RGPD : attention aux arnaques !

Le ministère de l’Économie veut alerter les entreprises sur les arnaques concernant les propositions d’accompagnement pour se mettre en conformité avec le RGPD. Il livre des conseils sur les réflexes à adopter pour éviter les escroqueries.

Le règlement général sur la protection des données (RGPD) est entré en application le 25 mai 2018 pour mieux encadrer le traitement des données personnelles. La complexité à se mettre en conformité avec ce RGPD incite parfois les professionnels à chercher un prestataire proposant un accompagnement. Bercy a constaté de nombreuses pratiques frauduleuses de la part de ces sociétés. Il vient d’éditer à ce sujet une fiche pour sensibiliser les entreprises qui y auraient recours.

Des prestations onéreuses voire de faux services

Cette fiche rappelle, dans un premier temps, ce qu’est le RGPD, et quelles sont les entreprises concernées. Puis, elle présente les pratiques abusives que la Commission nationale de l’informatique et des libertés (CNIL) et la Direction générale de la concurrence, de la consommation et de la répression des fraudes (DGCCRF) ont pu constater. Il est ainsi de plus en plus fréquent que certains prestataires se prétendent à tort mandatées par les pouvoirs publics et proposent des prestations onéreuses, de faux services ou des prestations incomplètes. Pour éviter ces arnaques, Bercy rappelle notamment qu’il est indispensable de vérifier certaines informations avant de s’engager dans ce type de contrat, comme rechercher l’identité de l’entreprise démarcheuse sur internet, par exemple.

Pour consulter la fiche : www.economie.gouv.fr

Article publié le 25 avril 2023 – © Les Echos Publishing 2023

Comment déjouer les tentatives de fraude ?

Les fraudes externes continuent de frapper les entreprises. Pour les contrer, tous les collaborateurs doivent être mobilisés. Une bonne raison de revenir sur les principales fraudes mises en œuvre par les escrocs en 2022.

La fraude au faux fournisseur : 45 % des tentatives*

Se faire passer pour un fournisseur pour demander à « son » client un changement de coordonnées bancaires est la fraude externe la plus répandue.

Jean-Pierre travaille au service comptable d’une centrale d’achat alimentaire. Un jour, il reçoit un courriel d’un gros fournisseur, une coopérative agricole, qui lui indique un changement de coordonnées bancaires et un changement de numéro de téléphone. Le courriel est signé par son interlocuteur habituel, M. Jean, le directeur administratif de la coopérative. Jean-Pierre compose le nouveau numéro. On lui indique que M. Jean est en déplacement et on lui confirme le changement de numéro de compte. Au cours des 6 mois suivants, Jean-Pierre met en paiement trois factures pour un total de 230 000 €. Un jour, M. Jean appelle Jean-Pierre car il n’a pas été payé. Ensemble, ils découvrent la fraude.

Comment se protéger ?

En cas de demande de changement de coordonnées bancaires d’un fournisseur, il faut, surtout si le nouveau compte est à l’étranger : contacter directement le fournisseur en question sans utiliser les coordonnées présentées dans le courriel ou le courrier papier ; mettre en place un système de double validation pour tout changement de ce type.

Comment réagir ?

Si un virement vient d’être effectué, sans attendre, il convient :- d’alerter sa banque pour bloquer le paiement ;- de saisir les autorité ;- de prévenir le fournisseur.

Une variante : les escrocs ne manquent pas d’imagination ! Certains d’entre eux n’hésitent pas à contacter les entreprises en se faisant passer pour l’administration. Le motif : obtenir une copie des factures impayées de leurs cats à des fins prétendument statistiques. En réalité, grâce à ces factures, ils n’ont plus qu’à contacter les cats « en retard » en se faisant passer pour une société de recouvrement et à les faire payer.

*Baromètre Fraude 2022, Allianz Trade

La fraude au président : 41 % des tentatives*

Même si elle émane de sa hiérarchie, une demande de paiement pressante et inhabituelle doit éveiller l’attention.

