Search for:

Comment les entreprises peuvent se protéger contre la fraude deepfake et les attaques BEC

Les risques de fraude deepfake sont-ils surestimés ? Où les entreprises sont-elles exposées

Les deepfakes, ces contenus générés par intelligence artificielle (IA) qui imitent de manière réaliste des personnes réelles, ont émergé comme une menace potentielle majeure pour les entreprises. Le groupe d’ingénierie britannique Arup en a fait les frais, perdant 25 millions de dollars à cause d’escrocs utilisant des deepfakes pour se faire passer pour le directeur financier et orchestrer des virements frauduleux. Cependant, malgré cette sophistication technologique, les deepfakes deviendront-ils réellement l’outil principal des fraudeurs pour voler de l’argent ? La réponse pourrait bien être négative.

La menace persistante des attaques BEC

Les données montrent que d’autres méthodes de cyberfraude, telles que les attaques de compromission de courrier électronique professionnel (BEC), sont bien plus courantes. En effet, 83 % des entreprises ont constaté une augmentation des tentatives de cyberfraude, principalement via des attaques BEC, des piratages et des tentatives de phishing sophistiquées. Les statistiques révèlent que les fraudeurs utilisent les escroqueries BEC et le piratage beaucoup plus fréquemment (31 % chacun) que les deepfakes (11 %) pour tromper les organisations.

 

Pourquoi les deepfakes restent une menace

Bien que moins courantes, les deepfakes constituent toujours une menace sérieuse. Leur capacité à imiter de manière convaincante des dirigeants d’entreprise peut causer des pertes financières importantes, comme le démontre le cas d’Arup. Il est donc crucial que les entreprises adoptent des mesures pour se protéger contre ce type d’attaques. Néanmoins, il est également important de ne pas se laisser distraire par le battage médiatique entourant les deepfakes au point de négliger les menaces plus courantes et tout aussi dévastatrices comme les attaques BEC.

Le paysage actuel de la cyberfraude

La cybersécurité et la prévention de la fraude sont désormais inextricablement liées, la majorité des cyberattaques visant à commettre des délits financiers tels que la fraude aux paiements. Aux États-Unis, 96 % des entreprises ont été confrontées à une tentative de fraude aux paiements au cours de l’année écoulée, une augmentation de 71 % par rapport à l’année précédente. Une fois qu’un cybercriminel a pénétré les défenses internes d’une entreprise, il cherche les maillons faibles pour voler de l’argent, souvent les employés ayant accès aux finances et aux paiements.

Les faiblesses humaines

Une étude récente a révélé que 31 % des employés ont commis des erreurs susceptibles d’avoir un impact sur la sécurité de leur entreprise. Les escroqueries par phishing et le partage de mots de passe avec des collègues figurent parmi les principales erreurs. Les équipes des finances, de la trésorerie et des achats sont particulièrement ciblées par les fraudeurs en raison de leur accès direct aux fonds de l’entreprise.

La montée des attaques BEC

Avec l’évolution de l’intelligence artificielle, les cybercriminels peuvent désormais lancer des attaques BEC sur des milliers d’entreprises simultanément. L’IA permet également aux fraudeurs de créer des e-mails de phishing convaincants, difficiles à détecter même pour un œil averti. Les attaques BEC basées sur l’ingénierie sociale ont augmenté de 1 760 % l’année dernière, principalement grâce aux avancées de l’IA générative.

Pourquoi les attaques BEC sont plus dangereuses

La principale raison pour laquelle les attaques BEC constituent une menace plus grande réside dans la manière dont les professionnels utilisent certains canaux de communication. La plupart des professionnels ne divulguent pas leurs informations de paiement ou n’autorisent pas de transactions via des vidéoconférences. Le partage de ces informations sensibles par e-mail est beaucoup plus courant, ce qui rend les attaques BEC particulièrement efficaces.

