Le cabinet et les cyber-risques

Directeur de l'innovation au CSOEC

La cybercriminalité qui vise les entreprises est une menace largement commentée. Dans une période de crise COVID-19 et face à une explosion des actes malveillants sur le net, la fragilité des systèmes des TPE, bien moins équipées et protégées que les grandes structures, attire de plus en plus les cybercriminels.

Ça n’arrive pas qu’aux autres… Toutes les entreprises représentent des cibles potentielles. Parmi elles, le cabinet d’expertise comptable, reste une cible de choix pour le cybercriminel, du fait des données personnelles, confidentielles ou stratégiques qu’il possède. La question n’est donc plus de savoir s’il y a un risque d’attaque, mais plutôt quelle en sera l’ampleur et la fréquence !

Comprendre pour mieux anticiper l’attaque

Le panorama de la cybercriminalité, peut se résumer de la façon suivante :

Nous nous intéresserons plus spécifiquement à la démarche du fraudeur et aux différentes menaces les plus fréquentes, notamment dans ce contexte très particulier, afin de donner aux cabinets des clés leur permettant de se protéger et se prémunir contre des cyberattaques.

La fraude basée sur un scénario d’ingénierie sociale

La démarche de l’attaquant consiste à exploiter les failles humaines, afin de compromettre un système d’information. Le déroulement décrit ici est un rappel des étapes essentielles par lesquelles le fraudeur va monter son opération d’intrusion.

Etape 1 : choisir la cible, identifier le périmètre, le contexte et les mécanismes

Il s’agit de la phase de choix d’une cible et de collecte d’informations qui sera notamment facilitée par les réseaux sociaux ou une personne en interne qui a des accès. 

La connaissance accrue du contexte du client est une phase indispensable qui peut prendre de 3 à 6 mois, durant laquelle le fraudeur va collecter des informations publiques grâce à des indiscrétions (train, avion, restaurant…), le site internet de l’entreprise, Google, les réseaux sociaux et les réseaux professionnels. Ce ne sera qu’après l’étude de ces informations que le fraudeur pourra lancer son attaque. Les moyens utilisés par les ingénieurs sociaux pour collecter les informations ont évolué au cours du temps et se sont adaptés aux nouveaux usages. Ainsi, les crieurs publics, les tribunes, les petites annonces dans les journaux, ont laissé leur place aux réseaux sociaux et professionnels.

L’ingénierie sociale permet aux fraudeurs de déblayer le terrain afin de mieux infiltrer sa cible. Cela lui permettra de mieux se rapprocher de la victime en exploitant sa crédulité, voire de déduire ses mots de passe ou même d’usurper son identité. Il ne faut pas oublier que chaque employé peut avoir accès à des informations ou des données, nous sommes donc tous des cibles potentielles.

Nous n’avons pas toujours conscience de notre identité numérique et il n’est pas forcément facile pour les entreprises de maîtriser les informations qui circulent. Rares sont, à ce propos, les cabinets qui surveillent leur e-réputation

Etape 2 : analyser et comprendre des mécanismes

Le schéma d’attaque et son mode opératoire sont préparés en fonction des vulnérabilités détectées. L’attaquant va donc chercher la faille, la “porte d’entrée“ qui lui permettra de réaliser son action frauduleuse.

Pour rentrer dans le système, le “hacker“ doit identifier le point d’entrée, autrement dit la faille, qui lui permettra d’attaquer.
Nous constatons, à ce propos, de nouvelles failles liées au télétravail, au contexte de crise et d’inquiétudes et à une situation d’urgence. Les cybercriminels exploitent la pandémie actuelle et la crainte des télétravailleurs, qui face à l’urgence, sont moins méfiants et tombent parfois dans le panneau. En outre, l’utilisation croissante des outils nomades multiplie les points d’entrée des cybercriminels vers les données des entreprises et les collaborateurs n’ont pas toujours conscience qu’un simple clic sur un lien infecté contenant des informations soit-disant importantes sur le virus peut avoir des incidences dramatiques.

Etape 3 : contourner ces mécanismes

Au travers de cette dernière étape, la cyberattaque a lieu, celle-ci représente la concrétisation d’une menace, et nécessite l’exploitation d’une vulnérabilité. 

Le contact avec la victime est bien évidemment le moment essentiel de l’attaque. L’ingénieur social n’agit jamais au hasard, il identifie sa cible, se renseigne sur elle et pour finir, il prend contact avec elle tout en gagnant subtilement sa confiance. Force de persuasion, caractère d’urgence, autorité, flatterie, séduction et confidentialité sont autant de biais psychologiques utilisés par les fraudeurs, pour parvenir à exploiter la naïveté humaine. Le principe de manipulation de la victime reste ainsi identique pour tous les modes existants.

En outre, pour communiquer avec les victimes ciblées, plusieurs pièges peuvent être tendus par les cybercriminels : 

• détourner des services légitimes comme le téléphone par internet (service dit de “voix sur IP“), les services de fax par email. L’objectif est double : brouiller les pistes pour qu’on ne puisse pas remonter jusqu’à lui et opérer depuis un pays où il peut bénéficier d’une certaine impunité, du fait, notamment, de l’absence d’accord d’extradition avec la France ;

• détourner des adresses email. L’appât utilisé est un email d’apparence officielle ;

• imiter la voix du dirigeant, des fournisseurs, des banques via des synthétiseurs vocaux.