Directeur financier de la filiale néerlandaise d’un groupe français de cinéma, Edwin reçoit un courriel venant de la direction générale française. Dans ce courriel, il est question de l’acquisition d’une société à Dubaï. Une opération qui doit être menée avec discrétion et rapidité au risque d’être compromise et qui nécessite que la filiale néerlandaise procède à une avance de fonds. Par prudence, Edwin en informe sa directrice. Puis, tous deux persuadés du caractère légitime de la demande, ils ordonnent plusieurs virements. La fraude ne sera détectée que quelques semaines plus tard. Au total, 19,2 M€ auront été détournés.

Comment se protéger ?

La fraude au président est un cas typique d’abus de confiance. Elle s’appuie sur la connaissance que les fraudeurs ont de l’entreprise cible, sur la mise en place d’un scénario crédible et sur leur capacité à contrôler psychologiquement la personne qui, malgré elle, va devenir leur complice. Pour limiter ce risque de fraude, il faut : assurer la confidentialité des organigrammes (au moins en extraire le nom et les coordonnées des responsables financiers et comptables) ; limiter la communication de l’entreprise autour de ses partenariats et de ses grands projets ; sensibiliser les salariés en leur présentant la mécanique de cette fraude ; rappeler aux salariés qu’ils doivent systématiquement mettre en place une procédure de validation permettant de s’assurer de l’identité du demandeur et du caractère légitime de la demande (par exemple, contacter directement le chef d’entreprise, un cadre, le cabinet d’expertise comptable, même s’ils sont en vacances) quand la demande est insolite et/ou formulée par un interlocuteur inconnu faisant preuve d’insistance (flatterie, intimidation) ; mettre en place un protocole de double signature ou un principe de supervision pour tout virement supérieur à 1 000 €.

Comment réagir ?

Si le virement vient d’être effectué, il n’est peut-être pas trop tard. Les banques disposent, en effet, d’une possibilité de rappel des fonds durant les premières heures qui suivent l’ordre. Sans attendre, il convient : d’alerter sa banque (y compris en dehors des heures d’ouverture, via son numéro d’urgence) ; de saisir les autorités (la police dispose de services spécialisés).

Attention : mettre la pression sur sa victime et l’isoler est la base de toute escroquerie. Aussi, pour rompre cette emprise, le réflexe doit consister, en cas de doute, même léger, à toujours en parler à un tiers.

*Baromètre Fraude 2022, Allianz Trade

Les cyber-fraudes : 41 % des tentatives*

Les courriels inhabituels invitant à télécharger des pièces jointes ou à renseigner des mots de passe doivent finir dans la corbeille.

Cadre administratif dans une société de transport de marchandises, Gilles est en télétravail. Comme tous ses collègues dans le même cas, il passe plusieurs heures par jour à participer à des visioconférences. Et d’ailleurs, il vient de recevoir un courriel aux couleurs de Zoom. L’outil de visioconférence lui indique qu’il peut, pendant 48 heures, visionner l’enregistrement de la dernière réunion de direction. Une réunion à laquelle il n’a pas pu assister. Il se connecte, via ce courriel, sur une page d’accueil où ses code et mot de passe Microsoft lui sont demandés. Il ne s’en étonne pas et les renseigne. Or il n’accédera jamais à l’enregistrement de la conférence mais apprendra, quelques jours plus tard, que le serveur de son entreprise a été victime d’une attaque de rançongiciel qui a bloqué son fonctionnement pendant une semaine.

Comment se protéger ?

Le phishing (tentative d’extorsion de mots de passe ou de coordonnées bancaires via des mails ou des interfaces web imitant ceux d’une entreprise ou d’une administration) et les rançongiciels (logiciels cryptant les données et réclamant une rançon pour les libérer) se répandent comme tous les logiciels malveillants. Dès lors, il convient : de mettre à jour les antivirus et systèmes d’exploitation ; de ne jamais ouvrir les pièces jointes des courriels douteux (inhabituels, expéditeurs inconnus, style impersonnel, texte mal traduit…) ; d’effectuer une sauvegarde quotidienne des données stockées sur des supports déconnectés du réseau.

Comment réagir ?

