La fraude au CEO, comment ça fonctionne ?

La fraude au CEO est toujours dans le top 3 des fraudes qui cible le plus les entreprises en 2022. Selon l’étude de la fraude Allianz x DFCG, elle représente 41% des tentatives de fraude. Cela s’explique par l’amélioration de la sécurité des outils utilisés au sein des entreprises. Mais que ce soient des PME ou des plus grandes entreprises, elles sont toutes exposées au risque. Les fraudeurs cherchent à tromper directement les personnes pour arriver à leurs fins.

Comment se déroule une fraude au CEO ?

La fraude au CEO, ou fraude au président est une technique qui demande aux cybercriminels de longs préparatifs et qui peut combiner de nombreuses techniques de fraude pour obtenir un maximum d’informations et amener à un virement frauduleux.

Ils doivent donc avoir un haut niveau de connaissance sur l’organisation ciblée.

Cette technique consiste à cartographier les relations entre les employés d’une entreprise dans le but d’identifier les personnes en charge des finances ainsi que les dirigeants. Les fraudeurs cherchent à obtenir toutes les informations en rapport avec la sécurité, les employés et le fonctionnement de l’entreprise. Pour se faire, ce sont de longues recherches qui commencent, notamment sur les réseaux sociaux, pour trouver les liens et les centres d’intérêts des employés. Le fraudeur peut également entrer en contact avec d’autres membres pour obtenir plus d’informations sur le fonctionnement interne, en usurpant l’identité d’un auditeur ou d’un tiers de confiance connu par exemple. C’est aussi ce qu’on peut appeler des messages de phishing ou de spearphishing (souvent adressés par mail ou par sms).

En usurpant l’identité du CEO de l’entreprise ou d’une personne de confiance, ils demandent, par mail mais le plus souvent au téléphone, à un employé d’effectuer un paiement auprès de coordonnées bancaires (généralement inconnues et basées à l’étranger). Leur technique est de créer un sentiment d’urgence auprès de cette personne pour qu’elle contourne les éventuels process de sécurité, et qu’elle n’ait pas le temps de poser de question pour vérifier informations. Souvent la transaction est justifiée sous couvert d’un rachat d’une entreprise, d’un contrôle fiscal, ou encore d’un impayé. Les fraudeurs insistent également sur la discrétion de cette opération.

Dans le cas où la victime serait réticente à valider le paiement, les fraudeurs utilisent la flatterie ou l’autorité pour renforcer le sentiment d’urgence et de pression exercé. Et une fois que la victime a craqué et validé le paiement, la fraude est réussie.

New call-to-action

Quels impacts pour les victimes ?

Les impacts sur une entreprise et son environnement sont nombreux et peuvent être très importants.

Après avoir subi une ou plusieurs attaques comme une fraude interne, une fraude documentaire,… L’entreprise victime a d’abord fait face à des pertes pécuniaires, plus ou moins importantes, pouvant aller jusqu’à plusieurs millions d’euros. L’organisation peut prendre parfois plusieurs années pour se remettre d’une telle perte. Cela peut passer par le licenciement de certains employés voir même aller jusqu’à la faillite de l’entreprise.

Chaque entreprise est exposée au risque de fraude, quelle que soit sa taille. Une fois touchée, ce sont aussi les fournisseurs, clients, collaborateurs qui peuvent être ciblés par rebond. Une arnaque au virement vient donc impacter la confiance que ces tiers accordent à l’entreprise et par conséquent son image auprès d’eux.

Les collaborateurs qui on fait face aux attaquants peuvent expérimenter un syndrome post-traumatique comme du stress ou de l’anxiété. Ces personnes ont été mis sous pression par l’identité usurpée de leur president, ou d’une personne de confiance, et ont permis aux fraudeurs de causer d’importantes pertes à l’organisation.

Comment s’en protéger ?

Les conséquences des attaques au CEO, ou plus généralement des fraudes au virement, rendent la réaction de l’entreprise face au risque d’autant plus importante. Afin de s’en prémunir, des procedures de sécurité et de cybersécurité sont indispensables.

  • L’ensemble des employés doivent être formés régulièrement sur les sujets de cybersécurité

  • Leur sensibilisation aux risques et aux techniques utilisées peut leur permettre de reconnaitre les attaques plus facilement.

  • Vérifier systématiquement l’authenticité des tiers avec lesquels des paiements circulent.

  • En cas d’urgence et de doute sur l’interlocuteur, il est plus prudent de contrôler l’opération auprès d’un supérieur.

  • Aussi bien pour les grandes organisations que pour des PME/TPE, des procedures doivent être mises en place.

  • Quelle que soit la situation, garder la même rigueur dans la sécurité des processus de paiements, surtout durant les périodes de vacances.

Stronger together

Je choisis mon réseau et je partage !