Toutes les entreprises, peu importe leur taille, peuvent devenir la cible de fraudeurs. Apprenez à reconnaître les principaux stratagèmes utilisés et à adopter des comportements sécuritaires pour protéger votre entreprise.
1. L’hameçonnage
L’hameçonnage est un stratagème utilisé par de nombreux fraudeurs. Il consiste à envoyer des courriels et des textos d’apparence légitime ou à communiquer avec vous par téléphone ou par l’entremise des médias sociaux. L’objectif est de vous inciter à agir de manière impulsive et immédiate en vous invitant à cliquer sur un lien, à ouvrir un fichier ou à télécharger un document. Par la suite, les fraudeurs peuvent entre autres installer un logiciel malveillant dans votre appareil et ultimement voler des renseignements personnels ou des informations financières. L’hameçonnage peut mener à d’autres stratagèmes de fraude ou de cyberattaque. Selon Cybereco1, plus de 90 % des cyberattaques dans le monde débutent par un courriel d’hameçonnage.
2. Le rançongiciel
Un rançongiciel est un logiciel malveillant qui peut succéder à un hameçonnage et qui a pour but de prendre en otage les données de votre entreprise. Le cybercriminel vous demande le paiement d’une rançon pour restaurer vos données. Selon le Centre canadien pour la cybersécurité, « Les rançongiciels peuvent avoir de graves répercussions telles que l’interruption des activités principales, la perte permanente de données, le vol de propriété intellectuelle, des atteintes à la vie privée, des atteintes à la réputation et des coûts élevés de reprise2. »
3. Les fraudes par personnification
Pour atteindre ses objectifs, le fraudeur pourrait effectuer de nombreuses recherches sur votre entreprise et les habitudes de la personne qui la dirige, et passera souvent à l’action lorsque cette dernière sera en vacances ou absente. Les réseaux sociaux sont une mine d’or pour les individus malveillants. Faites attention aux informations que vous y publiez. Les fraudeurs peuvent copier l’identité visuelle et graphique d’entreprises ou d’institutions financières reconnues et avec lesquelles vous faites affaire.
L'arnaque du président
Également connue sous le nom d’arnaque du faux dirigeant d’entreprise, cette arnaque débute souvent après le piratage de la boîte de courriel de la personne dirigeant votre entreprise. Sous le couvert de cette adresse courriel, l’escroc communique alors avec un de vos employés autorisés à effectuer des transactions, comme une adjointe administrative, un acheteur ou un commis aux paiements fournisseurs, en prétextant une urgence ou une acquisition importante. Parfois, le piratage peut même avoir lieu chez un partenaire d’affaires. Le scénario se construit généralement au fil de plusieurs échanges où le secret est exigé.
L’arnaque du faux fournisseur
Après avoir piraté la boîte de courriel de l’un de vos fournisseurs habituels, le fraudeur demande que les paiements à l’attention de ce fournisseur soient faits dans un nouveau compte. Le fraudeur (faux fournisseur) vous demande donc de changer les coordonnées bancaires. Les paiements ne sont ainsi jamais versés à votre réel fournisseur.
L’arnaque du faux technicien
Un « technicien » informatique communique avec vous par téléphone. Il prétend devoir faire, par exemple, la mise à jour d’un logiciel, la décontamination ou la réparation de votre ordinateur. Pour vous convaincre, ce « technicien » affirme que la version de votre logiciel est désuète (ou contaminée) et qu’elle ne sera bientôt plus accessible. Il demande ensuite de se connecter à distance à votre ordinateur pour effectuer une « mise à jour ». Le fraudeur souhaite plutôt avoir accès à votre ordinateur afin d’y faire un « balayage » pour recueillir vos identifiants et vos mots de passe. En ayant en main vos informations personnelles, il sera ensuite en mesure de procéder à des transferts de fonds.
4. L’arnaque du paiement en trop
Un de vos « clients » achemine un chèque d’un montant trop élevé pour payer les biens ou les services rendus. Il demande ensuite de lui rembourser la somme en trop. On apprendra plus tard que le chèque était frauduleux. Les biens et services, tout comme le remboursement du paiement versé en trop, sont donc perdus.
Ne vous faites pas avoir! Prévenez les risques de fraude
1. Faire preuve de vigilance
Peu importe la situation, dès que quelque chose semble louche ou inhabituel, signalez le problème et faites les recherches nécessaires.
2. Sensibiliser et former le personnel
Tout le personnel doit être sensibilisé aux stratagèmes de fraude. Formez-le face aux risques de fraude en lui indiquant les indices à surveiller, les processus à respecter et les moyens de signaler les situations suspectes. Il doit également être formé au sujet des procédures mises en place.
3. Agir de façon sécuritaire avec vos fournisseurs et vos clients
Validez tout changement de coordonnées bancaires de vos fournisseurs en communiquant avec eux de vive voix et auprès d’une source fiable avec les numéros de téléphone déjà inscrits à vos dossiers.
4. Vérifier l’origine des textos ou des courriels
Est-ce que ce message ou cet appel était attendu ou sollicité? Vérifiez l’identité et la légitimité de vos interlocuteurs. Ne cliquez pas sur un lien ou une pièce jointe envoyés par un expéditeur inconnu. Dans tous les cas, ne fournissez jamais de renseignements personnels.
5. Instaurer une procédure rigoureuse pour les virements
Établissez un processus clair pour les virements et les paiements, incluant des montants limites et des paliers d’approbation. Informez les personnes autorisées des risques et des procédures à suivre. Le processus doit être écrit et connu seulement par les employés concernés.
6. Créer des mots de passe robustes
Un mot de passe qui ne respecte pas certains critères peut être trouvé par des pirates informatiques en quelques minutes. Un gestionnaire de mots de passe est aussi beaucoup plus sécuritaire qu’un document en format Excel ou une note autocollante. Assurez-vous que votre système informatique est à jour et protégé adéquatement.
Pour en apprendre davantage, consultez les outils de la trousse de sensibilisation à la cybersécurité.