Il y a quelques mois, je vous ai parlé d’une évolution de la «cyberfraude au technicien bancaire» sur laquelle j’avais enquêté. Depuis la publication de cet article, les fraudes se suivent, se ressemblent, se complexifient et deviennent hybrides.

Sans forcément entrer dans les détails de ces cyberfraudes, je vais aujourd’hui écrire sur leurs impacts et sur les recommandations à observer au plus vite dans votre vie professionnelle et même personnelle.

Au travers des enquêtes, j’ai eu une prise de conscience. Les entreprises victimes de ces cyberfraudes et cyberattaques, outre la perte financière directe en dollars liée à la fraude menée par le cybercriminel, ont littéralement subi un choc. Un choc comparable à celui ressenti lors du premier cambriolage, à une crise de confiance lors d’un détournement de fonds, ou à un remaniement totalement inattendu dans la haute direction. Ces états de choc ne sont malheureusement pas quantifiables, bien qu’ils bouleversent directement la culture et les motivations individuelles de l’organisation.

Ces enquêtes m’ont aussi permis de comprendre que la cyber-assurance est un passage quasi obligé de toute activité professionnelle qui intègre l’Internet et l’informatique dans son modèle d’affaires.

Toutes ces victimes se sont posé la fameuse question du «pourquoi moi ?». La réponse est simple : chaque personne morale ou physique a une «digital persona» évaluée et définie comme plus ou moins vulnérable par les cybercriminels. C’est le cas si vous ou votre entreprise avez répondu facilement et bien volontiers à quelques sondages marketing ou à des questions sur votre fonction hiérarchique ou celle de vos collègues, ou si votre organisation a quelques identités compromises publiées sur le dark Web et qu’un scan rapide de découverte de votre site web ou de votre infrastructure TI a révélé plusieurs vulnérabilités. Alors, le cybercriminel conclura que vous êtes une cible de choix plus rentable (effort vs réussite de la cyberattaque) que votre voisin.

Ainsi, votre profil holistique de victime créé par les cyber-fraudeurs et les cybercriminels découle directement de vos comportements, pratiques et habitudes de navigation professionnels et parfois même personnels, ou de ceux de vos collègues.

Vous comprendrez que passer de l’état de cible à celui de victime est souvent lié au facteur humain et à votre capacité de réagir à «ce qui vous semble louche». Dans les enquêtes que j’ai menées, bien du dommage et de la perte financière auraient pu être évités si l’individu ciblé avait posé des questions. Cette conclusion s’applique également aux employés de la banque qui étaient la ligne ultime de défense. Bref, un bon antivirus ou antimalware ne vous protègent pas d’un excès de confiance, ils peuvent même l’aggraver. Mes clients victimes de cyberextorsion me disent parfois qu’ils n’accepteront jamais les revendications des criminels, alors que d’autres affirment que payer sera toujours plus facile. La réponse n’est pas noire ou blanche. Elle est bien grise : il faut négocier, il peut y avoir une stratégie de cyberintelligence, mais pour la définir, il faut simuler.

Vous comprenez que l’impact des cyberattaques est bien souvent humain, car elles ciblent le «nerf de notre guerre». Si vous commencez à croire qu’il vous faut agir, alors définissez une approche holistique : suis-je personnellement à risque ? Vérifiez l’état de votre identité par BreachAlarm ou Have i been pwned. Puis considérez ne pas utiliser le même mot de passe partout. Séparez le plus possible votre écosystème de données personnelles de celui de vos données professionnelles. Par exemple, s’envoyer du travail à son courriel personnel est vraiment une habitude à bannir pour des raisons contractuelles, légales et de sécurité.

En conclusion, il faut être prêt. Cela veut dire : s’ouvrir un portefeuille de cryptomonnaie à l’avance pour pouvoir réagir vite au besoin ; poser des questions et rester vigilant ; toujours obliger son interlocuteur à être recontacté à son courriel officiel ou au numéro de téléphone officiel de son organisation ; simuler des cas de cybercrises ; imaginer que des données de ses clients ont été dérobées et mettre au point un scénario de réponse.

Même si le mot «cyber» implique la technologie, l’élément différenciateur, c’est vous, vos collègues et votre vigilance.

ARTICLE TIRÉ DE LA ZONE EXPERTS

Chaque semaine sur Finance-Investissement.com

* premier directeur, services-conseils cybersécurité chez Richter