Selon la ‘Global Information Security Survey’, une entreprise belge sur deux estimerait ne pas être capable de détecter des cyberattaques sophistiquées.

La ‘Global Information Security Survey’ évalue tous les ans la cybersécurité de quelque 1 755 organisations de 67 pays. 56 entreprises de notre pays sont sondées et les résultats sont pour le moins alarmants : la moitié des organisations interrogées pensent ne pas être capables, à l'heure actuelle, de détecter une cyberattaque sophistiquée, tandis que 88 % de celles-ci estiment que l'architecture de sécurité de l'information ne répond pas totalement aux besoins de leur organisation.

Mais d’où viendrait le danger ?

Les entreprises interrogées craignent principalement les cyberattaques commises par des organisations criminelles (54 %), des activistes (54 %), des hackers agissant seuls (53 %) et - étrangement - leurs propres collaborateurs (40 %). Le phishing et les malwares figurent également parmi les principales menaces possibles.

Il y a urgence

Les entreprises sondées en sont bien conscientes : la cyberfraude se sophistique et le danger est partout. Pourtant, moins de la moitié d'entre elles comptent en leur sein une équipe de sécurité informatique. La raison est simple : la grande majorité des entreprises interrogées affirment ne pas disposer de suffisamment de collaborateurs qualifiés et/ou avoir des difficultés à attirer ce genre de profil.

27 % des entreprises ne font pas l’effort d’analyser les menaces relatives à la cybersécurité tandis que 21 % de celles-ci n'effectuent même pas de contrôle des identités et des accès. En d'autres termes, la porte numérique est grande ouverte aux abus. Des efforts de rattrapage s'imposent donc dans le domaine de la sécurité.

(Sources : EY et de Tijd)

Aujourd’hui, la fraude est plus organisée, les fraudeurs plus professionnalisés qu’hier, les tentatives de fraudes plus subtiles et sophistiquées. Surtout lorsqu’il s’agit de transactions financières.

Voici un aperçu des principales techniques utilisées par ces "pros de la fraude":

Les faux transferts

De faux virements de type manuel (c.-à-d. des virements papier, des courriers ou des fax) sont envoyés à la banque de l'organisation cible. Dans bon nombre de cas, les signatures apposées sur les ordres de paiement sont de parfaites contrefaçons.

Les factures falsifiées

Dans ce cas, de véritables factures sont interceptées et falsifiées avant de parvenir au débiteur ou à la banque. L’intervention se produit au niveau des services postaux ou de l'organisation elle-même, victime dans ce cas de fraude interne.
Les fraudeurs modifient le numéro de compte du bénéficiaire. Pour les factures, ils utilisent souvent une étiquette (un post-it) invitant à désormais effectuer les virements sur un nouveau compte – d'où le nom de fraude à l'étiquette – mais désormais, de nouveaux appareils ou des logiciels permettent d’éditer des factures falsifiées presque « parfaites ».

Le social engineering et le phishing

Il s'agit ici de manipulation : le fraudeur tente de duper sa victime afin qu'elle effectue certaines opérations, généralement des transferts d'argent. Il récolte pour ce faire des noms, des numéros de téléphone directs, des soldes de comptes, des listes de commandes ou de clients, etc.
Ces éléments sont la plupart du temps glanés sur des sites publics et les réseaux sociaux, voire récupérés sur des documents non détruits dans les poubelles. Parfois, cela arrive, le fraudeur prend directement contact avec sa victime. Ces individus sont extrêmement persuasifs. Ils se font passer pour un membre de la direction ou pour le collaborateur d'une filiale à l'étranger. Les pertes liées à ce type de fraude sont souvent lourdes, avec parfois des dégâts collatéraux en matière de solvabilité et de capacité de remboursement des crédits.
Le phishing est une forme spécifique de social engineering qui consiste à aller à la « pêche » aux données personnelles, principalement par e-mail, afin de pouvoir ensuite dérober l'argent se trouvant sur un compte bancaire. Souvent, les fraudeurs jouent sur le sentiment de panique : votre code secret a soi-disant expiré ou votre compte sera clôturé si vous ne réagissez pas immédiatement. Pour faciliter la fraude, les criminels vont jusqu’à appeler leurs victimes par téléphone pour les « accompagner » (cette pratique est appelée « vishing »).
Alors que le phishing se caractérisait surtout par des mailings de masse (un groupe important reçoit le même e-mail personnalisé de manière assez maladroite), nous le constatons désormais, la tendance est au « spear phishing ». Les fraudeurs ciblent un nombre très limité de victimes sur lesquelles ils effectuent une collecte intensive d'informations personnelles afin de crédibiliser leur message au maximum. Il va de soi qu’ils choisissent des victimes « lucratives » : l’espoir de butin est bien plus conséquent auprès de particuliers nantis ou d'entreprises.