Dès qu’une machine est touchée, immédiatement, il faut : la déconnecter du réseau ; alerter les services techniques (internes ou externes à l’entreprise) ; porter plainte ; ne pas payer la rançon demandée (rançongiciel).

*Baromètre Fraude 2022, Allianz Trade

Article publié le 25 avril 2023 – © Les Echos Publishing 2023

Qu’est-ce que l’intelligence artificielle et comment en profiter ?

Bpifrance Université propose un webinaire sur sa plate-forme de formations pour les entrepreneurs, sur le thème de l’Intelligence Artificielle (IA) le 27 avril. L’occasion de savoir quelle utilisation concrète il peut être fait de l’IA par les entreprises.

Reposant sur l’utilisation d’algorithmes de plus en plus perfectionnés, l’IA accélère son développement dans de nombreux domaines, notamment la production industrielle, la médecine, les transports ou encore la sécurité. Mais concrètement, peu d’entrepreneurs savent réellement comment elle fonctionne et ce qu’elle peut leur procurer au quotidien. C’est pour apporter des réponses à ces questions que Bpifrance Université propose un webinaire animé par des experts du sujet.

Les prérequis nécessaires pour se lancer dans un projet d’IA

Pendant une heure, il sera question d’analyser les dernières avancées de l’IA, de comprendre ses limites et les manières adaptées de l’utiliser, mais aussi de connaître les prérequis nécessaires pour se lancer dans un projet d’IA. Le webinaire sera présenté par François-Xavier de Thieulloy, du Pôle Expertise à la Direction Accompagnement de Bpifrance, et Lucas Nacsa, ingénieur en mathématiques appliquées diplômé de l’Ensimag et cofondateur de Neovision, une société de conseil et d’ingénierie en Intelligence Artificielle. Le webinaire est accessible gratuitement sur inscription préalable.

Pour s’inscrire au webinaire du 27 avril 2023 : https://app.livestorm.co/bpifrance-france/quest-ce-que-lintelligence-artificielle-et-comment-en-profiter

Article publié le 18 avril 2023 – © Les Echos Publishing 2023

La DGSI conseille les entreprises sur les risques liés aux visioconférences

La DGSI publie, en fonction des actualités, des fiches appelées « Flash ingérence » présentant des actions d’ingérence économique dont des sociétés françaises peuvent être victimes. Le dernier numéro est consacré aux risques liés aux visioconférences.

Avec le télétravail, l’utilisation d’outils de visioconférences s’est accélérée. Ces réunions à distance peuvent être l’occasion de discuter de sujets sensibles (R&D, restructuration, stratégie…) ou de rencontrer des acteurs externes (négociations, partenariats…). Pourtant, dans ce cadre, les entreprises n’utilisent pas toujours des applications protégées, comme des messageries instantanées ou des outils de partage de documents. Cependant, ces outils présentent des failles de sécurité qui peuvent entraîner la captation de données confidentielles.

Déclenchement audio, identité non contrôlée

Dans son dernier Flash ingérence, la Direction générale des services intérieurs (DGSI) expose plusieurs exemples de situation à risques auxquelles les entreprises peuvent être exposées dans ce cadre (un salarié qui désactive sa caméra et déclenche l’enregistrement audio de la réunion, l’identité de participants non contrôlée…). Puis, elle livre plusieurs préconisations, à la fois en matière de protection économique et de sécurité informatique, mais aussi dans le cadre de réunions avec des acteurs étrangers, comme utiliser le chiffrement ou encore recueillir des informations sur les participants en amont.

Pour consulter le Flash ingérence : https://www.dgsi.interieur.gouv.fr

Article publié le 07 avril 2023 – © Les Echos Publishing 2023

Microsoft veut lutter contre la cybercriminalité avec Security Copilot

Pour assurer la sécurité des utilisateurs de ses outils et services, Microsoft lance un nouvel assistant conçu pour la cyberdéfense, nommé Security Copilot, utilisant l’intelligence artificielle.

