Parlez à

un expert

La fraude du président : une attaque encore beaucoup trop fréquente

fraude-president

Avez-vous entendu parler du type d’attaque qu’on appelle fraude du président? En novembre dernier, Le Quotidien racontait l’histoire d’une entreprise du Saguenay qui s’était fait dévalisée près d’1 million de dollars de cette manière. L’histoire avait fait parler d’elle. Surtout que cette entreprise était loin d’être la seule à avoir été visée. Selon les statistiques du Centre antifraude du Canada, en 2015, il y avait eu plus de 153 plaintes, dont 26 fraudes pour une somme de 642 000 dollars. Juste pour le Québec, les pertes ont atteint 119 820$ pour un total 30 plaintes.

Un peu moins d’un an plus tard, l’entreprise Emballage Cartier nous a raconté avoir vécu deux tentatives de fraude du président qui heureusement n’ont pas réussi. La dernière tentative a eu lieu il y a très peu de temps. La responsable des finances qui nous en a parlé s’est étonnée que les fraudeurs s’essayent encore. Sa perception est que le public est maintenant bien au courant que cette fraude existe.

Mais malheureusement, les gens oublient vite et la sensibilisation est un travail de longue haleine qui ne doit jamais cesser.

Une tentative de fraude du président crédible et élaborée

Les tentatives de fraude vécues par Emballage Cartier ressemblent à toutes les autres suivant le schéma Fraude du président, à quelques détails près.

Ainsi, l’entreprise s’est fait appeler à plusieurs reprises et la personne à l’autre bout du fil cherchait toujours à savoir qui était en charge des virements. Puis, finalement, les fraudeurs ont su qui était la responsable. Ils ont ensuite demandé le courriel de la personne auprès de la réceptionniste et lui ont envoyé un courriel frauduleux. Le courriel provenait de l’adresse officielle du président et demandait un virement d’urgence pour une situation très confidentielle. Il fallait que la responsable se connecte sur une plateforme externe qui allait permettre de faire le virement. Puis, quelqu’un allait la contacter pour lui donner plus d’informations.

Non seulement, le courriel citait la firme de comptable avec qui, ils faisaient habituellement affaire, mais le président était en déplacement cette semaine-là et n’était pas joignable tout de suite.

La demande paraissait très crédible.

Des bons réflexes et un processus systématique pour éviter la fraude

La responsable des finances a quand même pris le temps de bien lire le courriel de son président, puisque c’était une situation inhabituelle. Or, elle a tout de suite remarqué que le langage utilisé n’était pas comme à l’habitude. Par exemple, le président la vouvoyait alors que leurs échanges sont habituellement moins formels. Par contre, le niveau de langage utilisé aurait très bien pu être approprié dans une autre entreprise. Hormis ce détail, le courriel semblait très véridique.

Un peu plus tard, une personne l’a contactée en lui demandant si elle avait bien reçu le message. De son côté, elle leur a demandé de laisser leurs cordonnées pour qu’elle puisse réaliser des vérifications pour ensuite les rappeler. Mais la personne au bout du fil a argumenté que ce n’était pas nécessaire et a plutôt insisté en affirmant être en compagnie du président pour qui le virement était urgent et critique. Elle lui a demandé de parler au président, mais l’interlocuteur a refusé et a raccroché.

Par la suite, Emballage Cartier a eu le réflexe de demander à leur institution financière de resserrer le processus au niveau des virements. Ils ont par ailleurs sensibilisé tous les employés au risque de la Fraude du président. Lorsque la deuxième tentative a eu lieu, il y a très peu de temps, ils ont su comment réagir et n’ont pas laissé le temps aux fraudeurs de prendre le contrôle.

Avez-vous déjà vécu une situation similaire dans votre entreprise? Nous serions intéressés d’en savoir plus afin d’aider d’autres entreprises comme vous.

