Ce matin, Waterloo Brewing a annoncé qu’ils avaient été victimes d’une attaque d’ingénierie sociale qui leur a coûté 2,1 M$.
Ils expliquent que l’attaque était basée sur l’usurpation d’identité et le virement télégraphique frauduleux. À leur connaissance, leur système n’a pas été infiltré et aucune donnée sur les clients n’a été volée.
Malheureusement, ce type d’attaque arrive aux Canadiens plus souvent, et aucune entreprise ou industrie n’est complètement protégée.
Cet été, la ville de Saskatoon a transféré 1 M$ à un fraudeur qui avait pris l’identité du directeur principal des finances d’une entreprise de construction avec laquelle la ville travaillait.
Bien qu’aucune attaque réussie n’ait encore été rapportée, la GRC du Yukon a tout de même commencé, ce mois-ci, à mettre en garde les membres de diverses communautés contre les courriels frauduleux qui se font passer pour les employeurs des destinataires.
Et ce ne sont pas que les entreprises qui sont ciblées. L’enquête sur la fraude 2019 des Comptables professionnels agréés du Canada a relevé que 53 % des Canadiens ont affirmé avoir fait l’objet d’une tentative de fraude par courriel. Un récent cas majeur était un homme de Calgary qui a transféré près de 800 000 $ à un fraudeur qui se faisait passer pour un courtier immobilier alors qu’il cherchait à acheter une propriété.
Ce qui est effrayant à propos de l’incident touchant Waterloo Brewing est que la technologie ne pouvait pas protéger la brasserie de cette attaque; il ne s’agissait pas de piratage, d’une brèche de sécurité ou d’un logiciel malicieux. En effet, c’étaient des personnes, et non des machines, qui étaient les acteurs principaux derrière l’attaque.
Sans des connaissances poussées des fondamentaux de la cybersécurité, les gens serviront toujours de portail entre leur entreprise et les fraudeurs. Alors, comment peuvent-elles se défendre?
Réviser les politiques de l’entreprise
La première approche à prendre pour réduire les risques est de réviser les politiques de l’entreprise en ce qui a trait à l’argent et aux méthodes de paiement. Ceci pourrait inclure une révision des étapes d’approbation et des flux de travaux personnels et peut-être l’intégration de certaines solutions technologiques.
Par exemple, le département des finances du Centre hospitalier pour enfants de l’est de l’Ontario (CHEO) n’accepte pas les autorisations par courriel de leur administrateur principal. Il exige plutôt une visite en personne pour autoriser des dépenses.
« Notre département des finances reçoit quelques courriels du “faux moi” chaque semaine, alors ils ignorent mes messages électroniques et ont plutôt choisi de me faire des visites sympathiques »
président-directeur général du CHEO.
Éduquer les employés
Il est également important de mettre en place des formations sur la sensibilisation à la cybersécurité pour tous les employés de votre organisation, afin qu’ils puissent être en mesure de repérer des offres frauduleuses, de faux sites Web ou des courriels employant une identité contrefaite.
Les formations sur la sensibilisation à la cybersécurité n’ont pas à montrer uniquement comment déterminer les risques; elles peuvent également être utilisées pour renforcer les pratiques internes et les politiques. Les entreprises qui ont une plateforme de formation devraient inscrire leurs employés à des cours obligatoires sur les processus et les politiques critiques à respecter, et exiger qu’ils les étudient à nouveau sur une base régulière.
Selon notre sondage annuel sur la cybersécurité, nous avons découvert que seulement 41 % des entreprises obligent tous leurs employés à participer à une formation sur la sensibilisation à la cybersécurité. Même les personnes les plus alertes contre la cyberfraude se font parfois avoir. C’est la raison pour laquelle une formation continue est importante pour tous.
Une personne a bel et bien effectué ces virements télégraphiques au sein de Waterloo Brewing, et la seule manière de nous protéger de ce type de fraude est de sensibiliser les employés et leur donner les outils pour sentir lorsqu’une situation semble anormale.
Ainsi, les membres de votre équipe peuvent continuer à boire leur bière en toute quiétude, au lieu de boire pour oublier les millions qu’ils ont perdus aux mains d’un fraudeur.
Jon champions the people-side of cybersecurity as the marketing lead for CIRA’s cybersecurity awareness training platform. His background in enterprise data marketing and teaching organizational behaviour at the university level allows him to develop resources for Canadian businesses to help them engage their employees and empower them to reduce their cyber risk.
