Les impacts des cyberfraudes et cyberattaques sur les organisations

Par Bertrand Milot

Il y a quelques mois, je vous parlais d’une évolution de la cyberfraude au technicien bancaire sur laquelle j’avais enquêté. Depuis cet article, les fraudes se suivent, se ressemblent, se complexifient et deviennent hybrides.

 

Sans forcément entrer dans les détails de ces cyberfraudes, je vais aujourd’hui écrire sur les impacts et sur les recommandations à observer au plus vite dans vos vies professionnelles et même personnelles.

 

Au travers des enquêtes, j’ai eu une prise de conscience; les entreprises victimes de ces cyberfraudes et cyberattaques, outre la perte financière directe en dollars liée à la fraude par le cybercriminel ont littéralement subi un choc. Un choc comparable à celui ressenti lors du premier cambriolage, au choc lié à une crise de confiance lors d’un détournement de fonds ou au choc d’un remaniement exécutif totalement inattendu. Ces états de choc ne sont malheureusement pas quantifiables et impactent la culture et les motivations individuelles de l’organisation.

 

Ces enquêtes m’ont aussi permis de comprendre que la cyberassurance est, en 2017, un passage quasi obligé de toute activité professionnelle qui se sert d’Internet et de l’informatique dans son modèle d’affaires.

 

Toutes ces victimes se sont posé la fameuse question du « pourquoi moi? ». La réponse est simple. Chaque personne morale ou physique a une « digital persona » évaluée et définie comme plus ou moins vulnérable par les cybercriminels. Si vous ou votre entreprise avez répondu facilement et bien volontiers à quelques sondages marketing ou à des questions sur votre fonction hiérarchique ou sur celle de vos collègues, si votre organisation a quelques identités compromises publiées sur le Darkweb et que lors d’une numérisation rapide de découverte de votre site Web ou de votre infrastructure TI, plusieurs vulnérabilités ont été identifiées, alors le cybercriminel conclura que vous êtes une cible de choix plus rentable (effort vs réussite de la cyberattaque) que votre voisin.

 

Vous comprenez donc que votre profil holistique de victime créé par les cyberfraudeurs et les cybercriminels est directement en fonction de vos comportements, pratiques et habitudes de navigation professionnels et parfois même personnels ou de ceux de vos collègues.

crédit: depositphotos.com

Vous comprendrez que passer de l’état de cible à victime est souvent lié au facteur humain et à votre capacité de questionner « ce qui vous semble louche ». Dans les enquêtes que j’ai menées, bien du dommage et de la perte financière auraient pu être évités si l’individu ciblé avait posé des questions, et cette conclusion s’applique également aux employés de la banque qui étaient la ligne ultime de défense. Bref, un bon antivirus ou anti-malware ne vous protège pas de l’excès de confiance, voire même il l’aggrave. Mes clients victimes de cyberextorsion me disent parfois qu’ils n’accepteront jamais les revendications des criminels, d’autres me disent que payer sera toujours plus facile. La réponse n’est pas noire ou blanche, mais bien grise : il faut négocier, il peut y avoir une stratégie de cyberintelligence, mais pour l’identifier il faut simuler.

 

Vous comprenez que l’impact des cyberattaques est bien souvent humain, car elles ciblent le « nerf de notre guerre ». Si vous commencez à croire qu’il vous faut agir, alors définissez une approche holistique : suis-je personnellement à risque? Vérifiez l’état de votre identité via BreachAlarm ou Haveibeenpwned. Puis, considérez de ne pas utiliser le même mot de passe partout. Séparez le plus possible votre écosystème des données personnelles de celui des données professionnelles (vous envoyer du travail sur votre courriel personnel est vraiment une habitude à bannir pour des raisons contractuelles, légales et de sécurité).

 

En conclusion, être prêt, ouvrir un portefeuille de crypto-monnaie par avance pour réagir vite au besoin. Posez des questions et restez vigilant. Toujours obliger votre interlocuteur à être recontacté sur le courriel officiel ou sur le numéro de téléphone officiel de votre organisation. Simulez des cas de cybercrises, imaginez que des données de vos clients ont été dérobées et identifiez un scénario de réponse. Vous comprenez que même si le mot « cyber » implique la technologie, l’élément différenciateur, c’est vous, vos collègues et votre vigilance.

À proposMentions Légales