Economie

Cybercriminalité : les entreprises peu actives face aux risques

Le dernier baromètre Euler Hermes-DFCG fait état d’une augmentation du risque de fraude et de cybercriminalité en entreprise, aussi bien en fréquence qu’en intensité. Si la menace est bien identifiée, les investissements ne suivent pas. Décryptage.

Houda EL HAYDIA et B.L - 27 juin 2019
______

Si le nombre de victimes d’au moins une tentative de fraude reste identique à celui de 2017, avec 7 entreprises sur 10 touchées, ces dernières doivent faire face à des pirates davantage déterminés et qui n’hésitent plus à récidiver à plusieurs reprises. C’est le constat dressé par le 5ème baromètre de la DFCG, association nationale des directeurs financiers et de contrôle de gestion, et de l’assureur-crédit Euler Hermes, dévoilé le 18 avril dernier. En effet, en 2018, 1 entreprise sur 5 a dû affronter plus de 10 tentatives de fraude dans l’année, contre 1 sur 10 seulement en 2017. Les périodes de congés, les week-ends et les veilles de week-end constituant les dates favorites des pirates. 

Malgré cette accentuation d’attaques, divers dispositifs ont permis de faire baisser le nombre de fraudes avérées à 26 % en 2018, alors qu’il atteignait les 30 % en 2017. Les préjudices subis sont par contre de plus en plus conséquents. D’après l’étude, 13 % des entreprises ont ainsi perdu plus de 100 000 euros l’an dernier, contre 10 % seulement en 2017. D’autres structures ont été impactées plus sévèrement avec un préjudice qui dépasse les 500 000 euros (5 % en 2018, soit + 2 points par rapport à 2017).

Le risque de fraude : une préoccupation majeure pour les entreprises

Autre enseignement du baromètre, conscientes de la menace qui les guette, 8 entreprises sur 10 craignent une accentuation du risque de fraude et de cybercriminalité en 2019 (7 sur 10, l’année dernière). Les cyberattaques constituent en effet le risque financier le plus redouté par ces dernières à 50 %, devant le défaut de paiement à 33 %, l’interruption d’activité (32 %), la conjoncture économique (31 %) et l’usurpation d’identité à 29 %. Toutefois, 59 % des établissements n’ont alloué aucun budget spécifique pour faire face à la fraude, tandis que plus des deux tiers ne sont pas assurés pour ce risque.

Près de la moitié des entreprises interrogées dans le cadre du baromètre ne disposent, par ailleurs, d’aucun plan d’urgence à activer ni de plan de reprise de l’activité, en cas d’attaque avérée. Malgré cela, 80 % des répondants estiment leur structure conforme au  règlement européen sur la protection des données, le RGPD, entré en vigueur il y a un an, et 69 % jugent leur dispositif de protection satisfaisant. Ces chiffres, même s’ils semblent inquiétants, sont toutefois plus favorables que ceux de l’année précédente où 73 % des entreprises se pensaient protégées. 

Quel dispositif pour quelle fraude ?

Plusieurs types de fraude coexistent. Se faire passer pour un fournisseur pour obtenir des coordonnées bancaires est la manœuvre « préférée » des usurpateurs : 47 % des entreprises affirment ainsi avoir été confrontées à une fraude au faux fournisseur. Suivent les autres usurpations d’identité (banques, avocats, commissaires au compte) évoquées par 30 % des entreprises sondées, la fraude au faux président, visant à ordonner des virements bancaires en urgence en se faisant passer pour le dirigeant de l’entreprise par 29 %. Les intrusions dans les systèmes d’information, afin d’obtenir des données, sont citées par 28 % et la fraude au faux client par 25 % des entreprises.

Pour lutter contre ces attaques croissantes, l’intervention humaine joue un rôle primordial. Plus de la moitié (56 %) des tentatives de fraudes ont ainsi été déjouées grâce à une réaction ou à une initiative humaine personnelle, contre 24 % à travers une procédure de contrôle interne, telle une double signature, et 20 % seulement via un dispositif technique. Les directions financières pilotent ce combat à 40 %, suivies par les directions informatiques à 19 %.

Au niveau des investissements, les dispositifs qui en ont profité sont les audits sécurité des systèmes d’information (SI) à 64 %, ceux destinés à renforcer les procédures de contrôle interne (62 %), la sensibilisation en interne et la formation de la direction financière à 61 %, la sensibilisation des autres directions (50 %). Sont ensuite évoqués le test d’intrusion (45 %), le plan de reprise d’activité (31 %) et la solution d’assurance (28 %). 

« Au-delà des investissements et de l’impérieuse nécessité de coopérer entre DAF [direction administrative et financière] et DSI [direction des systèmes d’information], les entreprises doivent faire preuve de bon sens, être discrètes, éviter toute négligence, et surtout ne pas se dire que cela n’arrive qu’aux autres», résume Bruno de Laigue, Président du réseau DFCG.