Pour Microsoft, non seulement les cyberattaques se multiplient et deviennent de plus en plus sophistiquées, mais il manque, en outre, de plus en plus de personnel qualifié pour y répondre, rendant la bataille inégale. Pour aider les professionnels, et non les remplacer, Security Copilot apporte une assistance permettant de « répondre aux incidents de sécurité en quelques minutes au lieu d’heures ou de jours ». Concrètement, Security Copilot pourra être utilisé pour vérifier quelles sont les vulnérabilités et incidents du système. L’intelligence artificielle sera, en effet, en mesure de les classer par ordre d’importance.

Un système d’autoapprentissage

Cet outil pourra également fournir des conseils et les étapes à suivre pour répondre aux vulnérabilités rencontrées. Il permettra également de travailler en équipe grâce à un tableau autorisant les personnes à épingler des réponses qui pourraient être utiles à leurs collègues. Microsoft précise également que son nouvel assistant est doté d’un système d’apprentissage, qui lui permettra de s’améliorer continuellement avec des informations internes et externes à l’organisation.

Article publié le 04 avril 2023 – © Les Echos Publishing 2023

Progression du déploiement de la fibre en France

Comme chaque année, l’Autorité de régulation des communications électroniques, des postes et de la distribution de la presse (Arcep) publie son rapport de suivi du marché des services fixes à haut et très haut débit à fin 2022.

La fibre optique (FttH) continue à se déployer en France. 4,7 millions de locaux supplémentaires ont ainsi été rendus raccordables en 2022. Ce qui porte le nombre de locaux raccordables à la fibre à 34,4 millions sur tout le territoire national, soit près de 80 % des locaux et 36,9 millions de locaux sont couverts par des services à très haut débit sur réseaux filaires. Majoritaires en France depuis le semestre dernier, les abonnements en fibre optique continuent aussi à se développer. Au 4e trimestre 2022, ils atteignaient 18,1 millions, soit 84 % du nombre total d’abonnements à très haut débit et 57 % du nombre total d’abonnements à haut et très haut débit (+11 points en un an).

Une carte interactive pour visualiser le déploiement

Parallèlement, le nombre d’abonnements à haut débit diminue : -760 000 au cours du 4e trimestre 2022 (contre -670 000 un an auparavant). Ce qui porte leur nombre à 10,4 millions à la fin 2022. L’Arcep a mis en place une carte des déploiements fibre qui permet de visualiser la couverture des communes en réseaux FttH. En un clic sur une commune, il est ainsi possible d’accéder aux informations détaillées de couverture de la commune visée.

Pour consulter la carte interactive du suivi du déploiement de la fibre : https://cartefibre.arcep.fr/

Article publié le 28 mars 2023 – © Les Echos Publishing 2023

Arnaques par SMS : restez vigilant !

La multiplication des tentatives d’escroquerie par SMS inquiète les pouvoirs publics. Un phénomène préoccupant qui nous invite à revenir sur quelques principes de fonctionnement et règles de prudence.

Nous inciter à cliquer

Les escrocs font souvent appel à des émotions, comme la crainte ou l’envie, pour nous inciter à donner suite à leur SMS.

« Info ANTAI : Vous avez une contravention à payer de 45 €. Consultez votre dossier d’infraction via : https://dossier-antai-gouv.info ». Si vous cliquez sur le lien, vous serez dirigé vers un site qui ressemble comme deux gouttes d’eau à celui du service de paiement en ligne des amendes et vous serez invité à livrer vos coordonnées bancaires, bien malgré vous… à un escroc. Baptisées « smishing » et appartenant à la famille du hameçonnage (phishing), ces arnaques, très faciles à monter, même par des hackers débutants, grâce à des kits clé en main vendus sur le darknet, se multiplient. Pour vous inciter à donner suite à ces SMS, les escrocs vont vous inquiéter ou vous faire miroiter un gain. L’amende impayée est le sujet du moment, mais il en existe d’autres comme « CRIT’AIR, nos agents ont constaté que vous n’étiez pas muni de la vignette réglementaire… » ou encore « SERVICE-PUBLIC : Vous pouvez effectuer votre demande d’indemnité carburant de 100 €… ».

