33 millions d’euros volés : nouveau record pour «l’arnaque au président» en france
Arnaque au président : Un faux PDG a envoyé de vrais ordres de virement à la responsable de la comptabilité d’un promoteur immobilier parisien. Le promoteur y a donné suite avant de se rendre compte de l’arnaque. Une plainte a été déposée. « Toute l’équipe de Sefri-Cime vous souhaite de passer d’agréables fêtes de fin d’années entourés de vos proches ! Qu’elles soient remplies de petits et de grands bonheurs », peut-on lire sur la page Facebook de ce promoteur immobilier parisien. Difficile d’imaginer que derrière les mots sympathiques et les photos de lots immobiliers aguicheurs, l’entreprise vient de se faire délester de 33 millions d’euros par des escrocs ayant utilisé « l’arnaque au président »… Les fraudeurs missionnent un faux avocat Le 2 décembre, relate Le Parisien, la responsable de la comptabilité de cet « acteur historique de l’immobilier résidentiel en France » reçoit un e-mail provenant d’un escroc. L’imposteur se fait passer pour le directeur général de Sefri-Cime et demande la plus grande confidentialité quant aux échanges, expliquant qu’il prépare l’entrée en Bourse de la société. Pour parfaire ce narratif, les malfrats missionnent un faux avocat, qui ordonne à la comptable de procéder à une quarantaine de virements en direction de comptes bancaires à l’étranger. Le 29 décembre, une autre comptable de la société reçoit un mail des escrocs. Elle flaire l’arnaque et alerte sa hiérarchie. La direction dépose une plainte au commissariat du XIVe arrondissement et demande à sa banque de bloquer les transactions en cours, ce qui aurait permis au promoteur de récupérer 3 millions d’euros. Mais le préjudice colossal s’élève à 33 600 000 euros pour Sefri-Cime, selon les informations du quotidien francilien. Une somme record pour ce type d’arnaque en France. Une arnaque qui continue de se développer Bien qu’existant depuis 2010, cette fraude continue de faire des victimes chaque année, et profite même de l’essor du télétravail pour se développer, comme l’explique le site techtalks. Selon le baromètre 2020 «Etude sur la fraude” du cabinet Euler Hermes, la fraude au président, en hausse notable, est devenue l’une des principales cyberattaques dans le monde (la troisième d’après le cabinet). Pour se prémunir de ces arnaques très lucratives pour la grande criminalité, l’Office central de répression de la grande délinquance financière conseillait en avril 2020 auprès de Franceinfo, de « ne pas céder à l’urgence même si les circonstances peuvent nous y pousser. Rester calme. Parler de la commande avec un autre collègue pour voir quel est son avis. Et dans le moindre doute, contacter sa banque pour essayer de rapatrier les fonds avant de venir éventuellement déposer plainte ». Source : L’Alsace
Mata io aux journées de l’afte les 16 et 17 novembre 2021
MATA et ses partenaires vous accueilleront avec plaisir lors des Journées du Trésorier qui auront lieu les 16 et 17 novembre prochains au Palais BRONGNIART à Paris. A cette occasion, venez jouer avec nous à la Fraudster Party et gagnez le prix du meilleur détective ! Intrigue : Le célèbre fraudeur Frank Fraudster planifie l’élaboration d’une fraude à l’encontre d’une grande entreprise américaine. Pour accomplir son noir dessein, il va suivre des étapes précises : Déterminer sa cible : que veut obtenir Frank ? Quelle entreprise peut-il escroquer pour arriver à ses fins ? Obtenir des renseignements : Frank cartographie la société ciblée. Organisation technique : Création de la fausse identité, de la fausse société et ouverture d’un compte en banque. Mise en œuvre de la fraude : Frank entre en contact avec ses cibles. Après la fraude : que devient l’argent ? Suivez le parcours de Frank Fraudster et attrapez le si vous pouvez ! Si vous souhaitez vous inscrire au salon
Attaques par rançongiciel : que négocier avec son assureur ?
