Rares sont les entreprises qui se sentent concernées par la cybercriminalité. Pourtant, ce fléau est susceptible d’entraîner d’importantes pertes financières et de graves perturbations informatiques. De nombreux fraudeurs ont par ailleurs profité de la crise sanitaire pour multiplier les attaques, notamment dans les secteurs de la santé. Quelles sont les principales menaces, et comment s’en protéger ?
CYBERSÉCURITÉ : LES BONNES PRATIQUES À ADOPTER
LES DIFFÉRENTS TYPES DE CYBERATTAQUES
On appelle « cyberattaque » toute attaque malveillante ciblant un ordinateur, un réseau informatique, ou un téléphone portable, dans le but de nuire à une société ou un individu. Dans la plupart des cas, il s’agit de voler vos données personnelles, comme vos mots de passe et numéros de carte bancaire, pour vous soutirer de l’argent. Un pirate informatique peut aussi cibler votre entreprise en menaçant d’endommager votre réseau informatique si une rançon n’est pas versée.
- Le phishing (« hameçonnage ») consiste à vous envoyer un e-mail vous incitant à cliquer sur un lien ou à télécharger un fichier pour renseigner vos informations personnelles : numéro de carte bancaire le plus souvent, mais aussi mots de passe ou adresse. Cette technique de fraude peut être redoutablement efficace car l’émetteur se fait le plus souvent passer pour un organisme reconnu : votre banque, votre fournisseur d’accès internet, le centre des impôts… Le phishing peut être parfois très ciblé et extrêmement convaincant, lorsqu’il a été personnalisé à l’aide d’informations trouvées sur internet (on parle de « spear phishing »).
Le « phishing » ne doit pas être confondu avec le « spam » qui est un simple courrier indésirable envoyé en masse pour inciter à l’achat, mais qui ne cherche pas à soutirer vos données personnelles et confidentielles contre votre gré.
Exemple de phishing (phrase d’introduction) :
Vous êtes admissible à un remboursement d’impôts. Cliquez vite sur ce formulaire pour en bénéficier.
Vous êtes admissible à un remboursement d’impôts. Cliquez vite sur ce formulaire pour en bénéficier.
- Le smishing est un phishing par SMS : le principe est le même, à ceci près que l’-e-mail est cette fois remplacé par un SMS frauduleux. Il comporte également un lien vous dirigeant vers un site ou une page cherchant à soutirer vos informations.
Exemple de smishing :
SG INFO.
Votre compte a été verrouillé pour des questions de sécurité. Veuillez débloquer vos accès ici : securite-societegen.fr
SG INFO.
Votre compte a été verrouillé pour des questions de sécurité. Veuillez débloquer vos accès ici : securite-societegen.fr
- Le vishing est une tentative d’hameçonnage via un appel téléphonique ; il prend souvent le relais du phishing ou du smishing. Au bout du fil, un individu se fait par exemple passer pour un conseiller bancaire ou pour le service fraude de la banque, et vous demande vos informations personnelles et confidentielles pour résoudre un problème. Certains escrocs peuvent également prétendre être un service d’assistance, et demander à prendre la main sur votre ordinateur à distance. Jamais l’assistance SG ne vous le demandera.
L’appel peut aussi être émis par la voix digitalisée d'un serveur électronique, sans intervention humaine.
- Le rançonnage (ou ransomware) est une attaque par logiciel qui verrouille ou menace de détruire les fichiers de votre réseau informatique si une rançon n’est pas payée, ou des informations confidentielles ne sont pas communiquées. Contrairement aux idées reçues, les TPE et PME sont privilégiées par les cybercriminels, car leurs données sont généralement moins bien sécurisées que celles des plus grosses entreprises.
LA FRAUDE EN CHIFFRES
53%
DES ENTREPRISES ONT ÉTÉ VICTIMES
D’UNE FRAUDE DANS LES DEUX ANS*
14,7 MILLIONS D’EUROS
MONTANT RECORD D’UNE FRAUDE
AU FAUX VIREMENT EN FRANCE*
72%
DES FRAUDES SONT EXTERNES
À L’ENTREPRISE*
7 MOIS
DÉLAI MOYEN D’IDENTIFICATION
D’UNE VIOLATION DES DONNÉES*
* www.lunion.fr/id234241/article/2021-02-18/arnaque-au-faux-president-le-cder-escroque-de-presque-15-millions-deuros
53%
DES ENTREPRISES ONT ÉTÉ VICTIMES
D’UNE FRAUDE DANS LES DEUX ANS*
14,7 MILLIONS D’EUROS
MONTANT RECORD D’UNE FRAUDE
AU FAUX VIREMENT EN FRANCE*
72%
DES FRAUDES SONT EXTERNES
À L’ENTREPRISE*
7 MOIS
DÉLAI MOYEN D’IDENTIFICATION
D’UNE VIOLATION DES DONNÉES*
* www.lunion.fr/id234241/article/2021-02-18/arnaque-au-faux-president-le-cder-escroque-de-presque-15-millions-deuros
COMMENT RECONNAITRE UNE CYBERATTAQUE ?