Une usurpation d’identité

En général, les pirates usurpent l’identité d’une administration ou d’une grande entreprise pour parvenir à tromper plus facilement leurs victimes. Ainsi, vont-ils utiliser leurs logos et leur identité graphique pour créer les pages du « faux site » sur lequel vous atterrirez si jamais vous cliquez sur le lien intégré dans le SMS frauduleux. Ces escrocs, histoire de parfaire la ressemblance, n’hésitent pas, non plus, à s’appuyer sur des noms de domaine (adresse de site – URL) se rapprochant de ceux des sites copiés. Les tentatives d’hameçonnage sont généralement adressées par courriel ou par SMS.

Jamais par SMS

Pour rappel, ni l’Agence nationale de traitement automatisé des infractions (Antai), ni les services qui gèrent les vignettes Crit’Air, ni les services fiscaux n’adressent de SMS aux usagers pour signaler une verbalisation, vendre une vignette ou faire la promotion d’un dispositif d’aide. D’une manière générale, les administrations communiquent peu par SMS et ne réclament pas de paiements directs via ce type de média, et encore moins la communication de données personnelles (codes d’accès, coordonnées bancaires…). Les grandes entreprises du e-commerce comme Amazon, les banques ou encore la Sécurité sociale ne vous demanderont jamais, elles non plus, de leur fournir des données personnelles par SMS.

Adoptez les bons réflexes

Par principe, tout SMS émanant d’une administration ou d’une grande entreprise portant un contenu inhabituel doit inciter à la prudence.

Nous recevons des dizaines de SMS chaque jour. Identifier une tentative de smishing dans le lot n’est donc pas toujours aisé d’autant que les pirates sont de plus en plus ingénieux. Toutefois, certains éléments doivent toujours attirer notre attention. Le premier, le plus important, est le caractère inattendu du message. Un message qui, rappelons-le, émane d’une organisation connue (administration, banque, fournisseur…). Typiquement, une banque vous signale avoir perdu votre mot de passe et vous demande de le renseigner en ligne ou une administration souhaite vous rembourser un trop-perçu et réclame vos coordonnées bancaires… Un message aussi inhabituel doit créer un doute. Et en cas de doute, il convient, a minima, avant de donner suite à la demande, de vérifier l’authenticité du message et l’identité de son expéditeur. Pour cela, bien entendu, il ne faut jamais cliquer sur le lien intégré dans le message suspect, ni utiliser les coordonnées contenues dans le SMS (mail, téléphone…). Plus largement, méfiez-vous : des SMS alléchants ou alarmistes (problème de paiement, de livraison, incitation à payer une amende au risque de voir son montant augmenter, remboursement d’un trop versé…) ; des SMS émanant d’un service ou d’une société dont votre entreprise ou vous-même n’êtes pas client ; des SMS adressés par une entreprise partenaire ou une administration mais non signés ou signés par un expéditeur inhabituel ; des demandes adressées par SMS par une entreprise partenaire ou une administration mais à la mauvaise personne (par exemple, une facture adressée au mauvais commercial ou marketing) ; des SMS mal rédigés (mauvaise traduction) ou utilisant un ton inadéquat (trop incitatif, menaçant…) ; des SMS incitant à faire quelque chose d’inhabituel comme fournir des coordonnées bancaires, prétendument perdues. Dans tous les cas, ne communiquez jamais d’informations sensibles par SMS ou à la suite d’une demande adressée par SMS.

Article publié le 23 mars 2023 – © Les Echos Publishing 2023

Cyberattaques : nouvelles conditions de la couverture assurantielle

La loi d’orientation et de programmation du ministère de l’Intérieur (LOPMI) vient de fixer les conditions à respecter par les entreprises pour bénéficier d’une couverture assurantielle en cas de cyberattaque.