La sophistication des attaques BEC

Les entreprises disposent généralement de pare-feux robustes, de systèmes d’exploitation sécurisés et de systèmes de détection d’intrusion. Cependant, les attaques BEC contournent ces mesures en utilisant des techniques d’ingénierie sociale où les employés divulguent des informations sensibles par e-mail, permettant ainsi aux pirates d’infiltrer leurs systèmes. Ces attaques peuvent être extrêmement difficiles à repérer, à contrôler et à prévenir.

Exemples d’attaques BEC

Un fraudeur peut utiliser un e-mail de phishing sophistiqué pour extraire des informations critiques sur le processus de paiement d’une entreprise et cibler les employés ayant accès à ces informations. En utilisant une ingénierie sociale agressive, il peut tromper un employé en charge des paiements et le pousser à transférer des fonds vers un compte frauduleux.

L’importance d’une cybersécurité robuste

Bien que de nombreux dirigeants estiment que leurs investissements dans les mesures de cybersécurité sont suffisants, ces mesures doivent être complétées par de solides mécanismes de prévention de la fraude. Les investissements dans la cybersécurité ne peuvent pas, à eux seuls, prévenir toutes les formes de fraude si des processus internes robustes et une vigilance constante ne sont pas également en place.

Les principaux types d’escroqueries BEC

Les entreprises doivent être conscientes des principaux types d’escroqueries BEC :

  1. Fraude à la facture : Des e-mails provenant de fournisseurs légitimes contiennent de vraies factures, mais les comptes bancaires appartiennent à des fraudeurs. En 2023, 30 % des entreprises américaines ont été confrontées à ce type d’attaque.

  2. Fraude au PDG/Directeur financier : Des e-mails provenant des comptes du PDG ou des cadres supérieurs demandent des transferts de fonds vers des comptes frauduleux. C’est le troisième type de fraude le plus courant.

  3. Comptes piratés : Le compte de messagerie d’un employé demande le paiement de factures à des fournisseurs. Les paiements sont alors redirigés vers le compte de l’escroc.

  4. Vol de données : Les employés des services RH et comptables sont ciblés pour des vols d’informations personnelles identifiables (PII) ou d’informations fiscales sur les employés. Ces informations peuvent être utilisées pour détourner les fonds de paie.

  5. Demandes d’informations d’un cabinet d’avocats : Des courriels apparemment provenant du cabinet d’avocats d’une entreprise demandent des informations confidentielles.

Trois étapes pour se protéger contre les attaques BEC

Pour se protéger efficacement contre les attaques BEC, les entreprises peuvent suivre ces trois mesures clés :

  1. Mettre en place deux lignes de défense : Malgré des investissements importants dans les défenses informatiques, les violations de données atteignent des niveaux records. Il est crucial de compléter ces défenses par un logiciel de prévention des fraudes qui utilise l’automatisation pour vérifier que chaque paiement est dirigé vers un compte bancaire légitime.

  2. Assurer la précision des données de paiement : Le risque de fraude provient souvent des données de paiement obsolètes ou incorrectes des fournisseurs. Les entreprises doivent contrôler et mettre à jour régulièrement ces données pour s’assurer que chaque paiement est effectué en toute confiance.

  3. Encourager la collaboration interne : Les équipes de finance, de trésorerie et des achats doivent collaborer étroitement pour prévenir la fraude. La communication et la transparence entre ces équipes permettent de détecter et de répondre rapidement aux tentatives de fraude.

Les deepfakes, bien que préoccupants, ne représentent pas la menace principale pour les entreprises en matière de fraude. Les attaques BEC, en revanche, sont bien plus courantes et dévastatrices. Il est essentiel pour les entreprises de renforcer leurs défenses contre ces attaques en investissant dans des technologies de prévention de la fraude, en assurant la précision des données de paiement et en favorisant une collaboration étroite entre les équipes internes. En adoptant ces mesures, les entreprises peuvent se protéger efficacement contre les menaces actuelles et futures de la cyberfraude.

Retour aux actus
Copyright © 2024 - Solutions digitales pour la gestion des installations - Services spécialisés et formations pour PME & écoles en Wallonie