Face à la multiplication des attaques par rançongiciel, les entreprises doivent privilégier les contrats multirisques qui proposent des couvertures très larges des dommages et regarder de près la liste des exclusions prévues par leurs assurances. Les rançongiciels sont devenus la menace informatique la plus pesante pour les entreprises. La France serait le troisième pays le plus touché au monde, après l’Inde et l’Australie, par ce type d’attaques. Axa est la première compagnie d’assurance internationale à réagir face à la croissance de ce type de cybermenaces. Elle a annoncé début mai que ses polices d’assurances ne prendraient désormais plus en charges les frais engagés par les entreprises qui ont cédé aux ransomwares et qui ont payé la rançon. D’autres compagnies pourraient suivre le mouvement. Une réaction peu surprenante – les autorités ayant demandé à stopper cette pratique de paiement systématique des rançons- qui oblige les entreprises à vérifier leur politique d’assurance. Selon Marine Hardy, directrice des Pôles Innovations et Sécurité au sein du cabinet Itlaw, les entreprises doivent en premier lieu se renseigner sur la couverture de leur contrat d’assurance. » Certaines polices sont négociées au niveau du groupe et non par filiale, ou pour différents services. Il est donc intéressant d’avoir une cartographie et une analyse globale pour éviter de contracter une assurance que l’on a déjà et surtout de se rendre compte des termes exacts de la couverture et notamment de son étendue. Le marché cyber étant évolutif et inventif, il peut être judicieux de ne pas s’enfermer dans un contrat qui ne couvre que certaines fraudes afin de ne pas devoir négocier des extensions de garanties chaque année. Il est important de clarifier les définitions et les terminologies afin de bénéficier d’une couverture des risques exempte d’ambiguïté », explique-t-elle. Négocier les frais de procédure et les possibles sanctions administratives Les entreprises doivent ainsi privilégier les contrats qui proposent des couvertures très larges des dommages comme les pertes des données et l’ensemble des frais opérationnels, informatiques et juridiques liés à l’attaque (frais d’expertise, de gestion de l’incident et de la crise, frais de reconstitution des données, réparation du système d’information, frais liés à une enquête administrative). » Certains assureurs proposent également la prise en charge des frais de procédure, ce qu’il est intéressant d’anticiper car le volet pénal est une composante du risque cyber « , ajoute Marine Hardy. Il faut par ailleurs regarder de près la liste des exclusions prévues par les contrats d’assurance. Certains prévoient des clauses d’exclusion classiques -si la fraude est déjà connue des assurés par exemple-, qui engendrent la non prise en charge en cas du risque. » Certains assureurs ont adapté leurs exclusions de garantie aux spécificités du risque cyber et refusent depuis peu d’indemniser leurs clients qui n’ont pas oeuvré dans la prévention des sinistres informatiques. Ainsi, de nombreux contrats d’assurance imposent le suivi d’un panel de mesures à mettre en oeuvre tel que par exemple la mise en oeuvre de sauvegardes récurrentes permettant la reconstitution des données, des modalités de changements de mots de passe régulièrement, d’utiliser certains programmes sécurisés, de mener des actions de sensibilisation envers les salariés et les clients. Pour être couvertes, les directions financières et informatiques vont donc devoir prouver qu’elles ont mis en oeuvre ces mesures. Il faut donc identifier et lister avec son assureur les dispositifs à mettre en place afin de les insérer dans le contrat d’assurance, et ainsi s’assurer que telle action suffit à obtenir une indemnisation « , analyse l’avocate. Dernier point à négocier avec son assureur : la prise en compte dans sa police d’assurance des sanctions administratives financières par exemple de la CNIL. Toutefois, le sujet de la légalité de telle police d’assurance fait encore débat. » Quand on connaît une attaque cyber, il y a très souvent par la suite des contrôles et des sanctions financières de la part des autorités de contrôle qui infligent des amendes aux entreprises négligentes au regard de leurs obligations de protection des données « , constate Marine Hardy. Source : Daf-Mag Pour en savoir +, contactez-nous
ING : UNE FRAUDE VIA APPLE PAY TRÈS SOPHISTIQUÉE
Votre banque vous appelle pour vous signaler une tentative de fraude via Apple Pay ? Attention ! C’est par ce stratagème que des clients d’ING se sont fait avoir ! Et cette fraude est particulièrement dangereuse puisque faire opposition sur la carte ne suffira pas… Une fraude via Apple Pay « J’ai été, comme de nombreux autres clients d’ING victime d’un phishing très élaboré reposant sur Apple Pay », nous alerte cette semaine un lecteur. En effet, le cas de ce client n’est pas isolé, comme en témoigne la discussion en cours sur le site communautaire d’ING. Un client explique avoir reçu un appel, fin juin, provenant d’un numéro identifié comme étant l’un de ceux utilisés habituellement par ING. La personne malveillante à l’autre bout du fil alerte ce client d’activités suspectes sur son compte courant… avec « tentatives de prélèvements d’argent par le système Apple Pay ». Le fraudeur se montre très persuasif malgré la méfiance du client, et il parvient à le convaincre de modifier ses identifiants ING en ligne, puis à activer Apple Pay via un code reçu sur le smartphone du client. « En rentrant du travail, je me rends compte que je me suis probablement fait avoir et je me connecte sur mon compte. Je constate alors plusieurs prélèvements d’un montant total de 1 343,60 euros », poursuit ce client. S’enclenche alors un cycle d’appels