Conférence OpenSphere - La «Fraude au Président» Conférence OpenSphere 2016

Transcription

1 Conférence OpenSphere 2016 Xavier Debayle, CISSP / ISO27001 Lead Implementer Septembre

2 Chapitre La Fraude interne et la «Fraude au Président» 2

3 Les risques C est financiers quoi la sécurité de l information? Risques systémiques (liés à l activité) : Risque sur le prix des matières premières Risque de liquidité / Trésorerie Risque de taux change Risque des taux d intérêts Risques spécifiques : Risque réglementaire Risque de fraude interne Falsification des états financiers Détournement d actifs Risque de fraude externe Vol de matériel Contrefaçon Escroquerie (ex. Virements frauduleux) 3

4 Exemples C est de fraude quoi interne la sécurité de l information? Société Générale / Jérôme Kerviel 5 Milliards de perte Utilisation de vice de procédure (contrepartie) Trésorière chez PSA Détournement d environ 20 Millions Faux et usage de faux La Réunion n est évidemment pas épargnée... 4

5 La fraude externe C est quoi la sécurité de l information? Fraude au président de première approche : «Etes-vous au bureau?» «Je vais vous mettre en relation avec mon chargé d affaire/avocat pour une affaire urgente et confidentielle» Flatterie Intimidation Tunnel psychologique 5

6 Virements C est frauduleux quoi la sécurité de l information? Vocabulaire Fraude au président FOVI Arnaque au faux virements Social Engineering (ingénierie sociale) Spear Phishing Impact Financier Image de l entreprise Sur les employés (licenciement, drame humain ) 6

7 Exemple de C est fraude quoi externe la sécurité de l information? BRM (société immobilière en métropole) 1,6 M (7 virements en Thaïlande pour le «rachat d une entreprise») Attaque entre 21/07 et 14/08 (au moment d une grosse trésorerie) Liquidation judiciaire, 44 employés Pas de limite en terme de cible Société KPMG (branche Rhône-Alpes) : 7,6 M Elysée : 2 M (échec) OM : 756 K 7

8 Virements C est frauduleux quoi la sécurité de l information? «Internet est toujours l'outil, mais la faille, c'est l'humain» Donc les employés font partie de la solution Les FOVI en France depuis 2010 : 1000 faits ou tentatives 400 M volés 1000 M tentés 8

9 Méthode C est quoi la sécurité de l information? Choix d une cible Les ETI principalement Les filiales (potentiellement plus vulnérable) Collecte d information sur l entreprise Informations publiques Registre du commerce Internet Informations internes : Réponse automatique d Accueil téléphonique à 13h Mail avec virus espion Appel aux banques, impôts, fournisseurs Sur place (pas toujours possible) : Poubelles, rachat de machines usagées mal effacées Stagiaires, sous-traitants, postulant à un poste, séminaires Choix d une cible Collecte d information sur l entreprise Collecte d information sur les employées Elaboration de scénarios Mise en œuvre 9

10 Méthode C est quoi la sécurité de l information? Collecte d information sur les employés Réseaux sociaux (facebook, twitter, linkedin...) Création de faux profils (ex. Robin Sage) Activités extra-professionnelles (ex. associatives) Piratage boite professionnel ou personnel Elaboration de scénarios Fraude au président Fraude au banquier Fraude au fournisseur... Choix d une cible Collecte d information sur l entreprise Collecte d information sur les employées Elaboration de scénarios Mise en œuvre 10

11 Méthode C est quoi la sécurité de l information? Mise en oeuvre Timing Période estivale Vacances du patron Le vendredi soir à 16h Méthode Tunnel psychologique (faire tomber les barrières) Peu durer seulement 3 minutes Marche généralement par campagne Si ça ne marche pas, ils essaient à nouveau! Si ça marche, ils continuent! Choix d une cible Collecte d information sur l entreprise Collecte d information sur les employées Elaboration de scénarios Mise en œuvre 11

12 La filière C est quoi la sécurité de l information? Nombre d entreprises touchées par la fraude externe France 29% 55% Monde 30% 37% Etude PWC de 2014 Grand réseau franco-israëlien (Gilbert Chikli) Blanchiment par la Chine Culture des comptes mutualisés en Chine Culture de l argent liquide, y compris dans les diasporas des pays de l UE 12

13 Types de fraudes C est quoi la sécurité de l information?... pas seulement la «fraude au président» Fraude au faux banquier Virement SEPA ou nouvelle version du logiciel bancaire Demande de test de virement (pas de penny-test ici) Informations crédibles : logiciel, responsables Demande de prendre la main sur le PC ou d installer un logiciel 13

14 Types de fraudes C est quoi la sécurité de l information? Fraude au fournisseur «Notre facture a été émise le 12 mai, elle était de Elle est a payer pour le 12 juin sur le compte de la Société Générale» «Pouvez-vous changer les coordonnées bancaires?» Parfois actions préliminaires : Lettre à entête vous avertissant d un futur déménagement bancaire Fraude au bailleur Pirate le serveur du bailleur Envoie à la fin du mois un faux RIB à tous les locataires Fraude à la fausse filiale, fraude aux quotas de CO2,... Compte en banque ouvert avec de faux K-bis puis transfère de trésorerie Quotas de CO² : Manque à gagner pour l état 1,6 Milliards 14

15 Moyens techniques C est quoi et humain la sécurité de l information? Capacité imitation Signature Papier entête Chèque (falsification de l envoyeur) Numéro de téléphone Fax Imitation d un accent Usurpation d identité Faux directeur Faux banquier Faux informaticien Faux policier 15

16 Des pistes C est de solution quoi la sécurité de l information? Dès maintenant 1. Sensibilisation employés et direction : Rien n est totalement secret, ni urgent Temporiser et rappeler l interlocuteur Ne pas donner d informations sur l entreprise Développer le sens critique : «la confiance n exclut pas le contrôle» 2. Organisation interne : Limiter les pouvoirs bancaires Procédures internes / Workflow Changement de RIB Virement Consolidation des contrôles 4 yeux Liste d interlocuteurs Audits / Reporting pour la détection 16

17 Des pistes C est de solution quoi la sécurité de l information? Assurance sur la fraude Cher et limité Assure parfois sur les conséquences indirectes de la fraude Juste après un incident 1. Immédiatement essayer une procédure de retour de fond 2. Communication d urgence : aux employés aux interlocuteurs externes (ex. banque, fournisseurs) => Car il y aura d autres tentatives 17

18 Lois et contraintes réglementaires Questions? Formateur : Xavier Debayle, CISSP / ISO27001 Session : Septembre

19 Merci de votre attention Ce document est la propriété du formateur et ne peut être transmis ou reproduit sans son accord 19