Une fraude par courriel a fait perdre des centaines de millions de dollars à des entreprises au cours des 14 derniers mois.
Il n’est pas exagéré d’affirmer que le courriel est devenu la pierre angulaire de l’entreprise moderne. Aujourd’hui, les employés de chaque secteur comptent davantage sur le courriel que sur tout autre moyen de communication, y compris le téléphone. Le courriel est un outil clé pour optimiser la productivité, l’efficience et la flexibilité dans l’ensemble de l’organisation.
Mais ce n’est pas tout. Le courriel représente aussi une menace économique importante pour les entreprises, à moins qu’il ne s’accompagne de mesures de sécurité de qualité et de bonnes pratiques suivies par les employés.
Un rapport publié récemment par le Internet Crime Complaint Center (IC3), un partenariat conjoint entre le Federal Bureau of Investigation et le National White Collar Crime Center, a révélé qu’une seule fraude par courriel a fait perdre des centaines de millions de dollars à des entreprises au cours des 14 derniers mois. Ce rapport met en lumière les risques économiques éventuels découlant de pratiques de cybersécurité déficientes en matière de courriel, ainsi que la nécessité d’accroître la formation de sensibilisation à la sécurité aux employés pour contrer cette menace.
Une fraude efficace
Le rapport publié par l’IC3 a porté essentiellement sur la fraude surnommée Business Email Compromise (BEC), une escroquerie par intrusion dans le courriel qui cible des entreprises travaillant avec des fournisseurs étrangers ou effectuant régulièrement des paiements par virement. D’après l’IC3, cette forme de fraude est généralement commise de trois façons :
- Un cybercriminel compromet le compte de courriel d’un dirigeant, puis se sert de ce compte pour demander à un autre employé de faire un virement. Le cybercriminel demande ensuite à l’institution financière de rediriger ces fonds vers son compte.
- Le cybercriminel se fait passer pour un fournisseur et demande, par courriel, que l’entreprise vire des fonds pour payer une facture vers un compte frauduleux.
- Le cybercriminel infiltre le courriel personnel d’un employé, puis se sert du carnet d’adresses de ce compte pour demander à plusieurs clients de payer des factures.
« Les victimes subissent des pertes qui frôlent les 215 millions de dollars. »
Au cours des 14 derniers mois, l’IC3 a reçu des rapports de fraudes BEC en provenance de 45 pays, ainsi que de chaque État américain. L’IC3 a dénombré près de 1 200 victimes américaines et plus de 900 victimes à l’extérieur des États-Unis. Réunies, ces victimes ont essuyé des pertes totalisant tout près de 215 millions de dollars, toutes attribuables aux fraudes BEC par courriel.
Selon le FBI, il est certain que le nombre de victimes et les coûts globaux associés aux fraudes BEC continueront de croître dans les prochains mois.
Mesures défensives
Comme l’indiquait clairement le rapport d’IC3, les fraudes BEC sont efficaces pour plusieurs raisons. Les cybercriminels misant sur cette stratégie conjuguent efforts de piratage et tactiques d’imitation pour créer un stratagème très convaincant. Quand les mesures de cybersécurité automatisées échouent, la seule défense qui reste est la sensibilisation et le scepticisme des employés.
L’IC3 a formulé un certain nombre de recommandations pour aider les entreprises à se prémunir contre cette menace. Dans beaucoup de cas, celles-ci se résument à l’ajout de niveaux de protection additionnels, comme la vérification en deux étapes, et à l’accroissement de la vigilance des employés.
Le problème posé par les niveaux de cybersécurité additionnels réside dans les inconvénients entraînés par cette mesure. Et comme l’a signalé récemment le Harvard Business Review, beaucoup d’entreprises ne sont pas prêtes à accepter de telles entraves. D’une façon ou d’une autre, les entreprises peuvent améliorer grandement leur protection et se prémunir contre les fraudes par courriel en investissant dans la sensibilisation à la sécurité de l’information des employés. Grâce à la formation, les employés peuvent apprendre comment repérer des messages suspects et les mesures à prendre dans de telles situations. Des employés avertis peuvent faire économiser beaucoup d’argent aux entreprises en résistant à ce genre d’attaque.