Trésorerie nouvelle génération : Protéger son organisation contre une attaque à la cybersécurité

Il s’agit de savoir quand votre organisation sera la cible d’une cyberattaque, et non si elle le sera. Les fraudeurs sont devenus extrêmement créatifs dans leurs façons d’envahir les réseaux et les appareils. Même les actions les plus anodines, comme un employé qui clique sur un lien dans un courriel frauduleux, peuvent mener à un désastre.

Quelques éléments à prendre en considération :

• 71 % des organisations ont été victimes d’attaques et de tentatives de fraudes liées aux paiements en 2021, d’après l’étude 2022 AFP Payments Fraud and Control Survey.

• Selon la même étude, 68 % des organisations ont été la cible d’escroquerie au faux ordre de virement, ou escroquerie FOVI.

• Selon le FBI, les victimes de fraude ont perdu 2,4 milliards de dollars en 2021 en raison de l’escroquerie FOVI.

La fraude peut entraîner des coûts financiers importants, une perte de productivité et des répercussions négatives sur la marque d’une entreprise. Plus l’entreprise est grande, plus elle est exposée aux attaques, mais les entreprises de toutes tailles sont à risque. La cybercriminalité est omniprésente, et les mesures servant à protéger vos actifs sont plus importantes que jamais.

Nous avons récemment organisé un forum avec quatre experts en cybersécurité et en trésorerie de BMO sur la nature des menaces actuelles à la cybersécurité et les mesures que vous pouvez prendre pour vous protéger, vous et votre organisation. Voici nos quatre experts :

• Brad Botting, premier directeur général et leader régional, Solutions de trésorerie et de paiement, Prairies

• John Galluzzo, directeur général, Unité Crime financier

• Doug Malin, premier directeur général, Unité Crime financier

• Andrew Matheou, chef, Banque transactionnelle, BMO Marchés des capitaux

Le texte qui suit constitue un résumé de la discussion.

Là où les fraudeurs se cachent

Les outils utilisés par les fraudeurs sont facilement accessibles en ligne, ce qui leur permet de lancer leurs attaques de n’importe où dans le monde. Et comme M. Galluzzo l’a expliqué, ces outils sont de plus en plus sophistiqués et permettent à des acteurs malveillants d’utiliser vos appareils contre vous. En installant des logiciels malveillants, les fraudeurs peuvent perpétrer diverses cyberattaques, notamment :

• Utiliser le GPS et les services de localisation de votre téléphone mobile pour déterminer votre emplacement exact;

• Copier tous vos messages texte, y compris vos coordonnées, qu’ils pourront utiliser par la suite pour envoyer des messages texte frauduleux, mais authentiques en apparence;

• Activer le microphone ou la caméra frontale de votre téléphone à votre insu, ce qui pourrait leur donner accès à des renseignements financiers confidentiels.

Ces outils ne se limitent pas aux appareils mobiles. Tout appareil connecté à Internet est une cible potentielle, même une imprimante. « Tout ce que vous avez imprimé récemment se trouve dans la mémoire de cette imprimante, a expliqué M. Galluzzo. N’importe quel renseignement personnel, financier ou relatif aux clients pourrait être accessible sur cette imprimante. Faites simplement attention à ce que vous laissez entrer dans votre réseau domestique et assurez-vous que vos appareils sont verrouillés et protégés. »

Cinq stratégies pour vous protéger

Les pirates informatiques sont sophistiqués, et la menace qu’ils posent est à la fois insidieuse et omniprésente. Que peuvent faire les organisations et les particuliers pour se protéger? M. Malin a présenté une série de conseils qui se résument en cinq points.

1. Mots de passe.

Si un appareil ou un compte de média social nécessite un mot de passe, vous devez à tout le moins en créer un qui soit complexe. Cela signifie au moins huit caractères (avec des majuscules et des minuscules), au moins un chiffre et au moins un caractère spécial. Mieux encore, comme l’a mentionné M. Malin, faites de votre mot de passe une « phrase de passe » complexe. « Prenez le premier mot de votre chanson country préférée, ajoutez des caractères spéciaux et un chiffre, et vous aurez une phrase de passe, a-t-il dit. Une parole de chanson dont vous arrivez à vous souvenir, mais une phrase de passe beaucoup plus difficile à deviner que vous créez pour sécuriser vos appareils. »

2. Mises à jour.

« Lorsque votre téléphone, votre tablette ou votre ordinateur vous indique qu’il est temps de mettre à jour le système d’exploitation, ne tardez pas à le faire, a expliqué M. Malin. Ces mises à jour sécurisent des points d’entrée qui auraient dû demeurer fermés, car les malfaiteurs peuvent s’en servir pour accéder à votre réseau ou à votre système. Il en va de même pour les applications. Si les applications de votre téléphone et de votre tablette indiquent qu’une mise à jour s’impose, mettez-les à jour. »

3. Autorisations.

Vous avez probablement remarqué que vous êtes soudainement bombardé de publicités d’articles précis après être allé dans un magasin. C’est parce que les spécialistes du marketing utilisent les services de localisation de votre téléphone pour vous envoyer des publicités ciblées. Bien qu’il ne s’agisse pas là d’une utilisation malveillante de vos renseignements, M. Galluzzo a précisé que ces mêmes renseignements pouvaient servir aux fraudeurs pour lancer une cyberattaque. C’est pourquoi il est important de prendre le temps de configurer les autorisations pour chaque application de votre appareil mobile.

