La fraude et la lutte contre la fraude, millésime 2015: où en est-on?

Andy Scherpenberg
Carousels à la TVA, collisions volontaires pour escroquer les assurances, technologie “man in the browser” qui interceptent vos transactions financières et modifient le montant et le numéro de compte tout en affichant les écrans transactionnels auxquels vous vous attendez… La fraude existe désormais sous une multitude de formes et dans quasiment tous les secteurs. Les fraudeurs affinent sans cesse leurs méthodes et disposent de moyens toujours plus diversifiés. Petit tour d’horizon.

“La meilleure ruse jamais imaginée par le diable est de nous amener à penser qu’il n’existe pas.” Cet adage bien connu s’applique tout aussi bien à la fraude. Les fraudeurs redoublent d’efforts pour masquer leur présence et leurs méfaits. Des efforts qui semblent bel et bien porter leurs fruits, en particulier dans le domaine de la fraude Internet. Partout dans le monde, les rapports publiés par divers bureaux d’analystes le confirment: les logiciels malveillants et les incidents de sécurité informatique connaissent un énorme essor.
Plus que tout autre délit, la fraude échappe souvent, pendant une longue période, aux radars (la moyenne est même de 18 mois pour la fraude émanant de l’intérieur). Ce phénomène nous fait d’ailleurs craindre que le nombre de victimes dépasse en fait largement les chiffres connus jusqu’ici. Voilà pourquoi nombreux sont ceux qui voient dans la cybercriminalité le nouveau danger majeur. Les phénomènes les plus redoutés, en la matière, sont ce qu’on appelle les “black swan events” – à savoir des événements qui prennent l’entreprise touchée totalement par surprise et qui ont un impact majeur. L’attaque “Unlimited Operations” en est un exemple: en l’espace d’un seul jour, des distributeurs automatiques de billets ont été délestés de plus de 30 millions d’euros après que des pirates aient réussi à supprimer les limites associées aux comptes bancaires.
Les préjudices subis pour chaque incident prennent également toujours plus d’ampleur dans le registre des fraudes “classiques” et ce, en raison de la “professionnalisation” des fraudeurs, que ce soit dans le monde physique ou l’univers numérique. Cela implique concrètement que vous avez davantage de chances d’encourir des préjudices irréversibles du fait d’un seul et même incident, avec d’importantes conséquences pour les finances et la réputation de votre entreprise. Dans le pire des cas, vous risquez même d’être acculé à la faillite.
Analogique et numérique
Un problème supplémentaire vient du fait que la fraude peut prendre de multiples formes, variables selon les secteurs concernés. Le graphique ci-dessous vous donne une petite idée des nombreux types de fraude. Depuis les carousels à la TVA, destinés à escroquer l’Etat, jusqu’au “phishing” (hameçonnage) et aux attaques de type “man in the middle” qui visent à vous filouter lors de transactions bancaires sur Internet, en passant par des combines sophistiquées, qui s’installent dans la durée et qui ont pour but de gagner la confiance des collaborateurs de votre société afin de mettre la main sur leurs données d’identification (ce qu’on appelle le “social engineering”), ou encore le vol de données confidentielles par les collaborateurs eux-mêmes. Autant d’exemples puisés dans l’attirail de menaces contre lesquelles vous devez vous armer.
Par ailleurs, les scénarios de fraude sophistiquées combinent désormais plusieurs canaux. Les données de cartes bancaires sont tout d’abord subtilisées en-ligne avant que de fausses cartes soient utilisées dans des distributeurs automatiques pour dérober, dans certains cas, plusieurs millions d’euros sur les comptes bancaires. Autre exemple: une attaque massive du site Internet (DDOS) est simulée pour détourner l’attention d’une tentative de piratage des systèmes internes.
Une démarche fragmentée ne peut qu’affaiblir les maillons de la chaîne
Tous ces éléments concourent à compliquer sensiblement la lutte contre la fraude, que ce soit pour les entreprises ou les pouvoirs publics. Bien souvent, les entreprises et organismes choisissent une approche fragmentée pour prévenir et combattre différentes formes de fraude. Souvent, chaque département ou service de support (ressources humaines, finances, audit…) s’appuie sur une approche et des systèmes qui lui sont propres. Une vision transversale sur l’ensemble de la société fait alors défaut. Ce qui a pour effet de faciliter l’identification et l’exploitation des points fai-bles de la cuirasse par les fraudeurs.
Pour compliquer les choses encore davantage, les méthodes et processus de fraude actuels seront déjà périmés demain. Dès lors, les mécanismes de défense et la méthode que vous utilisez aujourd’hui, aussi modernes et sophistiqués soient-ils, seront désespérément désuets dans un an. Autant appliquer un emplâtre sur une jambe de bois. Nombreuses sont les entreprises qui ne sont absolument pas conscientes des menaces qui les guettent. A moins qu’elles ne préfèrent les réfuter, n’y voyant que paranoïa ou boniments de sociétés spécialisées en sécurité, et qu’elles refusent dès lors d’investir dans une sécurité suffisante. Les fraudeurs ont alors les coudées franches pour dépouiller ces organismes.
Mais, dans ces conditions, comment pouvez-vous vous armer contre la fraude? Ce sera le sujet de notre prochain billet dans quelques jours.
Andy Scherpenberg est spécialiste fraude chez SAS