« Fraude au président » : Un préjudice record de 33 millions d’euros pour un promoteur immobilier
Sefri-Cime, promoteur immobilier en activité depuis 1965 et comptant 65 collaborateurs, a été victime d’une lourde cyber-attaque. Une enquête a été ouverte le 30 décembre suite à une plainte déposée la veille auprès de la Brigade des fraudes aux moyens de paiement de la Police Judiciaire.
Une erreur humaine ?
Au cours du mois de décembre, un ou plusieurs escrocs ont réussi à piéger la comptable de l’entreprise. Contactée par les malfaiteurs à partir du 2 décembre, elle croyait échanger avec le président du groupe dont l’identité était alors usurpée. A la demande du « faux directeur », et sous prétexte d’une entrée en bourse à venir, elle a ordonné une quarantaine de virements vers différents pays (Hongrie, Croatie et Grèce).
La collaboratrice est tombée dans le piège malgré son ancienneté, confortée par des échanges complémentaires avec un faux avocat, également mandaté par les attaquants.
Le préjudice, devenant un record national, s’élève à plus de 33 millions d’euros. Une enquête a été ouverte.
La « fraude au président », et comment s’en prévenir
Apparue à la fin des années 2000, la « fraude au président » est une méthode d’ingénierie sociale. Elle consiste, pour un malfaiteur, à prendre contact avec une entreprise cible en usurpant l’identité de son président par diverses méthodes. Des échanges visent à instaurer une relation de confiance, puis la personne dupée reçoit une demande de virement urgente qui doit rester absolument confidentielle. L’attaquant prétextera également un changement de coordonnées bancaires, afin de se désigner comme bénéficiaire de ce virement et faire ainsi disparaître l’argent soutiré.
Ces attaques concernent les collaborateurs occupant des postes en lien avec la comptabilité, la gestion des comptes et autres aspects financiers. Elles sont appuyées par des recherches dans le but de réunir des détails sur l’entreprise, son dirigeant et ses employés, afin de viser les profils à risque et de crédibiliser les propos tenus aux victimes.
Afin d’éviter ces menaces au sein des entreprises, il est nécessaire entre autres de :
- Former l’ensemble des collaborateurs à l’identification des situations à risque et les bonnes pratiques pour y faire face.
- Appliquer des procédures de vérification avant chaque décision (e-mail , IP, signature)
- Mettre en place un protocole de gestion des incidents.
Pour approfondir
Notre formation CIPT (Certified Information Privacy Technologist)
Recommandations de la CNIL (Commission Nationale de l’Informatique et des Libertés) du 09 avril 2021
Bulletin de l’ANSSI (Agence Nationale de la Sécurité des Systèmes d’Information)