M. Malin vous recommande de supprimer toute application que vous n’utilisez pas. En ce qui concerne les applications que vous utilisez fréquemment, accédez à leurs paramètres, puis passez en revue les autorisations qui sont activées. Ce ne sont pas toutes les applications qui ont besoin d’accéder à votre appareil photo, à votre microphone ou aux services de localisation de votre téléphone. Le fait de désactiver ces autorisations peut vous aider à réduire le risque d’être la cible d’une cyberattaque.

4. Parents.

Agissez à titre de première ligne de défense pour la protection de vos enfants. Les adolescents sont connus pour partager à l’excès des renseignements personnels sur Internet. Ils téléchargent également des applications et des jeux qui comprennent des fonctions de clavardage intégrées, que des acteurs malveillants peuvent utiliser pour nuire à vos enfants. Dans le même ordre d’idée, les cyberattaques ayant pour cible les aînés sont une préoccupation croissante. Prenez le temps d’aider vos propres parents à utiliser la technologie, notamment en veillant à ce qu’ils ne cliquent pas sur des liens suspects.

5. Protégez votre identité.

Installez des logiciels antivirus sur vos appareils, qu’il s’agisse de votre ordinateur portable, de votre téléphone ou de votre tablette. De plus, limitez le contenu que vous partagez sur les médias sociaux. « Je vous en prie, cessez de me dire où vous allez, l’heure à laquelle vous partirez et l’heure à laquelle vous serez de retour, a conseillé M. Malin. Cessez de participer à des jeux-questionnaires sur les médias sociaux. Toutes les réponses que vous donnez à ces questions sont conçues pour vous amener à fournir gratuitement vos renseignements afin que les malfaiteurs puissent les utiliser et vous envoyer des messages par courriel ou par message texte. Comme ils connaissent vos champs d’intérêt et vos activités, ces messages peuvent être très accrocheurs. »

Bien que ce soit nos appareils qui permettent aux fraudeurs de commettre leurs crimes, les cinq points, eux, traitent du facteur humain. « Le maillon le plus faible, c’est sans doute vous et moi derrière un clavier et une souris, a ajouté M. Malin. Nous sommes l’élément le plus dangereux de toute la chaîne. Habituellement, les problèmes surviennent sur des appareils mal protégés. Ces derniers sont très vulnérables, et il est facile pour un malfaiteur d’en prendre le contrôle. »

Protéger son organisation

D’un point de vue organisationnel, M. Matheou a affirmé qu’il était essentiel d’investir dans des solutions de TI, comme des logiciels antivirus ou des outils qui surveillent vos systèmes pour détecter tout comportement suspect. Cependant, la tactique la plus importante consiste à instaurer une culture axée sur la prévention de la fraude. Cela comprend la tenue régulière de discussions portant sur la fraude avec les employés, ainsi que la mise en œuvre de processus et de procédures visant à atténuer le risque d’être la cible d’une attaque.

« Un bulletin envoyé par courriel ne suffit pas, a expliqué M. Matheou. Vous devez avoir vos employés dans la même pièce que vous et leur en parler. Faites également des “jeux de guerre” pour élaborer des scénarios sur ce que vous feriez en cas d’événement frauduleux et consignez les résultats. Mettez en œuvre des procédures solides et impénétrables. Cela signifie qu’il faut effectuer la concordance souvent, peut-être chaque jour. Si vous constatez le même problème chaque mois, il est probablement trop tard. Aussi, instaurez une séparation des tâches : une personne qui lance le processus et plusieurs personnes qui l’approuvent. »

Dans l’éventualité où votre entreprise subirait une attaque frauduleuse, M. Botting a expliqué que la première chose à faire était de communiquer immédiatement avec votre banque. « Vous devez agir rapidement, a-t-il dit. Ce n’est pas une situation où nous avons besoin de renseignements parfaits. Même si vous ne connaissez pas tous les détails, communiquez avec nous et nous pourrons mettre à profit nos ressources pour vous aider à résoudre cette situation. »

M. Botting a également conseillé de déposer immédiatement un rapport auprès de la police et d’autoriser votre banque à communiquer aux autorités des renseignements internes sur vos comptes et vos activités. Selon le type et la gravité de l’atteinte à la sécurité, il recommande également une vérification judiciaire de vos systèmes par un tiers.

« Dans certains cas, il s’agit de la seule façon de savoir comment l’atteinte à la sécurité s’est produite et de garantir que vous ne serez plus victime du même type d’atteinte, de confirmer que vous êtes à l’abri des rançongiciels, et de vous assurer que vos renseignements confidentiels sont protégés, a précisé M. Botting. Il est courant que les fraudeurs reviennent sur les lieux du crime. Si vous laissez la porte ouverte, ils reviendront, et vous serez de nouveau exposé à une attaque. »

Il est bon d’avoir un certain niveau de paranoïa dans la lutte contre la cyberfraude. Si quelque chose ne semble pas normal, c’est probablement le cas. Posez des questions, alertez les bonnes personnes, et enquêtez jusqu’à ce que vous soyez certain que vos données et vos systèmes sont sécurisés. Comme l’a dit M. Matheou : « Lorsqu’il y a un soupçon de doute dans votre esprit, il suffit de prendre le téléphone et d’avoir une conversation avec votre chef des finances. »