L’usurpation d’identité à des fins lucratives n’a rien de nouveau, mais les entreprises de toute nature sont aujourd’hui confrontées à des fraudeurs de plus en plus sophistiqués qui font franchir un nouveau palier à ce type de délit. Pour les gestionnaires de risques, il n’est pas étonnant que la fraude par ingénierie sociale soit un sujet d’actualité. Cette fraude en plein essor se présente sous de nombreuses formes. Les grandes entreprises sont à risque parce que leurs employés ne se connaissent pas forcément et qu’elles sont implantées dans différents endroits, tandis que les petites entreprises peuvent avoir des contrôles plus faibles – en fait, toute entreprise est une cible.

Parmi les exemples, citons la fraude au fournisseur, où les criminels peuvent obtenir des factures en piratant les systèmes d’un fournisseur ou en utilisant un papier à en-tête pour créer des factures ou d’autres documents. En règle générale, cette pratique peut se poursuivre jusqu’à ce que le véritable fournisseur se rende compte qu’il n’a pas été payé. Les fraudeurs peuvent demander le paiement par courrier électronique ou appeler le service comptable. Ces criminels ne sont pas naïfs – ils ont fait leurs devoirs et lorsqu’ils décrochent le téléphone, ils ont l’air sincère. Il est probable qu’ils connaissent le nom de leur interlocuteur et qu’ils disposent de nombreuses autres informations qui les font paraître légitimes. Ils peuvent donner l’impression d’être tout à fait raisonnables lorsqu’ils disent que les coordonnées bancaires ont changé ou qu’ils fournissent de nouvelles factures contenant ces dernières. Dans les grandes organisations, la fraude peut se produire lorsqu’un criminel se fait passer pour un directeur régional, par exemple, et demande des virements au siège. Là encore, il y a eu des cas où ces escroqueries ont été réalisées avec facilité parce que les détails sont si réalistes. Il y a tellement de données en circulation et les criminels déterminés ont les moyens de trouver les coordonnées bancaires et les mots de passe, que ce soit par piratage, par hameçonnage ou en exploitant les faiblesses des contrôles internes. Les criminels peuvent également se faire passer pour des membres de l’équipe de lutte contre la fraude d’une banque – ils disposeront là encore de nombreuses informations et demanderont un virement pour protéger les fonds. Ils donneront un sentiment d’urgence à l’employé pour qu’il se sente déstabilisé et qu’il se sente obligé d’agir immédiatement. Les fraudeurs peuvent utiliser des numéros de téléphone et des adresses électroniques convaincants, et certains utilisent même des bruits de fond pour donner l’impression que l’appel provient d’un centre de contact légitime. Des numéros de téléphone peuvent également être envoyés par courriel ou par texto pour demander à être rappelé par un fraudeur à la langue bien pendue. Les sociétés de services financiers et les détaillants utilisent de plus en plus le courrier électronique et les SMS pour communiquer avec leurs clients, ce qui peut donner l’impression que les demandes sont légitimes. De nombreuses entreprises et particuliers reçoivent des courriels de fournisseurs authentiques, tels que des détaillants, et sont habitués à effectuer des paiements en ligne. Plutôt que de se faire passer pour des princes nigérians ou d’offrir des prix de loterie, les escrocs se font désormais souvent passer pour des entreprises telles qu’Amazon ou des banques. Ils peuvent dire qu’un paiement a été refusé et demander de nouveaux détails, avec des pages de connexion presque identiques. Les responsables de la gestion des risques sont en mesure de repérer de nombreuses fraudes par ingénierie sociale. Mais un employé moins avisé et qui passe une journée de travail sous pression pourrait être la proie de ces fraudes. En fait, c’est le cas de beaucoup d’entre eux, puisque ce crime est une préoccupation majeure pour Interpol et les forces de police régionales. Cependant, trop d’entreprises font encore preuve de complaisance. Les nouveaux arrivants ayant une formation limitée et même le personnel temporaire peuvent avoir accès à des informations sensibles. Même en cas d’incertitude, un employé peut ne pas savoir à qui s’adresser pour obtenir des conseils. Les gestionnaires de risques ont donc un rôle clé à jouer dans la promotion d’une formation approfondie de tous les employés, de bons systèmes et processus et d’une couverture d’assurance appropriée, ce qui peut rendre la vie des fraudeurs de l’ingénierie sociale beaucoup plus difficile. Tout incident doit être suivi de près et éventuellement utilisé pour la formation.

La fraude par ingénierie sociale est plus facilement perpétrée dans les organisations où les lignes de communication et les protocoles sont médiocres – si le travail est trop pressurisé pour permettre des vérifications appropriées, c’est à la direction de s’en occuper. Trop de criminels y trouvent leur compte et il est temps de faire en sorte qu’il y ait beaucoup moins de victimes.