Êtes-vous encore le gérant de votre entreprise? Drôle de question n’est-ce pas? Pourtant, dans la lignée des usurpations et des vols d’identités, un nouveau type d’arnaque aux entreprises s’est développé ces dernières années: l’usurpation du titre d’administrateur délégué.
La pratique est malheureusement très simple. Les malfaiteurs s’inscrivent comme « administrateur délégué » d’une entreprise auprès du Moniteur Belge. Il leur suffit de déposer une demande au greffe avec une simple signature au dos. Dix jours plus tard, le moniteur publie l’information sur son site et les malfaiteurs utilisent la publication pour avoir accès aux comptes de l’entreprise et pour faire un nettoyage de ceux-ci par le vide.
Heureusement, le cabinet d’avocat Tack51 en association avec la fédération des chambres de commerce de Belgique et la société de développement applicatif Tri-S ont développés une application qui vous permet d’être automatiquement averti lorsque que votre société est mentionnée dans les annexes du moniteur Belge: www.publications-legales.be
Un petit service simple et gratuit qui vous permet tout au moins de détecter une tentative de fraude de ce genre rapidement et sans effort.
Selon l’édition 2016 du Global Market Pulse Survey de l’éditeur de logiciel Sailpoint, 27% des employés américains sondés seraient prêt à vendre leur codes d’accès à leur réseau d’entreprise contre « seulement » 16% des répondants Français et Anglais et 12% des Hollandais. En moyenne 1 employé sur 5, parmi le millier interrogé dans de grandes entreprises (minimum 1000 personnes), serait donc prêt à monnayer son mot de passe.
Encore plus inquiétant est le prix demandé par ces employés peux scrupuleux: 1.822$ pour les Français, 3.874$ pour les Anglais et 50.770$ pour les américains. Notez que les Hollandais qui semblent être les plus loyaux dans cette étude sont aussi ceux qui seraient le plus gourmand pour vendre leur secret: 466.667$ pour utiliser leurs accès. Ils connaissent la valeur, et probablement aussi l’impact, de leur traîtrise.
Notez aussi que parmi les employés indélicats prêt à torpiller la sécurité de leur entreprise pour quelques billets, 56% des Anglais (soit 8,96% des répondant) ne vous demanderaient pas plus de 1000$, pour 50% des Français (8% des répondants) et 40% des Américains (10,8% des répondants).
Pour corroborer le résultat de la démonstration d’ingénierie sociale que nous avions réalisé en 2015 avec la RTBF, indique que 65% des employés interrogés utilisent le même mot de passe pour toutes les applications de l’entreprise. C’est plus élevé que les 33% que nous avions trouvé mais cela peut être expliqué par la différence de taille de l’échantillon, les différence culturelles (73% chez les Français contre 53% chez les Allemands par exemple dans l’étude Sailpoint) et le fait que la question n’est pas totalement identique (Le même mot de passe partout vs. le même mot de passe sur toutes les applications de l’entreprise).
La gouvernance sécurité des grandes entreprises ne sort pas épargnée de cette étude qui indique qu’en moyenne 42% des personnes interrogées avaient encore accès au systèmes de leur entreprise précédente après l’avoir quittée. Le processus Joiner-Movers-Leavers reste une des grandes difficultés des entreprises semble t’il. Et comme d’habitude, l’être humain reste une des vulnérabilité les plus facile et les moins chère à exploiter.
La « cyber » sécurité est un sujet qui est de plus en plus prioritaire dans les grandes entreprises, en ce y compris dans les organisations financières. Je ne suis pas un grand amateur de « buzz words » et « Cyber » ne fait pas exception à ce principe. Comme souvent, on utilise un nouveau mot que personne ne comprend réellement pour parler d’un sujet qui est déjà présent depuis bien des années. Dans ce cas-ci, la cyber sécurité couvre clairement le domaine de la sécurité informatique avec une certaine tendance à s’étendre jusqu’à la sécurité de l’information (qui n’est franchement pas uniquement Cyber). Quoi qu’il en soit, on ne va pas se plaindre si ça permet de sensibiliser un peu plus les conseils d’administration et autres « board of directors » aux problématiques de plus en plus importantes de la sécurité des systèmes d’information. D’autant plus que certaines entreprises plus sensibilisées que d’autres songent, si ce n’est déjà fait, à appointer un CCSO (Chief Cyber Security Officer, le nouveau nom à la mode pour la fonction de CISO ou de RSSI) comme membre de leur comité de direction, ce qui est la position hiérarchique idéale pour pouvoir mettre en place une gouvernance transverse de la sécurité au sein de l’entreprise.
La BIS (Bank for International Settlement), un organisme international regroupant les 60 banques centrales comptant pour 95% du PIB mondial, à publié en novembre 2015 son guide pour la cyber résilience des infrastructures critiques des marchés financier (Guidance on cyber resilience for financial market infrastructures).
Dans ce document de 25 pages, les experts du CPMI (Committee on Payments and Market Infrastructures) soulignent l’importance de la mise en place du gouvernance appropriée et d’une gestion des risques spécifiques afin de gérer les risques propres à chaque entité ainsi que les risques systémiques (ceux liés aux interdépendances entre les banques) posés par les nouvelles technologies et les « nouvelles » manières de travailler. A l’heure ou de plus en plus de banques et d’opérateurs d’infrastructure financières se penchent sur le phénomène blockchain, il est de plus en plus nécessaire d’avoir des personnes qui maîtrisent les enjeux des technologies, et des risques qu’elles représentent, qui soutiendront ces nouveaux produits (s’ils arrivent sur le marché).
En soi ce nouveau guide n’apporte pas de grandes nouveautés dans ses recommandations si ce n’est de souligner l’importance des échanges entre les différentes institution pour faire face aux menaces (il me semble que ces dernières années la sensibilisation aux risques systémiques a bien fonctionné dans le monde financier). Notons aussi l’éternel rappel au point 2.3.1 de l’ultime responsabilité du comité de direction pour définir la stratégie et s’assurer qu’elle est appliquée et efficace, pour ne pas dire efficiente. Les 2 points suivant remettant une couche sur la nécessité d’établir une réelle culture de la gestion des risques informationnels et de s’assurer que l’entreprise possède toutes les ressources qualifiées pour atteindre ses objectifs (ce qui reste un véritable challenge de nos jours, surtout si l’on regarde au delà des titres d’expert et des certifications). Pas étonnant d’ailleurs que celles-ci prennent part à des événements comme le Cyber Security Challenge pour trouver les perles rares qui vont les aider à relever les nombreux défis de la cyber sécurité.
Bref, un petit pas pour la BIS qui laisse entrevoir les nombreux autres petits pas à effectuer par nos institutions financières pour pouvoir survivre à l’aire digitale.