au service client, et des nouveaux prélèvements frauduleux malgré l’opposition immédiate faite par ce client sur sa carte bancaire. Contactée par MoneyVox, la banque confirme avoir été sollicitée « par quelques clients qui ont été victimes de fraudes » : « Ces fraudes commencent le plus souvent par du phishing : les fraudeurs ont récupéré des informations sur les clients sur internet ou en se faisant passer pour des tiers de confiance lors d’appels téléphoniques. Ils utilisent des sites qui proposent de choisir le numéro qui s’affiche quand on appelle, afin que ce soit le numéro d’ING qui apparaisse quand ils appellent. (…) Jamais un conseiller ING ne demandera ses codes personnels à un client, ni de faire un virement pour une quelconque raison. » ING ajoute une précision d’importance concernant l’opposition réalisée sur la carte bancaire du client : « Il faut rappeler qu’Apple Pay n’est pas lié à une carte bancaire en particulier, mais à un “token”, un identifiant unique. Ce token a visiblement été installé sur le téléphone des fraudeurs avec l’aide des informations que les clients leur ont communiquées, car le processus d’activation d’une carte dans Apple Pay est soumis à une double authentification. » Cette subtilité rend cette fraude encore plus piégeuse… La banque affirme lutter « avec la plus grande fermeté » contre toutes les arnaques dont sont victimes ses clients. La complexité de cette fraude et sa résolution hypothétique incitent toutefois plusieurs clients à porter plainte contre leur banque, comme ils l’affirment sur le site communautaire. Suite à cette fraude sophistiquée, se lance donc un feuilleton opposant banque et clients… Fraude : la délicate question de la négligence Qui est responsable ? Et in fine qui doit payer la facture de la fraude ? Ces mêmes questions se posent systématiquement à chaque affaire de phishing. Dans l’absolu, sans présager de l’issue du conflit opposant sur cette affaire ING à plusieurs clients victimes, il faut savoir que la réglementation limite fortement les risques pour les clients bancaires, face à la fraude. Lorsqu’une affaire est portée en justice, c’est à la banque de prouver que le client a été particulièrement négligent. Source : Moneyvox
COVID, CYBER, CONFORMITÉ ET ESG : LE TOP 4 DES RISQUES DU SECTEUR FINANCIER
Selon un nouveau rapport d’Allianz Global Corporate & Specialty (AGCS), intitulé Financial Services Risk Trends: An Insurer’s Perspective, les établissements financiers et leurs administrateurs évoluent dans un monde en rapide mutation, marqué par des risques nouveaux et émergents, générés par leur exposition cyber, due à leur dépendance à la technologie, au durcissement de la réglementation (conformité) et à la crise de la Covid-19. Dans le même temps, de nombreuses parties prenantes examinent de plus en plus attentivement leur comportement et leur culture en matière de développement durable, de pratiques d’emploi, de diversité et d’inclusion, et de rémunération des dirigeants. Dans son rapport, AGCS met en évidence les principales tendances de risques pour les banques, sociétés de gestion, fonds de capital-investissement, assureurs et autres acteurs du secteur des services financiers. D’après le classement du Baromètre des risques 2021 d’Allianz, qui analyse les opinions de plus de 900 professionnels, les incidents cyber, la pandémie et l’interruption d’activité sont les trois principaux risques. Arrivent ensuite les évolutions législatives et réglementaires, concernant notamment les questions ESG et le changement climatique. Les évolutions macroéconomiques, telles que la hausse du risque de crédit et l’environnement de taux d’intérêt bas, se placent en cinquième position. Les conclusions du baromètre des risques sont confirmées par l’analyse d’AGCS, effectuée sur 7 654 sinistres survenus dans les services financiers au cours des cinq dernières années, et s’élevant à quelque 870 millions d’euros. Les incidents cyber, y compris d’origine criminelle, se classent en première position par le montant des pertes, suivis d’autres causes majeures de sinistres, comme la négligence et les actions dérivées, intentées par les actionnaires. L’impact de la Covid-19 Les établissements financiers redoutent les effets probables des mesures mises en place par les gouvernements et les banques centrales contre la pandémie : baisse des taux d’intérêt, augmentation de la dette publique, ou réduction progressive des aides et prêts aux entreprises. D’importants ajustements ou corrections des marchés (actions, obligations ou crédit) pourraient multiplier les litiges avec les investisseurs et les actionnaires. La hausse du nombre de défaillances d’entreprises pourrait aussi peser sur les bilans de certains établissements financiers. Les risques cyber : une exposition élevée malgré un important investissement dans la sécurité La Covid-19 offre également un terrain favorable aux délinquants qui profitent de la crise, avec le développement rapide et imprévu du télétravail, du commerce électronique et du numérique. Malgré un fort investissement en cyber-sécurité, les entreprises de services financiers sont une cible attrayante. Elles font ainsi l’objet de nombreuses cyber-menaces, telles que la compromission d’e-mails, le ransomware, le “jackpotting” – ou piratage de distributeurs automatiques – et l’attaque de chaînes d’approvisionnement. La récente affaire SolarWinds, qui a visé des banques et des organes de l’administration, a mis en évidence la vulnérabilité du secteur financier aux pannes de système, en raison de sa dépendance aux prestataires de services tiers. La plupart des établissements financiers utilisent aujourd’hui des logiciels cloud, ce qui accroît leur dépendance à un petit nombre de