Quelques règles simples et un peu de vigilance s’imposent pour ne pas être victime de cyber-attaque.
Gardez à l’esprit que ni votre banque, ni votre fournisseur d’accès internet, ni un site web marchand, ni un organisme d’État (Trésor Public, Urssaf…) ne vous demandera d’informations personnelles et confidentielles par email, SMS, ou appel téléphonique non sollicité.
Tout courrier électronique (ou SMS) provenant d’un expéditeur inconnu doit vous alerter, surtout si le message vous demande d’agir rapidement : les escrocs créent toujours un sentiment d’urgence pour ne pas vous laisser le temps de réfléchir. Ne vous pressez pas, et vérifiez tranquillement l’adresse -e-mail de l’expéditeur.
Lisez attentivement l’objet de l’email et le texte. Les fautes d’orthographe ou le manque de cohérence des textes doivent vous alerter. Attention toutefois, les emails frauduleux sont de plus en plus travaillés et ne comportent pas toujours de fautes d’orthographe.
Si vous consultez l’email à partir d’un ordinateur, passez la souris SANS CLIQUER sur le lien pour voir la véritable adresse du lien url. Si cette adresse diffère de celle(s) des messages que vous recevez habituellement de SG, ne répondez pas.
Soyez encore plus vigilant lorsque vous recevez un SMS : le smishing prend la forme d’un message court qui comporte moins d’erreurs, et il est plus difficile à identifier. Le lien de redirection qu’il contient doit suffire à vous alerter. Si l’appelant se présente comme un organisme reconnu, cherchez son numéro de téléphone via son site internet et contactez-le directement.
Soyez attentif, prenez votre temps et ne cliquez jamais sur un lien directement.
Effectuez régulièrement des sauvegardes sur des périphériques externes.
Changez régulièrement vos mots de passe et privilégiez un mot de passe unique par compte.
Mettez à jour régulièrement vos principaux logiciels et privilégiez les mises à jour automatiques.
QUI CONTACTER EN CAS DE DOUTE ?
Vous pensez avoir été victime de fraude ? Ne perdez pas une minute, et déposez plainte auprès des services de Police nationale ou de Gendarmerie nationale en vous munissant de votre pièce d’identité et de tous les renseignements pouvant servir à identifier l’escroc (copie d’email ou de SMS notamment).
- Vous pouvez également contacter INFO ESCROQUERIES en appelant le 0 805 805 817 (service et appel gratuits du lundi au vendredi de 9h à 18h30), et effectuer un signalement sur le site internet-signalement.gouv.fr.
- Si des opérations frauduleuses apparaissent sur votre compte courant Professionnels, rapprochez-vous de votre Conseiller Clientèle Professionnels, qui saura vous indiquer la marche à suivre pour les contester.
Si vous avez cliqué sur un lien suspect et fourni vos informations bancaires ou de connexion :
- Faites opposition à votre carte bancaire, en quelques clics depuis votre Appli PRO ou votre Espace Client.si vous avez fourni les informations à des tiers.
- Changez votre mot de passe d’accès à l’Espace Client concerné, et plus généralement sur tous les autres sites sur lesquels vous avez pu l’utiliser.
Pour toute question concernant la sécurité informatique, vous pouvez consulter la rubrique « Sécurité du site internet » sur professionnels.sg.fr
EN TOUTE SÉCURITÉ AVEC SG
SG ne vous envoie des e-mails et SMS que pour vous apporter des informations utiles concernant votre compte courant Professionnels (mise à disposition de chéquier ou de carte bancaire…) ou des actualités bancaires (lettre d’information, évolutions réglementaires…).
Ces emails et SMS peuvent vous rediriger vers une page de notre site internet.
SG ne vous demandera jamais de transmettre par email, SMS ou téléphone des informations bancaires comme les données de carte bancaire (numéro, code secret, cryptogramme, date de validité) ou l’identifiant/mot de passe que vous utilisez pour vous connecter à votre Espace Client.
Un doute sur l’authenticité d’un message ? N’hésitez pas à le supprimer et à contacter votre Conseiller Clientèle Professionnels ou le service client. Vous pouvez également transférer le message à notre équipe Sécurité à l’adresse securite@societegenerale.fr.
Pour encore mieux vous protéger, SG renforce continuellement la sécurité de ses communications numériques : mise en place de blocs de sécurité, liens vers les comptes sociaux SG…