Le hacking

Si le social engineering vise essentiellement les failles humaines, le hacking se concentre davantage sur les failles techniques ou matérielles. Tout commence par un virus que des pirates introduisent dans votre ordinateur. Ce programme va collecter vos données et surveiller ce que vous faites. Le jour où vous ouvrirez une session d'e-banking, le pirate sera directement averti et glissera un pop-up dans votre session afin de vous inciter, par exemple, à valider un ordre de paiement ou à communiquer votre code secret.
Actuellement, nous avons affaire à un véritable réseau de fraude multicanal : le fraudeur vous appelle par téléphone pour vous demander de lui confier des données pendant que vous effectuez vos opérations bancaires sur Internet.

L'infiltration

Des cas de fraude récents ont révélé l'existence d'une nouvelle méthode particulièrement préoccupante. Un complice des fraudeurs se fait engager par l'organisation visée et se familiarise avec les procédures de paiement et de contrôle. Après quelques mois, ce fraudeur sous couverture effectue un ou plusieurs paiement(s) important(s) sur le compte de ses complices avant de disparaître dans la nature.

La fraude, cela n'arrive pas qu'aux autres. D’où l’intérêt de consacrer du temps et de l'attention à la prévention. Certaines mesures relativement simples vous aideront déjà à réduire les risques. Et puis,, vous n'êtes pas seul à faire face à ce fléau !

Que fait votre banque ?

Tout comme la fraude, la lutte contre la fraude est devenue une spécialisation à part entière. BNP Paribas Fortis se positionne de façon très forte par rapport à la fraude et se donne les moyens de sa politique. De nombreux dispositifs et mesures ont été mis en place pour déjouer rapidement les plans des fraudeurs :

• la prévention via la formation permanente des collaborateurs de la banque et via la communication tant interne qu'externe ;
• des dispositifs de contrôle et de détection des opérations anormales. Ce, même lorsque le paiement semble tout à fait normal (canal adéquat, signatures correctes, etc.). Peut-être, avez-vous déjà été contacté par votre chargé de relation au sujet d’une transaction qu’il désirait se faire confirmer ? Dans ce cadre, une grande attention est accordée à la détection et à la neutralisation des « money mules » : des intermédiaires qui mettent (volontairement ou pas) leur compte en banque à disposition de criminels pour transférer de l'argent volé vers l'étranger ;
• des systèmes d’analyse itératifs lorsque, malheureusement, des fraudes ont lieu, il s’agit d’opérer une veille permanente et de détecter l’émergence de nouvelles techniques ou de repérer de nouvelles tendances.

Ces moyens ne sont certainement pas infaillibles mais ils permettent de réduire le risque de façon significative. En outre, la banque dédie des équipes entières de spécialistes à la prévention et à la détection des fraudes. Ces experts mènent de véritables enquêtes lorsque des fraudes ont lieu. Ils déposent plainte à la police et prennent les mesures nécessaires à la protection et à la récupération des fonds éventuellement détournés.

Que pouvez-vous faire ?

1. Informez vos collaborateurs

• Expliquez que ce risque existe, qu’aucune information n’est anodine et qu’elle doit être traitée comme un véritable asset de la société.
• Incitez-les à analyser de manière critique les demandes qui sortent de l’ordinaire et à les signaler.
• Développez une culture du contrôle, ce qui n’est pas incompatible avec une ambiance sereine et la confiance entre collègues.
• Méfiez-vous des changements dans les habitudes de vos clients ou de vos fournisseurs. Si on vous demande par exemple de payer une facture sur un compte à l'étranger alors que vous effectuez habituellement le règlement sur un compte domestique, faites preuve de la plus grande prudence. Vérifiez cette information auprès de votre client ou fournisseur et utilisez pour ce faire des canaux de communication courants et fiables.

