Fraudologie Denis Pénot

L'essentiel des activités cybercriminelles s'appuient sur l'usurpation d'identité : 


Le phishing (ou smishing ou vishing...) usurpe une identité par mail pour vous faire télécharger un virus ou vous faire divulguer une info sensible.
Pour un changement de RIB le fraudeur se fait passer pour le titulaire légitime du compte bancaire.
Pour une fraude au président, il se fait passer pour le dirigeant ou une autorité gravitant autour de l'entreprise...

Donc une des pierres angulaires de votre sécurité passe par la vérification de l'identité de vos interlocuteurs, quels que soient votre métier ou votre position dans l'entreprise.

Et la difficulté principale réside dans la multitude de canaux qui peuvent être utilisés pour vous contacter. Vous utilisez probablement plusieurs outils comme le mail, les SMS, le téléphone, les messageries instantanées ou la visio. AUCUN de ces canaux n'apporte techniquement de garantie sur l'identité de votre interlocuteur.

Aucun, jusqu'à ce que des experts de la cryptographie créent Olvid. Thomas Baignères est l'un d'eux et il vous explique comment ça marche et pourquoi cette solution Made In France est beaucoup plus robuste que tout ce que vous avez utilisé jusqu'à aujourd'hui.

Pour vous aider à aller directement aux sujets qui vous intéressent, voici la chronologie de cet épisode :

0' : contexte

1'40" : Pourquoi Olvid permet de ne plus douter de l'identité de vos interlocuteurs

4'56" : Pourquoi les autres messageries ne peuvent pas donner de garantie sur les identités

9'56" : Comment ça marche concrètement ?

14'24" : Comment Olvid s'inscrit dans les outils de l'entreprise ?

26'54" : Comment créer des liens avec l'extérieur de l'entreprise ?

28'31" : Partager ses contacts comme dans la vie réelle

29'28" : Faire adopter l'outil au plus grand nombre 

32'38" : Gérer la séparation vie pro / vie perso

Lorsqu'une entreprise est victime d'une fraude au président, le ou la salariée qui s'est fait manipuler perd souvent son emploi.

C'est ce qui est arrivé à Sandie qui nous a courageusement livré son témoignage.

Ça m'a d'abord paru très injuste : comme si les conséquences psychologiques ne suffisaient pas...

Mais ensuite ça m'a amené à me poser la question des règles de droit qui s'appliquent :

Dans quelles conditions une entreprise peut-elle faire porter toute la responsabilité de cette erreur à sa salariée ?

Quelles obligations est-ce que l'employeur doit avoir remplies pour justifier cette faute ?

Pour explorer cet aspect de la fraude, j'accueille dans cet épisode Me Sandra Lévy Regnault qui est avocate, spécialiste du droit du travail.

Elle vous explique tout : les types de fautes, la différence entre une règle et un usage, les obligations de formation...

Découvrez tout ce qui peut vous aider à respecter les règles et à vous défendre, que vous soyez employeur ou salarié !

Novembre 2020, un hôpital français est attaqué par un ransomware. Son informatique est externalisée dans un datacenter, sur une baie de serveurs qui est partagée avec d'autres entreprises. L'une d'elles est un prestataire informatique qui vend ses services à des entreprises de la région nantaise. Oxinet fait partie de ses clients. Cette PME de 40 personnes va être une victime collatérale de l'attaque initiale.

Antoine Pigeault, son dirigeant, vous raconte comment il a géré cette situation : 3 semaines sans données commerciales ou comptables et le risque de perdre 10 ans d'histoire de son entreprise.

Il vous donne 2 conseils qu'il a tiré de cette expérience et que vous devez appliquer sans attendre de vivre la même chose que lui : 

1- ne vous croyez pas invulnérable

2- Réfléchissez aux premières actions que vous allez faire si vous êtes dans la même situation

En matière de fraude ou d'attaque cyber il y a un "avant", un "pendant" et un "après". Donc ces trois phases doivent apparaitre dans votre dispositif de prévention pour qu'il soit complet.

Le "avant" ce sont tous vos outils de sécurité informatique et la formation de vos utilisateurs pour leur permettre d'éviter les attaques.

Le "pendant", c'est la vigilance de vos salariés qui va les faire réagir à temps et alerter rapidement les bonnes personnes dans votre organisation.

Et le "après" ?

Comment revenir à une situation normale ?

Comment maintenir la confiance de vos clients et la motivation de vos équipes ?

Comment faire face aux pertes financières directes et indirectes ?

Votre assureur est probablement le bon interlocuteur pour répondre à ces questions.

Dans cette séance de fraudologie, j'accueille Frédéric Peynoche qui a fondé le cabinet de courtage Investys France. Il va vous aider à y voir clair sur les solutions d'assurance, les garanties, les services, les coûts : vous allez tout savoir !

"Comment a-t-elle pu se faire avoir comme ça ???"

Si vous avez écouté le témoignage de Sandie, vous vous êtes peut-être posé cette question. En tout cas moi, je me la suis posée. 

Et pour y répondre de la manière la plus constructive possible et sans jugement, je vous propose une analyse de ce qui a pu se passer dans sa tête avec l'aide d'Isabelle Pinceloup. Isabelle est psychologue spécialisée dans la psychologie du travail. Elle nous apporte un éclairage très instructif sur les mécanismes qu'exploitent les fraudeurs et nous donne des pistes pour anticiper les risques, ne pas sous-estimer les compétences du fraudeur et réparer le traumatisme.