prestataires. Lorsque la situation tourne mal, ils sont exposés à des risques élevés d’interruption d’activité, mais aussi de responsabilité civile. Les prestataires de services tiers peuvent constituer le maillon faible de la cyber-sécurité. Une banque cliente a récemment subi une importante violation de données, parce qu’un prestataire tiers n’avait pas supprimé des informations personnelles avant de mettre un matériel au rebut. La façon dont les établissements financiers pilotent les risques liés au cloud s’avérera essentielle à l’avenir. Ils transfèrent déjà une grande part de leurs responsabilités en matière de cyber-sécurité à des tiers. Les risques de conformité liés à la cyber-sécurité, aux crypto-monnaies et au changement climatique Dans son rapport, AGCS fait état d’une évolution radicale dans la vision réglementaire de la confidentialité des données et de la cyber-sécurité, au cours de ces dernières années. Celle-ci a entraîné un foisonnement de règles auxquelles les banques doivent se conformer. Contrôles plus stricts, amendes et pénalités plus élevées, mise en cause de la responsabilité civile, actions en justice… les conséquences d’une violation de données peuvent être considérables. Après plusieurs pannes de système touchant des banques et des sociétés de services de paiement, les régulateurs s’intéressent de plus près à la continuité d’exploitation, à la résilience opérationnelle et à la gestion du risque de responsabilité civile. Les entreprises doivent non seulement veiller à leur cyber-sécurité, mais aussi mettre en œuvre une politique de conformité et de confidentialité. Les applications des nouvelles technologies – intelligence artificielle (IA), biométrie et monnaies virtuelles – pourraient créer d’autres risques et responsabilités, notamment en matière de conformité et de réglementation. En ce qui concerne l’IA, plusieurs enquêtes du régulateur américain ont déjà été ouvertes pour des préjugés implicites dans les algorithmes d’évaluation du risque de crédit. Un certain nombre d’actions en justice visent également la collecte et l’utilisation de données biométriques. Par ailleurs, l’acceptation grandissante des monnaies virtuelles et autres crypto-monnaies en tant que classe d’actifs présente des risques opérationnels et réglementaires pour les établissements financiers. L’éventualité de bulles d’actifs s’ajoute aux préoccupations concernant le blanchiment de capitaux, les attaques par ransomware, les risques de responsabilité civile, voire les questions ESG, telles que la consommation d’énergie liée au “minage” ou à la création de crypto-monnaies. Enfin, la croissance des investissements sur les marchés actions, encouragée par les réseaux sociaux, provoque des suspicions de vente abusive, qui constitue déjà l’une des principales causes de sinistres d’assurance. La montée en puissance des questions ESG Les banques et les marchés financiers apparaissent comme d’importants acteurs du changement pour lutter contre le réchauffement climatique et encourager le développement durable. Là encore, c’est la réglementation qui impose son rythme. Depuis 2018, plus de 170 dispositions sur les ESG ont été introduites dans le monde, dont une grande partie en Europe. Pour les prestataires de services financiers, la profusion des normes, l’hétérogénéité des approches entre pays et le manque de données disponibles soulèvent des difficultés majeures sur le plan opérationnel et de la conformité. « En ce qui concerne les critères ESG, les services financiers sont en avance sur de nombreux autres secteurs. Ces questions resteront toutefois un facteur important
Sis id, partenaire de mata, pour mutualiser les solutions de sécurité des paiements
Sis ID est une fintech française, créée en 2016, dont la spécialité est d’accompagner les moyennes et grandes entreprises dans la lutte contre la fraude aux virements bancaires. Avec l’explosion ces dernières années des fraudes aux moyens de paiements, cette startup a développé une plateforme permettant aux entreprises de sécuriser leurs virements. Pourquoi développer un outil de lutte contre la fraude au virement bancaire ? Laurent Sarrat, fondateur et CEO de la start-up Sis ID, est un ingénieur informatique orienté produit qui a passé une partie de sa carrière chez Sanofi, puis comme consultant pour Capgemini. En 2016, sous l’impulsion d’un des cofondateurs, Attestation Légale, ils réunissent une quinzaine de directeurs financiers et trésoriers pour les faire travailler sur une problématique commune rencontrée par tous : la fraude au virement bancaire. Sujets ou victimes, ils n’ont pas de solutions automatisées pour se protéger de la fraude et utilisent des processus manuels qui reposent essentiellement sur l’humain, sa connaissance du contexte et du fournisseur. C’est comme ça que naît Sis ID. « Quand nous avons commencé, l’entreprise n’existait pas, le produit non plus. Notre ADN est essentiellement collaboratif. Nous sommes plus forts ensemble que seul et c’est d’autant plus vrai dans la lutte contre la fraude. Pour un fraudeur, frauder c’est son métier. Pour une entreprise, lutter contre la fraude n’est pas son métier donc elle tente de faire ce qu’elle peut. La sécurité est un domaine très compliqué à gérer. Si Microsoft, Apple et Facebook se font hacker, une entreprise dont ce n’est pas le métier peut l’être aussi. Le seul moyen de résister est de s’unir. » De cette collaboration naît un outil qui permet de vérifier que des coordonnées bancaires appartiennent bien à une entreprise. Grâce à son réseau de plus de 10 000 entreprises, Sis ID permet le contrôle de centaines de milliers de coordonnées bancaires chaque mois via sa plateforme SaaS qui sécurise les coordonnées de paiement des tiers, clients et