À partir de là, les cybercriminels ont pu soumettre d’autres informations de paiement afin de rediriger l'argent vers leur propre compte. Alors que l’affaire est toujours en cours d'enquête, Norfund a reconnu publiquement que leurs « systèmes et routines de sécurité existants n'étaient pas suffisamment sûrs ».

Ces attaques, connues sous le nom de compromission d’e-mails professionnels, autrement dit Business Email Compromise (BEC), fonctionnent parce qu’elles misent sur la nature humaine même et la vulnérabilité des individus. En s’appuyant sur des techniques avancées d'ingénierie sociale, les cybercriminels trompent les employés afin de pouvoir voler des informations d'identification, accéder à des données sensibles, réacheminer des chèques de paiement et transférer frauduleusement des fonds.

L'année dernière, 86 % des organisations dans le monde ont signalé des attaques BEC. Selon le FBI, les attaques BEC auraient coûté aux USA environ 1,6 milliard d’euros l’année dernière représentant plus la moitié des pertes totales en 2019 (3,2 milliards d’euros par an de pertes totales estimées en 2019 d’après le rapport) des entreprises du monde entier. Rien d’étonnant donc, à ce que les comités de direction soient de plus en plus sensibles à cette menace.

Similaires aux attaques BEC, il existe également les attaques par compromission de comptes internes (EAC). Le but pour le cybercriminel cette fois-ci n’est pas seulement d’usurper l’identité, mais d’en prendre complètement possession. Le cybercriminel prend le contrôle d’un compte de messagerie légitime d'un utilisateur en utilisant diverses tactiques, telles que la pulvérisation de mots de passe, le phishing et l’installation de logiciels malveillants. Une fois qu'il a accédé au compte, les possibilités sont infinies. Il peut voir comment la victime interagit, quel vocabulaire elle utilise, à qui elle envoie régulièrement des e-mails et peut donc élaborer des messages très convaincants et opportuns pour tromper la cible.

Les cybercriminels utilisent de multiples tactiques pour s’infiltrer au sein d’une entreprise. Ils passent par le web, ou la chaîne d'approvisionnement, en utilisant les vrais partenaires commerciaux ou même le propre domaine légitime des clients.

Cependant, il n'est pas toujours facile de faire la différence entre un e-mail légitime et une demande frauduleuse, et tout employé peut mettre en danger n'importe quelle entreprise. Les cybercriminels utilisent des techniques d’ingénierie sociale de plus en plus fines pour amener les employés à cliquer sur leurs liens corrompus. Le problème sous-jacent est le manque de sensibilisation à la cybersécurité parmi l’ensemble des collaborateurs.

Encore aujourd’hui, un nombre important de collaborateurs à l’échelle mondiale ne connaissent pas ou peu les bases de la cybersécurité : seuls 61 % comprennent le terme phishing, près d'une personne sur quatre qui reçoit un e-mail de phishing l'ouvre et plus de 10 % cliquent sur le lien malveillant ou ouvrent la pièce jointe sécurisée.

Il n’existe pas de hiérarchie dans les menaces de types BEC et EAC, elles concernent tout le monde. Elles visent des entreprises de toutes tailles et des personnes à tous les niveaux de l’organisation, ce qui les rend difficiles à détecter et à prévenir.

Quelques recommandations à l'intention des équipes de sécurité :

• Les attaques BEC et l'EAC sont liées. Si vous vous protégez uniquement contre la BEC mais que vous ne prenez pas en considération les attaques EAC, votre entreprise sera exposée aux risques.

• Mettez en place DMARC. Cette norme est l’équivalent d’un passeport dans le monde de la sécurité des e-mails. DMARC authentifie que vous l’expéditeur (champ FROM) est bien celui qu’il prétend être, en s’appuyant sur DKIM (Domain Keys Identified Mail) et SPF (Sender Policy Framework). La mise en œuvre de DMARC est un moyen efficace de se protéger contre l'usurpation de domaine : cette authentification protège les employés, les clients et leurs partenaires, contre les cybercriminels qui cherchent à usurper l’identité d’une marque de confiance.

• Les cybercriminels utilisent souvent des techniques de phishing pour compromettre les comptes de messagerie. Bloquez tout accès à des sites suspects qui pourraient voler les identifiants des utilisateurs finaux.

• Vous devez savoir qui est en danger pour votre entreprise. Une fois les personnes vulnérables aux attaques BEC/EAC identifiées, mettez en place des contrôles adaptés.

• Ces attaques se concentrent uniquement sur les personnes. Les utilisateurs finaux doivent être formés aux tactiques d’usurpation d’identité, aux tentatives de phishing, et à la création de mots de passe solides.

Plus de 99 % des cyberattaques requièrent une action humaine pour se propager. Les utilisateurs finaux sont toujours en première ligne dans la lutte contre les cybercriminels, qui perfectionnent sans cesse leurs compétences et leurs techniques pour arriver à leurs fins.

Si toutes les entreprises ne mettent pas, elles aussi, leurs collaborateurs au cœur de leurs systèmes de défense, il ne pourra y avoir qu’un seul gagnant, comme l'a découvert à ses dépens Norfund.

Par Loïc Guézo, Directeur de la Stratégie Cybersécurité au sein de Proofpoint