Les fraudes les plus fréquentes en matière d’ingénierie sociale concernent les escroqueries d’usurpation d’identité : par exemple, des personnes mal intentionnées peuvent utiliser sciemment l’identité du président (“fraude au président“), des fournisseurs, de l’administration (fraude au fonds de solidarité usurpant l’identité de la DGFIP), ou de la banque (“fraude aux faux virements“), dans le but de réaliser des actions frauduleuses. 

Les principaux schémas d’attaques et modes opératoires

Les scénarios d’attaques employés par les fraudeurs peuvent prendre d’innombrables formes. Toutes ces attaques ont un seul point commun : la cyberattaque a lieu lorsque le contexte est propice, rendant, de ce fait, la fraude possible. Les cinq cyberattaques que les cabinets sont le plus susceptibles de subir sont résumées dans le tableau ci-dessous. 

Vigilance de l’expert-comptable

L’expert-comptable doit être vigilant du fait des données qu’il détient, car il est par essence une cible privilégiée des cybercriminels. C’est pourquoi, il est essentiel qu’il mette en œuvre des moyens lui permettant de contrer ces nouvelles sources de risques. En effet, le cabinet dispose de données précieuses sur ses serveurs, tout particulièrement convoitées par les cyberdélinquants.

Contexte légal et impacts pour les experts-comptables 

Le cadre juridique en France est régi par la loi informatiques et libertés du 6 janvier 1978 dans laquelle est inscrit le principe général  selon lequel l’entreprise doit « prendre toutes les précautions utiles […] pour préserver la sécurité des données ». Outre cette obligation, l’adoption du Règlement Général de l’union européenne sur la Protection des Données (RGPD) entré en application le 25 mai 2018, est venu renforcer l’arsenal juridique global de la sécurité du numérique. Ce règlement européen a un impact significatif sur les pratiques des cabinets d’expertise comptable qui détiennent des données à caractère personnel, à savoir :

• recueil du consentement lors de toute collecte de données ; 

• obligation de signaler des fuites de données ;

• obligation de désigner un Délégué à la Protection des Données (DPO) ;

• droit à l’oubli numérique pour les personnes concernées. 

Les experts-comptables doivent donc prendre des mesures afin de se prémunir efficacement contre le vol de données et renforcer leurs procédures, afin d’éviter des conséquences lourdes.

Remarque : le règlement prévoit également des sanctions significatives en cas de non-respect de la protection des données personnelles par les entreprises françaises. Elles s’élevent jusqu’à 4 % de leur chiffre d’affaires mondial ou jusqu’à 20 millions d’euros. 

Les 10 bons réflexes pour se protéger

La révolution numérique (cloud computing, mobilité, réseaux sociaux, Big Data …) et l’intensification du télétravail bouleversent notre quotidien et notre façon de travailler. Mobile et hyperconnecté, le salarié ne considère plus le travail comme lié à un lieu, mais comme une activité détachée de l’entreprise. En emportant avec lui ses outils de travail et les données du cabinet, le salarié redéfinit les contours d’un système d’information qui devient d’autant plus difficile à sécuriser. Les bonnes pratiques pour se protéger doivent ainsi tenir compte de ce nouveau périmètre du système d’information, très complexe à délimiter strictement.  

La table de loi ci-après énumère les principaux bons réflexes à adopter :

Pour aller plus loin 

Quelques outils, guides et sites pour vous protéger

Tester vos réflexes en matière de Cybersécurité et formez-vous à la sécurité numérique, 1er MOOC de l’ANSSI :

https://secnumacademie.gouv.fr/

Attaques par rançongiciels, tous concernés – Comment les anticiper et réagir en cas d’incident ? ANSSI

https://www.ssi.gouv.fr/entreprise/guide/attaques-par-rancongiciels-tous-concernes-comment-les-anticiper-et-reagir-en-cas-dincident/

Le guide des bonnes pratiques de l’informatique, CGPME et ANSSI :

https://www.ssi.gouv.fr/entreprise/guide/guide-des-bonnes-pratiques-de-linformatique/

• Les outils de la CNIL permettant de se préparer au règlement européen :

https://www.cnil.fr/fr/se-preparer-au-reglement-europeen

• Portail officiel de signalement des contenus illicites de l’Internet

https://www.internet-signalement.gouv.fr/PortailWeb/planets/Accueil!input.action

• Vidéo lancée par le CIGREF (Club informatique des Grandes Entreprises Françaises) illustrant les dangers liés à la cybercriminalité : vol de mot de passe, phishing, logiciel malveillant ou encore plateforme de paiement non sécurisée

http://www.hack-academy.fr/home

• Assistance aux victimes de cybermalveillance et information sur les menaces numériques et les moyens de s’en prémunir

https://www.cybermalveillance.gouv.fr/

Approfondissez la question sur