fournisseurs au-delà des frontières de l’entreprise (+ de 32 pays). La mutualisation du collectif pour contrer la fraude au paiement Les entreprises victimes de fraudes ou de tentatives de fraude peuvent directement alerter la communauté sur la plateforme My Sis ID. Cette mutualisation des efforts prend la forme de la mise en commun d’historiques de paiements via une base de données mutualisées. Sis ID ne se contente pas de fournir un référentiel fournisseurs basique : les données, anonymes et sécurisées, font l’objet d’analyses dans le volume d’informations des paiements. « Nous avons créé un écosystème d’entreprises qui lutte contre la fraude. Nous devons une parfaite transparence à notre communauté sur la manière dont nous travaillons même si nous utilisons des technologies complexes : machine learning, big data, blockchain…» SEPAmail DIAMOND pour vérifier les coordonnées bancaires Fin 2017, SEPAmail DIAMOND sort sur le marché pour lutter contre la fraude au virement. Les banques ont la possibilité de vérifier les coordonnées bancaires de leurs titulaires directement auprès de leurs banques. SEPAmail DIAMOND ne couvre cependant pas la totalité du paysage français car toutes les banques n’y adhèrent pas (70% seulement), ainsi que d’autres services de vérification de validité des comptes (affacturages, paiements à l’étranger, …). Aussi, en 2020, BNP Paribas & Sis ID s’associent pour offrir à leurs clients une solution qui ouvre désormais la voie de l’international pour permettre aux entreprises de valider l’ensemble des coordonnées bancaires de leurs tiers aussi bien en France que dans le reste du monde. « Nous sommes à la croisée des chemins : nous travaillons avec les corporates et nous travaillons avec les banques. Nous sommes une Fintech qui est accélérée par la banque. Notre positionnement est différent par rapport à ce que l’on retrouve sur le marché. Nous aidons nos clients à certifier leurs paiements à l’international.» Comment ce partenariat entre Sis ID et Mata a-t-il pu voir le jour ? Laurent Sarrat s’est naturellement trouvé des affinités avec Mata, spécialiste de la sécurisation des flux financiers et éditeur de la solution MATA I/O. Le pragmatisme, le professionnalisme, la proximité avec le client et les solutions proposées correspondant aux besoins du marché ont tout de suite intéressé Sis ID. Les solutions de Mata complètent le scope de produits sur la thématique du contrôle continu des tiers et de la fraude aux paiements. L’objectif commun des deux structures est de simplifier la vie des clients. Quand Sis ID propose un référentiel unique, sécurisé et centralisé en interrogeant l’exactitude de ce compte (Siren, N° de TVA intra, N° Duns, …), Mata I/O propose une détection de la fraude en continu et en temps réel en intégrant sa solution dans le SI du client. 1. Contrôle continu du tiers automatisé Lorsqu’un changement sur un tiers est détecté grâce à la base tiers référente de MATA I/O, la solution interroge automatiquement Sis ID pour tester le couple identifiant/coordonnées bancaires. La réponse est donnée en temps réel au valideur en responsabilité de ce tiers qui pourra ensuite être mis à jour dans l’ERP ou autre application de gestion du client (paie, moyens de paiement …). 2. Contrôle des virements Mata I/O dispose d’une formathèque qui lui permet de tester n’importe quel fichier de règlements et de vérifier que le compte payé est bien celui du tiers. Lors de chaque campagne, les règlements sont automatiquement pris en charge par MATA I/O qui les teste par comparaison avec la base tiers référente. Les ordres suspects sont mis en quarantaine dans un coffre-fort numérique dont ils ne sortiront qu’après validation par un valideur accrédité. Si l’ordre se révèle être une fraude, il peut être supprimé de la remise qui sera automatiquement recalculée et produite au format attendu par la banque. A ce contrôle sur IBAN, on peut rajouter des contrôles supplémentaires de récurrence ou d’anomalie sur montant par catégorie de tiers, mais aussi sur listes blanches ou noires de pays. « En associant le savoir-faire de Mata et de Sis ID, nous pouvons proposer un seul produit au client qui lui simplifie son quotidien. Nous pouvons nous concentrer sur nos métiers respectifs, suivre les évolutions de la fraude
LES 5 PRINCIPALES MENACES DES CYBERCRIMINELS VISANT LE SECTEUR BANCAIRE
Selon une étude VMware Carbon Black : le secteur bancaire a connu une recrudescence d’attaques informatiques des cybercriminels en 2020. Désormais sur un système ouvert, l’infrastructure est fragilisée et ce secteur doit faire face à des méthodes de plus en plus sophistiquées. Aujourd’hui, les institutions financières sont confrontées à une vague de logiciels malveillants développés sur mesure ainsi qu’à l’attaque sans fichier (fileless attack), désormais répandue. C’est ce que confirment les auteurs de la dernière enquête du bureau d’études spécialisé VMware Carbon Black menée auprès des responsables de la sécurité informatique des plus grandes institutions financières du monde, les cybercriminels ont profité des brèches favorisées par le recours accru au télétravail pour multiplier les attaques. « Les logiciels malveillants sont souvent utilisés dans des campagnes plus longues et plus complexes. L’objectif est d’exploiter les outils natifs du système d’exploitation pour rester invisible ou prendre pied sur un système (parfois un partenaire de la chaîne d’approvisionnement) pour se rendre sur une cible plus importante et plus lucrative », lit-on dans ce rapport. Voici quelques chiffres clés extraits de cette enquête : 38 % des institutions financières ont connu une augmentation d’attaques par Island Hopping, (piratage d’une société tierce en relation avec la cible). Cette