wifi publics ;
- Ne pas agir dans la panique ou sous pression d’un tiers ;
- En cas demande inhabituelle, ne pas hésiter à en parler autour de soi et ne pas rester seul.
Conseil
Veiller à mettre en place une procédure interne anti-fraude qui intègre les éléments suivants :
- Gestion des tentatives de fraude ;
- Collecte d’informations sur les fraudeurs (tel, mail, etc.) ;
- Chaine des interlocuteurs à contacter lorsqu’une fraude est détectée ;
- Etc.
Les solutions de La Banque Postale pour lutter contre la fraude
Les solutions de La Banque Postale selon votre profil :