Qui sont les meilleures victimes potentielles ?
La prévention de la fraude passe par l'identification des profils qui peuvent présenter le plus de risque. Et contre toute attente, Isabelle dresse le portrait robot de l'employé (ou de l'employée) idéal : empathique, soucieux de bien faire, respectueux de l'autorité... Et qui est en train de vivre un changement pro ou perso. Découvrez si vous êtes la victime idéale ou si elle fait partie de votre équipe grâce à la description et aux explications de notre psychologue !

Qui sont les fraudeurs ?
Pour se protéger efficacement, il faut connaître son adversaire. Isabelle décrit les principaux traits de caractère de celui qui va tenter de mettre sa victime sous influence. Intelligent, rassurant, il sait mettre sa victime dans un état émotionnel qui va l'empêcher de réfléchir. Il sait également lui dire ce qu'elle a envie d'entendre en la valorisant et en la responsabilisant.

Et ce sont toutes ces caractéristiques qui sont ses meilleures armes et ne le sous-estimez pas : il saurait vous influencer tout comme il a influencé Sandie.

Comment sortir de l'influence du fraudeur ?
On l'a vu le fraudeur va soumettre sa victime en parlant à ses émotions. Et ce sont précisément ces émotions qui vont empêcher Sandie de réfléchir. Or pour rompre le "charme", il faut justement se poser, prendre le temps de réfléchir et analyser la situation. C'est ce travail d'analyse qui va permettre de sortir des émotions et multiplier les chances de s'arrêter à temps.

Comment se reconstruire et renforcer l'entreprise ?
En écoutant témoignage de Sandie, vous avez certainement senti son traumatisme. La douleur qu'elle a vécue et qu'elle vit encore mettra du temps à s'atténuer. Isabelle nous explique pourquoi : quels sentiments se mêlent et renforcent le choc ?

Découvrez aussi comment la victime peut se reconstruire et quelles seront ses difficultés dans cette reconstruction. L'entourage est important c'est certain mais quand vous n'avez plus du tout confiance ni en vous ni dans les autres, comment se livrer et demander de l'aide ?

Et enfin qu'est-ce qu'il faut mettre en place dans l'entreprise pour se renforcer après une fraude ? Même si le ou la salariée quitte la boite, il y aura toujours quelqu'un qui sera exposé. La responsabilité de l'entreprise est d'identifier ce risque, de le prendre en compte et de s'y préparer. La communication, la prévention et surtout l'implication des équipes participeront à renforcer la structure.

Les procédures et la technologie ne sont pas la réponse à tout

Pour parvenir à leurs fins, les fraudeurs utilisent souvent des outils informatiques, notamment pour collecter de l'information sur leur cible. Mais ça n'est pas parce que votre attaquant utilise des moyens informatiques que la solution la plus efficace est elle aussi de nature informatique !

Dans cette séance je vous propose une vision différente, voire décalée, pour lutter contre la fraude au faux fournisseur. Je me suis inspiré du livre "Nudge, Comment inspirer la bonne décision". Cet ouvrage passionnant dresse plusieurs constats intéressants sur les  moyens de guider les choix. Une des idées développée est l'importance de  l'option par défaut. C'est à dire l'option que vous proposez à vos utilisateurs s'ils ne veulent pas faire de choix.

Or en matière de lutte contre la fraude au faux fournisseur, la solution qui vient le plus vite à l'esprit est de mettre en place une procédure  de contrôle plus ou moins complète et plus ou moins technologique. Mais cela ne fonctionne que si vos équipes l'appliquent à la lettre. Et donc que vos salariés s'engagent très sérieusement dans son application. Dans le prolongement des nudges, je me suis donc demandé comment faire pour que ces vérifications soient le moins possible influencées  par la volonté ou la capacité des personnes qui les réalisent.

Et bien ma conclusion ne peut pas être plus simple : quand vous recevez une demande de modification d'IBAN, il ne faut pas modifier le numéro de compte !

Ne rien faire, mais le faire bien

Bien entendu je ne me suis pas arrêté là. Je vous explique en détail ce qui peut arriver dans le cas où la demande est légitime et ce qui va se passer si elle ne l'est pas.

Tout se base en réalité un élément très simple. Une information que le fraudeur ne peut pas détenir. Une information que seuls vous ET votre fournisseur détenez à un moment précis. Cette information, c'est le constat que les fonds ont été transférés sur le compte de votre bénéficiaire. Ce constat, il n'y a que vous et votre fournisseur (ou votre salarié) qui pouvez le faire.

Une fois qu'on a choisi de ne rien faire suite à une demande de changement de RIB, il va falloir se souvenir que vous l'avez reçue. Car une fois que votre fournisseur se sera fait de nouveau payer sur son ancien compte bancaire, il va vous relancer pour que vous fassiez enfin la modification. Et à cet instant-là, il vous faudra vérifier que vous aviez effectivement reçu une demande de sa part. Car alors vous serez sûr(e) que c'est bien votre fournisseur qui vous aura fait la demande initiale. S'il ne l'a pas faite, il n'aura aucune raison de vous relancer !

Donnez-moi votre avis !

Cette solution sort nettement des sentiers battus mais je suis convaincu qu'elle peut significativement réduire votre exposition à ce type de  fraude. La seule condition sera de briefer vos équipes et qu'elles ne  fassent jamais la modification de RIB à la première demande.

Bien sûr ça repose sur de l'humain donc c'est faillible, comme toutes les solutions, technologiques ou non. Mais dans cette proposition, ça ne vous coute aucun investissement et surtout ça s'appuie sur une "non-action". Et il est beaucoup plus facile de demander à vos équipes de ne pas agir plutôt que de changer leurs habitudes.

Je suis impatient d'avoir vos avis donc envoyez-moi vos commentaires à denis@fraudologie.fr !