technique, qui s’apparente à une réelle prise d’otage, détruit également la stratégie de marque des institutions financières en attaquant directement leurs clients. La moitié d’entre elles ont observé une augmentation des fraudes par virement électronique, que ce soit via des attaques du type « l’homme du milieu » ou « man in the middle attack » (MiTM) ou de phishing. La même proportion a subi des attaques qui ciblaient les stratégies de marché. Les cybercriminels ont appris que l’actif le plus précieux d’une banque est l’information non publique sur le marché, qui peut être utilisée pour faciliter les attaques numériques d’initiés. Le piratage de l’ordinateur portable d’un gestionnaire de portefeuille permet aux cybercriminels de devenir omniscients. Voici les cinq principales menaces selon VMware Carbon Black : 1. Emotet, un cheval de Troie qui se propage principalement par le biais d’e-mails de spam contenant des documents ou des liens malveillants activés par des macros documents ou des liens malveillants activés par des macros. 2. Dridex, encore un cheval de Troie bancaire qui agit comme un voleur d’identifiants bancaires, un système de diffusion de ransomware et un système de contrôle d’accès à distance. 3. Trickbot est une menace qui cible le secteur financier, fournissant des modules qui prennent en charge le vol d’identifiants bancaires et de crypto-monnaies, ainsi que des ransomwares. 4. Qbot est également connu sous le nom de Qakbot. C’est une menace polyvalente qui prend en charge un certain nombre de modules (de l’accès à distance à l’authentification). 5. Hancitor est une menace moins connue qui a fait son retour au début de l’année 2021. Elle agit principalement comme un mécanisme de livraison pour une pléthore d’autres menaces. Elle a souvent utilisé des documents DocuSign pour inciter la victime à activer les pièces jointes malveillantes. Dans ce contexte délétère, 82 % des institutions financières interrogées prévoient d’augmenter leur budget de 10 à 20 %.La majorité des RSSI s’efforcent de combler leurs lacunes en matière de modernisation contextuelle et applicative. Leurs priorités d’investissement sont les suivantes : Détection et réponse étendues (XDR) (24 %) Le renseignement sur les menaces (23 %) Sécurité des Workloads (21 %) Sécurité des conteneurs (18 %). Pour VMware Carbon Black, la cybersécurité est devenue un impératif de protection de la marque. La confiance dans la sécurité et la fiabilité du secteur financier en dépendent. Mais ce secteur laisse trop trainer de données sensibles… Source : Itsocial
Témoignage client : norauto
NORAUTO est un réseau d’établissements privés à caractère commercial dans le domaine de l’entretien automobile. Afin d’améliorer la sécurité des virements, Norauto a décidé de s’appuyer sur Mata IO pour implémenter SEPAMAIL DIAMOND au sein de son infrastructure. « Nos objectifs portaient sur la nécessité de protéger nos données, de contrôler les échanges et de sécuriser les virements. Nous avons alors sollicité MATA pour ses compétences sur le sujet. » Monsieur Derveaux, Trésorier Norauto France et International. ETABLISSEMENT : Norauto est leader européen de l’entretien automobile depuis plus de 50 ans. CONCEPT : Le réseau Norauto est déployé en France et partout dans le monde, il est composé de plus de 6.500 collaborateurs qui travaillent dans 400 centres et reçoivent 4 millions de clients par an. Le concept de « Centre Norauto » est innovant et original. Norauto est le premier prestataire de services autos à associer sous un même toit, un atelier d’entretien et de réparation automobile, une surface de vente de pièces détachées et d’articles liés à tous les types de mobilités (auto, vélos, scooters…). LOCALISATION : France et partout dans le monde SOLUTION : Sepamail Diamond déployé par MATA BENEFICES : Renforcement de la sécurité des paiements. INTEGRATEUR : MATA, avec un accompagnement efficace, professionnel et dans le respect des délais. Une équipe pour gérer les enjeux du projet Norauto Ce réseau en pointe dans sa catégorie de services, recherche l’amélioration continue et s’appuie sur des valeurs fortes : le partage, l’esprit entrepreneurial, la responsabilité et l’enthousiasme. Le pôle trésorerie de Norauto & Norauto international est gérée par équipe de 8 personnes. Elle est composée d’un Crédit Manager, de deux Trésoriers opérationnels qui couvrent la gestion de trésorerie quotidienne, de quatre Comptables flux financiers qui couvrent la comptabilité bancaire des centres et enfin d’un Responsable du service trésorerie, qui coordonne l’équipe et synchronise les actions avec le réseau. En sa qualité de Trésorier Norauto France et International, Mr Derveaux s’est attaché à déployer une solution à la hauteur des exigences du Groupe en matière de sécurité des virements dans les entreprises de « retail » : « Lors d’une réunion de travail et de synergie des services financiers, nous avons abordé la question de sécurité des virements dans un univers toujours plus digital où la fraude à la modification des données bancaires s’insinue dangereusement. Dans ce cadre, nous nous sommes fixés des objectifs ambitieux pour lesquels nous devions trouver des prestaires de service compétents. Nos objectifs portaient sur la nécessité de protéger nos données, de contrôler les échanges et de sécuriser les virements. Nous avons alors sollicité MATA – entre autres – pour ses compétences sur le sujet. » Les critères qui nous ont amenés à retenir la solution de Mata L’efficience du diagnostic : l’adéquation est totale entre, le besoin énoncé, les fonctionnalités demandées et, la solution SEPAMAIL DIAMOND déployée, bien centrée sur la protection des données dans l’environnement existant ; La compétence et