Vous croyez qu’une situation semblable se produit actuellement dans votre entreprise? Contactez-nous à notre numéro d’urgence. Le Groupe CyberSwat accompagne les entreprises dans la gestion d’incidents de sécurité.  En plus d’offrir ce service, notre équipe pourra vous accompagner dans les aspects ci-dessous :

  • analyse de vos risques en cybersécurité
  • programme de sensibilisation de vos employés
  • gestion de crise et communication avec les médias en plus d’une assistance juridique par le biais de nos partenaires;
  • services d’expertise judiciaire en informatique;
  • et plus encore!
Jean-Philippe Racine

Jean-Philippe Racine

Entrepreneur depuis 2009, Jean-Philippe Racine sait expliquer les concepts et les enjeux de sécurité à une clientèle d’affaires tout en restant au fait des derniers développements technologiques du marché. M. Racine détient une maîtrise en administration, option gouvernance, audit et sécurité des TI. Il s’est également spécialisé en obtenant plusieurs certifications, dont celle de CISA, de CISSP ainsi que le CCSK de Cloud Security Alliance.

Articles dans la même catégorie

Laisser un commentaire

3 réflexions au sujet de “La fraude du président : une attaque encore beaucoup trop fréquente”

  1. Ping : Conseil d'administration - comment bien comprendre les enjeux de sécurité
  2. Ping : Cyberswat et Extra Formation s'allient pour promouvoir la cybersécurité
  3. Ping : Cyberswat et Extra Formation s'allient pour promouvoir la cybersécurité

Laisser un commentaire

Nos publications Twitter

Politique de confidentialité

Assurance en cyberrisque

Vous êtes courtier en assurance et la cybersécurité est l’une de vos préoccupations? Vous cherchez à mieux comprendre les enjeux de sécurité de vos clients afin de mieux les conseiller? Nous pouvons :

  • Former le cabinet de courtiers à l’assurance en cyberrisque
  • Rehausser sécurité du client avant d’obtenir une assurance
  • Évaluer le niveau de risque du client pour le communiquer à l’assureur

Si vous avez une entente avec nous :

  • Évaluer le niveau de sécurité de l’entreprise pré et post incident
  • Identifier la source de l’incident et les couvertures d’assurance applicables
  • Gérer l’incident de sécurité du client afin de revenir à la normale rapidement
  • Collaborer avec les parties prenantes liées à l’incident (courtier, assureur, services juridiques, service de gestion de crise et de communication avec les médias, etc.)

Gestion d'incidents de sécurité

Vous voulez être prêt en cas d’incident de sécurité dans votre entreprise? Vous cherchez un accompagnement dans la mise en place d’un plan de gestion d’incident afin d’en minimiser au maximum les conséquences? Nous pouvons :

  • Évaluer l’impact des incidents qui vous guette (fuite de données, rançongiciel, etc.)
  • Mettre en place un plan de gestion d’incidents

Pour nos clients avec contrat de service:

  • Gérer l’incident de sécurité afin de revenir à la normale rapidement
  • Réaliser l’enquête de type forensique
  • Référer à nos partenaires en cas de besoins en matière juridiques, communication avec les médias, notification, etc.

Assurance en cyberrisque

Vous êtes courtier en assurance et la cybersécurité est l’une de vos préoccupations? Nous vous aidons à comprendre tous les enjeux de sécurité chez vos clients pour que vous puissiez leur offrir le meilleur service possible.

Client :

  • Accompagnement pour le choix de la formule en assurance avec votre courtier
  • Évaluation des risques les plus pertinents à couvrir
  • Mise en place des requis en sécurité pour être couvert par une assurance
  • Mise en place d’un plan de gestion d’incidents en incluant l’assureur

Courtier :

  • Évaluer le niveau de risque de vos clients
  • Sensibiliser vos clients à la cybersécurité pour baisser la probabilité d’un incident
  • Vous aider à mettre en place un plan de gestion des incidents de sécurité pour vos clients
  • Vous aider à mettre en place un plan de gestion des incidents de sécurité pour vos clients

Sécurité des services infonuagiques

Ne prenez pas à la légère les enjeux de sécurité du Cloud! Avec nous, vous bénéficierez de la souplesse du Cloud tout en diminuant les risques. Vous et vos clients serez rassurés de savoir vos données en sécurité.