2. Protégez vos systèmes informatiques

Sachez tout d’abord que malgré les tentatives de hacking et autres tentatives de fraude largement relayées par la presse, PC banking Business, Connexis et Isabel restent de loin les canaux les plus sûrs pour effectuer vos opérations financières.  Néanmoins, il convient de respecter les règles suivantes :

• Équipez votre ordinateur d'un antivirus et d'un pare-feu et mettez-les systématiquement à jour.
• Ne répondez jamais aux questions posées par téléphone pendant une transaction en ligne. En aucun cas, votre banque ne vous appellera pour vous demander un code ou des données confidentielles.
• N'ouvrez que la session PC banking Business ou Isabel. En d’autres termes, assurez-vous que vous n'avez pas d'autres onglets ou fenêtres actives en ligne.
• N’apposez votre signature que sur un ordre que vous avez vous-même encodé. En cas de doute, faites immédiatement stopper l'opération en cours.
• Ne cliquez pas sur des liens qui renvoient vers le site de la banque, surtout s'ils vous sont envoyés par e-mail. Tapez vous-même l'URL.
• Prenez le temps de vérifier si aucune opération suspecte (virements vers des comptes inconnus ou vers l'étranger, …) n'a été effectuée.

3. Ne communiquez pas vos données

Certes, le phishing est encore relativement rare mais il se peut que vous receviez tout à coup un e-mail qui ressemble comme deux gouttes d'eau à un message de votre banque. Ne perdez pas de vue que celle-ci ne vous demandera jamais de données personnelles par e-mail (ou par téléphone). Si c'est le cas, il s'agit d'une fraude : la banque n'est pas le véritable expéditeur du message.

Autres signes qui doivent vous mettre la puce à l'oreille : des incohérences (message non nominatif rédigé dans un français approximatif) ou le fait que le mail apparaisse dans vos spams. Nous vous recommandons vivement de marquer ces intrus en tant qu'e-mails "indésirables" dans votre logiciel de courrier électronique. A conseiller : signalez la fraude à votre provider Internet afin que celui-ci bloque cet expéditeur.

4. Bloquez les faux virements papier

Si vous êtes des utilisateurs réguliers de canaux électroniques, demandez par exemple à votre chargé de relation de placer un blocage sur vos comptes afin de limiter le risque de faux virements papier.

Il ne s’agit pas d’une opposition bétonnée qui vous empêchera définitivement d’utiliser les canaux manuels ! Mais si BNP Paribas Fortis reçoit une demande de paiement manuel sur un des comptes bloqués, ce dernier sera automatiquement rejeté par nos systèmes et renvoyé vers votre chargé de relation. Lequel prendra contact avec vous pour vérifier que cette opération doit bien être introduite.

Le jour où, en raison d'un problème informatique par exemple, vous devriez réaliser ce type d’opération papier, il vous suffira d'en avertir votre chargé de relation.

Restez vigilant

À qui vous adresser si vous êtes confronté à un cas de fraude ?

Vous avez reçu un e-mail suspect mais vous n'y avez pas réagi ?

Transférez l'e-mail suspect à nos spécialistes, à l'adresse phishing@bnpparibasfortis.com. Joignez-le en annexe de votre mail. Nos experts tenteront de neutraliser au plus vite le site web frauduleux.

Vous avez communiqué votre signature électronique ou d'autres informations confidentielles (par téléphone ou sur un site web), vous avez rempli des champs suspects dans PC banking ou vous avez cliqué sur un lien dans un e-mail suspect ?

Contactez notre Helpdesk :

• PC banking/PC banking Pro +32 (0)2 228 08 88
• PC banking Business +32 (0)2 565 05 00
• Central Competence Centre Connexis +32 (0) 2 228 47 77
• Isabel +32 (0) 2 404 03 35
• Isabel (BNP Paribas Fortis) + 32 (0) 2 565 28 34  

Prenez immédiatement contact avec votre chargé de relation.

Vous êtes confronté à une autre forme de fraude ?

Parlez-en immédiatement à votre chargé de relation.

Vous cherchez des mesures concrètes à mettre en œuvre pour vous protéger contre le risque de fraude ?

Ouvrez-vous en à votre chargé de relation. Il pourra vous donner des conseils ou faire appel aux spécialistes de la banque pour traiter des risques spécifiques à votre organisation (par ex. en ce qui concerne vos flux ou vos produits financiers).

Coordonner toute la stratégie d’une entreprise en matière de médias sociaux est un métier en soi. À qui allez-vous confier cette tâche ? Et que faire des clients trop impliqués ?

