[Dossier] Les daf en première ligne des nouvelles formes de cyberattaques

Ce fut certainement le piratage le plus spectaculaire de ces derniers mois : un directeur administratif et financier, basé à Hong Kong, reçoit en pleine matinée un mail pour se connecter à une réunion du comité exécutif. Sur cet appel par vidéoconférence, quelqu'un se faisant passer pour un cadre supérieur de son entreprise lui demande de transférer de l'argent, plus de 26 millions d'euros, vers des comptes bancaires désignés. Il s'agissait en réalité d'une fausse réunion, tout comme les voix et les personnages présents à cette réunion virtuelle. Après quelques échanges destinés à instaurer la confiance, ce cas de fraude au président, généré par l'intelligence artificielle, confirme la menace à l'oeuvre. L'utilisation de l'IA et du machine learning dans les cyberattaques permet aux cybercriminels de développer de nouvelles stratégies et de changer d'échelle par le gain en précision. « L'IA va les aider à créer un contenu pertinent. Si je ne connais pas le jargon d'un directeur financier, je peux m'appuyer sur cet outil pour créer du contenu personnalisé autour d'une facture, d'un impayé, en plaçant des éléments de contexte », explique Romain Basset, directeur des services clients de l'entreprise de cybersécurité Vade.

Une recrudescence des faux ordres de virement et d'attaques par emails

Depuis cette agression hors norme, les attaques n'ont fait que se multiplier. 64 % des entreprises françaises ont subi au moins une tentative de fraude en 2023. Les grandes entreprises sont particulièrement visées, avec 69 % d'entre elles ciblées au moins une fois, selon une étude publiée en janvier 2024 par la société Trustpair, entreprise de logiciels de prévention de la fraude au virement. Le nombre croissant de ces attaques n'est pas le seul élément préoccupant, car les fraudeurs sont de plus en plus habiles. L'an passé, pas moins de 37 % des organisations ont été victimes d'au moins une fraude réussie, marquant là encore une augmentation significative de 14 points (lire notre encadré). Selon un rapport d'activité publié par le gouvernement en mars 2024, le piratage de compte prend en 2023 la première place des recher­ches d'assistance des entreprises avec une hausse de 26 %. L'hameçonnage (21 %), une technique utilisée par des ­fraudeurs pour obtenir des données personnelles et financières dans le but de perpétrer une usurpation d'identité, et les attaques par rançongiciels suivent (17 %), et affichent une augmentation en volume. Globalement, le classement des principales menaces reste assez similaire à 2022. Les attaques en hausse les plus significatives concernent les faux ordres de virement (+62,7 %), ainsi que les sites Internet professionnels avec les défigurations de sites (+61 %) et les dénis de service (+41 %), une attaque informatique ayant pour but de rendre indisponible un service, d'empêcher les utilisateurs légitimes d'un service de l'utiliser. « Le contexte géopolitique, les conflits répétitifs, la guerre en Ukraine ou des tensions comme celles entre l'Azerbaïdjan et l'Arménie notamment ont des répercussions dans le monde numérique. La cybercriminalité sponsorisée par un État est active de par ces tensions, constate Romain Basset. Un contexte qui se traduit par des tentatives de phishing, des ramsomwares et des attaques par déni de service, des interruptions de services de quelques minutes, qui peuvent nuire à l'image et au business. »

Des directions financières particulièrement visées

L'exposition des entreprises sur Internet, via la mise en place d'outils collaboratifs, de systèmes de partage de fichiers, est de plus en plus importante. Fait aggravant : elles n'ont pas toujours mis en oeuvre l'ensemble des moyens de sécurité qui permettent de sécuriser ces échanges. Selon Marc Behar, fondateur du cabinet XMCO créé il y a 22 ans, les directions financières sont pourtant particulièrement visées, en raison des données sensibles qu'elles manipulent. « Vous avez plusieurs profils d'attaquants : des activistes qui causent des nuisances, des perturbations, et des réseaux criminels pour lesquels le détournement d'argent est un métier. Ces activités de cybercriminalité cherchent à obtenir des rançons, à détourner des flux financiers. Les directions financières sont donc concernées au premier chef », estime l'expert.

L'email, premier vecteur d'attaques

La majorité des cyberattaques utilisent l'email comme premier vecteur d'attaque. Aux États-Unis, ces six derniers mois, plusieurs directions financières d'entreprises ont été victimes d'attaques par emails. La configuration est peu ou prou la même. Un assistant comptable reçoit un mail d'un tiers, venant d'une organisation caritative. Dans ce mail, aucun lien et fichier malveillant, mais plusieurs échanges entre ce tiers et le responsable de l'assistant comptable, en l'occurrence le directeur administratif et financier. Le Daf initie la conversation rapportant à cette organisation caritative sa volonté de sponsoriser le gala et demande à son subordonné de réaliser le virement. « Il s'agit en réalité d'un échange qui n'a jamais existé, mais qui reste crédible. Il y a un réel effort de construction d'un email avec une date, un expéditeur, un destinataire et des échanges entre ce tiers et le Daf, ce qui complique la tâche du point de vue de la détection », commente Romain Basset.

Les arnaques au détournement de salaire

Autre tendance récente de cyberattaque qui vise là aussi les services financiers et comptables des entreprises : les payroll fraud ou les arnaques au détournement de salaire. « Cette attaque vise les services RH autour du 20 du mois, à l'appro­che des virements de salaires. Le gestionnaire de paie reçoit le mail d'un collaborateur en lui précisant qu'il vient de changer ses coordonnées bancaires. Le hacker va ici usurper l'identité d'un salarié. Les équipes financières ont souvent mis en place des procédures de vérification de RIB pour les virements extérieurs, mais pas forcément en interne dans leur service », rapporte Romain Basset. Enfin, le spear phishing est la cybermenace la plus coûteuse et une forme d'attaque par email très ciblée, basée elle aussi sur l'usurpation d'identité. Dans ce type d'attaque, souvent motivé par l'appât du gain, un cybercriminel se fait passer pour une personne connue de la victime et utilise des techniques d'ingénierie sociale efficaces pour la piéger. Le but de l'attaque est de créer un historique de communication avec la victime afin qu'elle baisse sa garde et empêche certaines solutions de sécurité de l'email de signaler les emails suivants comme malveillants. Parmi les services les plus visés par les hackers, la direction financière et la comptabilité arrivent en tête (40 %), suivis des ressources humaines et paie (20 %), du service administrations (10 %) et de la direction d'entreprise, selon une étude menée par Vade, entreprise spécialisée dans la sécurisation des emails, publiée en février 2024. « Cela n'est pas une surprise, puisque ces services contrôlent les actifs financiers et les actions des entreprises, en plus de gérer des informations sensibles dont les hackers peuvent tirer parti », commente Romain Basset. Afin de contourner ces risques, il semble vital que les organisations restent vigilantes et prennent des mesures proacti­ves pour sécuriser leurs réseaux et leurs appareils.