  • Élaboration d’ententes de sécurité pour les fournisseurs
  • Formation des décideurs sur les enjeux du cloud
  • Révision des configurations d’outils infonuagiques en mode SaaS (Office 365, Google Suites, etc.)
  • Révision des configurations d’outils infonuagique en mode IaaS (Amazon web services, Microsoft Azure, Google Cloud Platform)
  • Aide à la migration sécuritaire de vos services vers le Cloud

Gouvernance de la sécurité

La sécurité informatique doit faire partie des préoccupations de la direction de votre entreprise. La mise en place d’une politique de sécurité et de la catégorisation des actifs sont notamment des éléments importants d’une stratégie efficace en cybersécurité.

  • Catégorisation des actifs 
  • Élaboration et révision d’architectures de sécurité
  • Élaboration de processus de sécurité (p. ex. : gestion des incidents de sécurité et catégorisation des actifs)
  • Rédaction de politiques, de directives et de cadres de gestion de la sécurité
  • Élaboration de plans d’action et de plans directeurs de sécurité
  • Rédaction d’avis de sécurité et de dérogations
  • Mise en place des meilleures pratiques ISO/CEI 27002 et COBIT
  • Élaboration d’ententes de sécurité pour les fournisseurs
  • Évaluation de maturité de pratiques de sécurité

Sensibilisation à la sécurité

Saviez-vous que l’hameçonnage est le vecteur n°1 pour réaliser des fraudes dans les entreprises? Diminuez les risques d’être victime d’incidents de cybersécurité grâce à nos ateliers de sensibilisation spécialement conçus pour vos employés.

  • Atelier de sensibilisation, sur place ou à distance, adapté à chaque corps de métier (employé, direction ou équipe technique)
  • Campagne de sensibilisation pour vos employés
  • Test d’hameçonnage (phising)
  • Mise à disposition d’une plateforme de formation à la cybersécurité en mode asynchrone.

Nous mettons toujours l’accent sur la vulgarisation des concepts et des enjeux de sécurité

Service-conseil en cybersécurité

Votre entreprise recherche un accompagnement à plein temps pour la gestion de la cybersécurité? Faites appel à nous! L’un de nos précieux talents se fera un plaisir de venir travailler dans votre entreprise au quotidien.

  • Correction des failles découvertes après un test d’intrusion
  • Accompagnement de projets visant le respect du cadre normatif de sécurité
  • Élaboration et révision d’architectures de sécurité
  • Élaboration de processus de sécurité (p. ex. : gestion des incidents de sécurité et catégorisation des actifs)
  • Mise en place d’une méthode d’analyse de risques dans votre organisation
  • Accompagnement à la sécurité d’une plateforme de gestion des appareils mobiles (BYOD)

Notre équipe est composée de conseillers en architecture de sécurité, d’analystes en sécurité, de conseillers en gouvernance, de spécialiste en Gestion des Identités et des Accès, de spécialiste en test d’intrusions, etc.

Sécurité des services infonuagiques

Ne prenez pas à la légère les enjeux de sécurité du Cloud! Avec nous, vous bénéficierez de la souplesse du Cloud tout en diminuant les risques. Vous et vos clients serez rassurés de savoir vos données en sécurité.

  • Aide à la sélection d’un fournisseur infonuagique
  • Évaluation du niveau de sécurité d’un fournisseur en infonuagique
  • Élaboration d’ententes de sécurité pour les fournisseurs

Évaluez les risques de votre entreprise

Protégez vos données les plus importantes et épargnez les coûts d’un incident de sécurité. Cyberswat vous aide à identifier les situations à risque et vous donne des recommandations concrètes et faciles à mettre en place.

  • Évaluation de risques basée sur ISO27005MEHARIEBIOS, etc.
  • Identifications des principaux scénarios de risque pour votre entreprise
  • Mise en place d’un processus de gestion du cyberrisque