Sous l'effet des médias sociaux, le rôle classique du marketing manager évolue de plus en plus vers celui d'un conversation manager : une personne chargée de faciliter la communication d’une part entre clients et d’autre part, entre ceux-ci et l'entreprise.

Voici quelques aspects essentiels des nombreuses tâches du conversation manager :

• Rassembler et animer des branded fans. Ceux-ci recommanderont votre marque auprès d'amis et membres de leur famille.
• Être à l'écoute de ce que disent les personnes à propos de votre entreprise ou de votre marque et les laisser participer activement au processus de réflexion concernant vos produits et votre stratégie.
• Créer du contenu qui vaille la peine d'être diffusé et alimenter ainsi les conversations.
• Gérer ces conversations.
• Travailler avec une « orientation clients » (customer care), être plus réactif et dépasser leurs attentes.

Certaines entreprises sont suffisamment grandes pour recruter un conversation manager à temps plein ou à temps partiel. D’autres feront appel à une entreprise externe spécialisée. Caroline Hombroukx, conversation manager auprès de la société Head Office :

« Quelle que soit l'option retenue, la communication sur les médias sociaux doit être personnalisée. Ce n'est pas pour rien que de grandes entreprises comme Telenet et Belgacom ont créé un personnage fictif qui accompagne les clients : respectivement Charlotte et Eva. Le conversation manager doit également connaître en détails l'entreprise ainsi que sa stratégie en matière de médias sociaux. Etre de l’interne sera un avantage : la personne se trouve à la source des informations qu'elle doit diffuser, peut rapidement prendre une photo et la publier en ligne, etc. »

Une fonction qui n'est pas donnée à tout le monde. « Un conversation manager doit avoir de l'expérience dans le domaine des médias sociaux, son style de communication sera fluide tant verbalement que par écrit et il doit pouvoir aborder les clients avec empathie, de manière positive, garder à l’esprit la recherche de solutions. Une formation préalable n'est pas superflue. Elle permettra au collaborateur de bien comprendre la stratégie. Le public est divers et imprévisible. Il faut pouvoir déterminer si tel contenu convient ou non à tel groupe cible. Le job supporte mal les horaires de bureau stricts. Le monde en ligne ne dort jamais. »

L’atout du conversation manager externe est qu'il dispose normalement déjà de l'expertise nécessaire. Dans son cas, le défi consiste à bien connaître l'entreprise et à se familiariser avec son identité, il faut que le client ait l'impression de s'adresser à un collaborateur de l'entreprise.

Agressif moi, jamais !

La publicité et le marketing classiques sont des communications à sens unique. S'ils ne fonctionnent pas, c'est de l'argent gaspillé mais vous n’aurez généralement pas à faire face à quelque agressivité que ce soit. Une entreprise qui se lance sur Facebook, Twitter ou d'autres médias sociaux, en revanche, peut être confrontée à des réactions ou commentaires négatifs. Caroline Hombroukx :

« Avec les médias sociaux, le consommateur peut vous contacter en direct. Il faut encore pouvoir lui répondre de manière appropriée. L’agressivité est à éviter à tout prix. Quoi qu'il arrive, vous devez vous montrez compréhensif et prouver que vous prenez la demande ou la plainte au sérieux. Toutes les personnes participant à la discussion doivent sentir que l'entreprise répond rapidement et s'efforce de trouver une solution. Si une erreur est commise, admettez-le de manière ouverte et honnête. Il est toujours préférable de terminer sur une note positive et de présenter le problème comme une occasion d'améliorer votre marque, votre produit ou vos services. Au final, vous devrez bien entendu trouver une solution adéquate. Si le plaignant persiste dans son attitude négative, tentez de l'orienter vers un canal privé : un message privé sur Facebook, un message direct sur Twitter, un e-mail ou un contact téléphonique. »

Si un consommateur parle en termes élogieux de votre marque, votre entreprise ou vos services, réagissez avec enthousiasme. Le gratifier d'un remerciement consolidera le lien qui l'unit à votre organisation. Caroline Hombroukx :

« Tout dialogue avec votre cible est une occasion d'améliorer votre produit ou votre manière de fonctionner, sur base de critiques fondées. Donnez aux clients le sentiment qu'ils sont impliqués, la relation n'en sera que renforcée. Si vous souhaitez éditer un magazine ou lancer une campagne d'affichage, demandez-leur leur avis sur Facebook, par exemple en leur présentant trois mises en pages ou titres différents. Un client actif se sentira plus concerné. »