Selon un rapport de l’Agence de l’Union européenne pour la cybersécurité (ENISA) de février 2023, plus de 90 % des petites et moyennes entreprises ont vu leur activité affectée par des cyberattaques en 2022. C’est dans ce contexte que la LOPMI a été votée le 24 janvier dernier. Ce texte augmente le budget du ministère de l’Intérieur de 15 Md€ sur les 5 prochaines années pour le porter à plus de 25 Md€ en 2027. Et plus de la moitié de ce budget sera consacré à la « révolution numérique » du ministère et à la modernisation des moyens de lutte contre la cybercriminalité. Parmi les mesures prises, les clauses de remboursement des cyber-rançons par les assurances sont désormais encadrées.

Dépôt de plainte dans les 72 heures

Pour bénéficier d’une couverture assurantielle en cas de cyberattaque, les entreprises devront notamment respecter une stricte conformité de la règlementation sur la protection des données ; mettre en place des procédures clés dédiées à la sécurité de ses systèmes d’information ; et déposer une plainte auprès des autorités compétentes au plus tard 72 heures après avoir eu connaissance de l’atteinte. Ces obligations qui devraient permettre une meilleure information de la police et de la justice, ne concernent que les professionnels.

Loi n° 2023-22 du 24 janvier 2023 d’orientation et de programmation du ministère de l’Intérieur, JO du 25

Article publié le 21 mars 2023 – © Les Echos Publishing 2023

Cybersécurité : de nouvelles mesures pour 2023

Pour contrer les arnaques numériques qui se multiplient et protéger les internautes des dangers d’internet, le gouvernement propose la mise en place de plusieurs dispositifs dont un filtre anti-arnaque.

Le ministre délégué au Numérique a annoncé la mise en place de plusieurs dispositifs en 2023 qui devraient aider à lutter contre les cyberattaques, notamment un système de filtre anti-arnaque. Celui-ci devrait prévenir l’utilisateur, qui utilise un ordinateur ou un smartphone, qu’il se dirige vers un site internet considéré comme frauduleux ou dangereux. Il appartiendrait alors à l’internaute de décider s’il veut tout de même poursuivre ou non sur le site. Ce filtre serait basé sur un système de liste noire reprenant les adresses des sites répertoriés comme malveillants (phishing, virus, rançongiciel, escroquerie…).

Un cyberscore, sur le modèle du nutriscore

Autre mesure proposée : l’utilisation d’un cyberscore, que les sites internet et les réseaux sociaux seraient obligés d’afficher. Ce score se présenterait sous forme de note associée à un code couleur (du vert au rouge) indiquant aux utilisateurs le degré de sécurisation des données hébergées par les sites consultés. Il pourrait être en place dès le 1er octobre 2023. Quant au filtre anti-arnaque, il serait proposé en version test dès septembre, avant un déploiement auprès du grand public en 2024.

Article publié le 14 mars 2023 – © Les Echos Publishing 2022

Dispositif territorial de l’ANSSI pour la sécurité numérique

Pour élever le niveau de cybersécurité au cœur des territoires, l’Agence nationale de la sécurité des systèmes d’information (ANSSI) s’est dotée d’un dispositif d’action visant à soutenir les acteurs à l’échelle régionale, en particulier les acteurs économiques.

Alors que la numérisation de la société s’accélère, les attaques informatiques de tous types se multiplient. Conjointement avec les structures et les autorités régionales existantes, l’ANSSI, autorité nationale, développe depuis plusieurs années des dispositifs visant à soutenir le tissu économique et les institutions à l’échelle régionale face à cette menace. Aujourd’hui, 17 représentantes et représentants de l’ANSSI sont présents en métropole et dans les territoires d’Outre-mer.

Trouver des réponses au risque cyber

Leur rôle : prévenir les incidents et sensibiliser, voire former les acteurs locaux du public et du privé aux bonnes pratiques informatiques, notamment les entités moins protégées comme les petites et moyennes entreprises, les établissements de santé et les collectivités territoriales. Ce réseau permet de renforcer la capacité de l’État à faire face aux cybermenaces, tant au niveau national que local, et d’aider tous les acteurs concernés à trouver des réponses au risque cyber pesant sur leur entité.

Pour connaître la liste des délégués de l’ANSSI en régions : www.ssi.gouv.fr/agence/cybersecurite/action-territoriale/

Article publié le 09 mars 2023 – © Les Echos Publishing 2022