l’honnêteté : « Nous avons recherché des solutions chez plusieurs prestataires et nous avons retenu MATA sur la base de son professionnalisme, sa souplesse, sa capacité à s’adapter et à avoir une démarche droite et honnête. À tous moments nous avons été informés du potentiel de la solution mais aussi de ses limites. » Un point essentiel pour avoir une vision réaliste du projet pour Mr Derveaux, Trésorier Norauto France et International. L’esprit d’innovation et la réactivité face aux contraintes techniques ; L’accompagnement toujours sérieux et positif ; MATA a porté le contrat principal pour Norauto auprès de la banque avec laquelle l’accord était en cours, « ce qui allège considérablement le travail administratif et juridique », appuie Mr Derveaux ; Le respect des délais, avec un déploiement qui a duré moins de 24 mois depuis la réunion de travail initiale. Dans ce délai est inclus le développement d’une API bancaire ! Enfin, le tarif est aussi parfaitement adapté au niveau de prestation. La Mise en œuvre de la solution SEPAMAIL DIAMOND chez Norauto « Ce qui ressort c’est une grande réactivité, tout a été étonnamment rapide et le rétroplanning initial a été respecté ». L’API de la banque a été connectée en moins d’un mois en partant de zéro. L’exploitation du logiciel et ses apports Norauto utilise SEPAMAIL DIAMOND déployé par MATA en aval de l’existant afin de sécuriser les données fournisseurs dès leur entrée dans la fiche fournisseur dédiée. Une approche innovante et originale qui s’appuie sur l’API bancaire pour la mise à disposition des données. Le gain RH est clair, c’est un ETP qui est libéré pour d’autres tâches au sein du service, et le temps de réponse qui pouvait s’allonger jusqu’à deux semaines prend aujourd’hui moins de 2 secondes ! En deux mois, plus de 550 demandes ont été émises et validées pour plus de 80% d’entre elles. Une performance annoncée après audit et atteinte dès la mise en œuvre. Les 100% ne sont pas atteints car certaines banques ne proposent pas encore le dispositif SEPAMAIL DIAMOND. La sécurité de flux est maximale, c’était la priorité de Norauto. A l’heure du bilan Le service délivré par les équipes MATA a été résumé en quelques mots par Mr Derveaux : « Facilité d’échange, capacité d’adaptation, honnêteté, mise en place solide et efficace, accompagnement fluide, adapté au contexte, au rythme et aux délais… Nous sommes extrêmement satisfaits de MATA qui a su répondre à 100% à nos besoins. » Voir le témoignage d’un autre client
COMMENT BIEN INVESTIR DANS LA CYBERSÉCURITÉ ?
For a long time, some large companies, not all of them, did not sufficiently consider the importance of cybersecurity strategies. They have learned the hard way that it is better to invest to protect themselves than to suffer attacks. Today, while large companies are mobilizing the necessary budgets to protect themselves against cyber-attacks, in France, SMEs and ETIs still invest little in cybersecurity . These companies are less aware of the risks that accompany a cyber-attack , and consider that the protection of IS is a lesser issue for them since their notoriety, less important than large companies whose setbacks were still recently mentioned in the press, will not make a difference. they are the target of hackers . Mechanically, they therefore often wait to be victims of ransomware to understand that cybersecurity also concerns them. However, the GDPR has changed the situation. From now on, companies are legally obliged to reveal any security breach that would affect them to the general public and to the CNIL. Protecting oneself has therefore become an image issue for both small and large companies. However, this investment, while unavoidable, represents a non-negligible cost and new budgets. To assume them, two profiles emerge: some release lines and the corresponding budgets immediately, others want a financing plan over 3 to 5 years. In any case, each company must be able to invest according to its portfolio. Following the many technological developments , has the way of investing evolved ? The budgetary envelopes dedicated to cybersecurity have not changed drastically, but the way of investing is no longer the same. Indeed, the value of hardware has decreased, and software is gradually being replaced by software as a service (Saas). From an accounting point of view, these two types of investment are different: we no longer buy equipment, with a fixed cost that can be scaled ; now we are moving to a software subscription model . This new way of consuming cybersecurity tools is part of a context of the advent of outsourced solutions : more and more companies want to adopt a payment corresponding to a service. This evolution towards a SaaS mode is explained in particular by a modification of the infrastructures: where it was enough to protect a server on a defined zone a few years ago, today, in the era of mobile phones, tablets, and connected objects (the car fleet for example) the challenge for companies is to protect their nomadic users (whether they are their employees or their customers). What are the business benefits of investing in cybersecurity? Investing in cybersecurity in SaaS mode has many advantages for companies, including a lower investment cost since there is no structure to finance. In addition, the purchasing departments can request monthly payments according to the subscription, to stagger the expenditure if necessary. The challenge is to regulate these new practices by supporting publishers and resellers who are facing a sudden change in business model. When a publisher is accustomed to selling licenses and receiving the fee the moment the sale is made, switching to a subscription can cause significant cash flow problems: in 14/15 months, the working capital requirement is equivalent with a turnover of approximately one year! It is therefore necessary to put in place specific contracts to overcome this and help them to preserve their cash flow during this change. Of course, the two models can coexist. The publisher alone has the key to this development: it is he who drives this trend on the market . Microsoft did it for its Office suite, Cegid switched to a licensing model… The BFR issue is the same for resellers, moving from one model to another. It is necessary to support both publishers and its network of integrators in this development by adapting to their needs and creating specific tailor-made contracts (payment plans, so-called « subscription » or » subscriptions »). Source: DAF-MAG
FRAUDE ET CYBERCRIMINALITÉ
Selon l’Etude « Fraude et Cybercriminalité » 2017 réalisée par Euler Hermes et la DFCG, les dispositifs permettant de déjouer les fraudes sont avant tout les « réactions ou initiatives humaines personnelles ». Cette année, les entreprises ont subi de nouvelles fraudes essentiellement « cyber », avec notamment une explosion des ransomware, en plus des traditionnelles escroqueries fondées sur l’usurpation d’identité. Pour beaucoup de financiers d’entreprise, désormais les tentatives de fraudes au « faux président », au « faux fournisseur », voire « au faux client » font partie du quotidien. Selon l’édition 2017 de l’étude, 81 % des entreprises ont été attaquées au cours de l’année passée. C’est un peu moins qu’en 2016… mais il n’y a pas de quoi se réjouir : « Nous pensons que certaines tentatives de fraudes sont devenues tellement courantes aujourd’hui qu’une partie des responsables n’en fait plus grand cas », indique Sébastien Hager, responsable souscription assurance fraude chez Euler Hermes. On retrouve au premier rang, sans surprise, la « fraude au président », qui a représenté 58 % des tentatives de fraude subies par les entreprises. « Au début, ce type de fraude ciblait avant tout les très grosses entreprises. Elle s’est désormais internationalisée et démocratisée, et touche aujourd’hui les PME », note Sébastien Hager. Viennent ensuite les « cyber-fraudes », avec 57 % des tentatives (contre 32 % l’année dernière), « dans lesquelles l’ensemble de l’escroquerie est informatique, depuis le point d’entrée jusqu’au point de sortie », précise Sébastien Hager. L’an passé a surtout vu l’arrivée massive des « ransomware » – ou « logiciels extorqueurs » –, avec des tentatives de fraude sur 22 % des entreprises interrogées, mais aussi le retour des attaques par dénis de service ou encore la multiplication des vols de données. Suivent la « fraude au faux-fournisseur » (55 %) et de nombreuses autres tentatives d’usurpation d’identité (29 %), dans lesquelles un criminel tente de se faire passer pour une banque, un avocat, un commissaire aux comptes, etc. dans le but d’obtenir un paiement de l’entreprise. Enfin, les détournements de marchandises ou fraudes au « faux client » ont l’an dernier représenté quelque 26 % des tentatives. « C’est un risque réel et sérieux, qui n’épargne que les entreprises de services, ou celles qui produisent du sur-mesure », constate Sébastien Hager. « Les résultats de l’étude sont tout à fait en ligne avec ce que nous constatons sur le terrain, dans les entreprises. La fraude au président – ou au faux virement – est toujours très présente, mais nous notons également un véritable développement de la cyber-fraude avec, notamment, de plus en plus de ransomwares », souligne Sophie Macieira-Coelho, vice-présidente de la DFCG. Les Réactions humaines Les méthodes ayant permis de déjouer les fraudes sont avant tout les « réactions ou initiatives humaines personnelles » (53 %), devant les procédures de contrôle interne (28 %) et les dispositifs techniques et informatiques (19 %). « Avec la digitalisation et l’augmentation des possibilités d’intrusions informatiques dans les entreprises, la fraude prend un nouveau visage : elle devient plus massive et peut se propager plus rapidement. Pour lutter efficacement, il faut élaborer une cartographie des risques de fraude, déployer l’environnement de contrôle ad hoc pour, à la fois, prévenir et traiter la fraude – ce qui implique des outils et des process – mais aussi former et éduquer les équipes. La réaction humaine est souvent à l’origine des fraudes déjouées, assure Sophie Macieira-Coelho. Les leviers utilisés par les fraudeurs sont toujours les mêmes : l’urgence, l’autorité et la confidentialité. En réponse, les outils et le contrôle interne sont nécessaires, mais il ne faut pas négliger la formation et un mode de management fondé sur la confiance ». De fait, 89 % des entreprises ont mis en œuvre des formations ou des sensibilisations de leurs équipes, 80 % ont renforcé leurs procédures de contrôle interne, 45 % pratiquent des audits de sécurité sur leurs systèmes d’information, et 29 % réalisent des tests d’intrusion. Néanmoins, les fraudeurs gagnent encore souvent : 20 % des entreprises reconnaissent avoir subi des pertes suite à une attaque. « Les chiffrages des pertes sont difficiles car certaines fraudes visent des détournements gigantesques et l’écart type est très important. 10 % des responsables interrogés estiment que le préjudice pourrait être supérieur à 100.000 euros dans leur entreprise », affirme Sébastien Hager. Dans un domaine où l’innovation est très vive, la vigilance reste plus qu’indispensable. D’autant que certaines entreprises semblent plus optimistes que… prêtes. « Les trois-quarts des entreprises se disent satisfaites de leur dispositif anti-fraude, mais 63% n’ont pas de plan d’urgence à activer en cas d’incident ! », s’étonne Sébastien Hager. Source : Business Les Echos