Cyberfraude : escroqué, il pensait pourtant avoir été vigilant

Même doté d'un certain savoir-faire, personne n'est jamais à l'abri de tentatives de cyberfraudes. Néanmoins, avec une formation adaptée, il est possible d'améliorer sa vigilance.

Thibault reçoit l'e-mail en fin de journée. Il provient de Gaël, gérant de la société de production audiovisuelle spécialisée dans le film d'entreprise pour laquelle il travaille. Gaël et son équipe réalisent un documentaire au Maroc. La météo est mauvaise, l'intervenant principal est souffrant, le tournage s'éternise… Du coup, Gaël réclame un virement de 25 000 euros en urgence. De toute évidence, l'e-mail ne provient pas d'une princesse nigériane. C'est bien l'adresse interne de Gaël ; elle est valide. Il n'y a ni faute d'orthographe ni faute de grammaire. Thibault débloque les fonds et valide le transfert.

" On appelle ça de la cyberfraude. Ça suppose une attaque au préalable. Le fraudeur n'a pas convaincu la personne de le croire, il a donné tous les éléments pour que la personne le croie, explique Frédéric Rousseau, responsable de marché Cyber chez Hiscox Assurance France. C'est un piège quasi imparable, ajoute-t-il. Très fréquent en ce moment."

Thibault se rend compte rapidement de son erreur, lorsqu'il appelle Gaël pour lui demander s'il a bien reçu l'argent. Mais les tentatives de recouvrement des fonds auprès de la banque de l'agence et de la banque destinataire s'avéreront infructueuses. " Elles n'y sont pour rien", précise Frédéric Rousseau.

Gaël fait alors appel à son assureur Hiscox. À distance, l'expert en sécurité informatique tente de confirmer la réalité de la cyberfraude en cherchant les traces de l'intrusion dans le système informatique de la société. " L'important est de déterminer rapidement si l'adresse email a effectivement été usurpée, précise Frédéric Rousseau. Et ensuite surtout verrouiller la brèche."

La fraude confirmée, la somme escroquée sera remboursée en moins d'un mois. Surtout, Hiscox proposera de former tous les salariés de l'entreprise à travers sa CyberClear Academy, une offre comprise dans les coûts d'assurance pour les entreprises dont le chiffre d'affaires est inférieur à 10 millions d'euros. " La formation est à la fois d'ordre technique et humain. On suggère par exemple de bonnes pratiques, comme la mise en place systématique d'une double signature pour des paiements supérieurs à 10 000 euros et de toujours vérifier par un simple coup de fil auprès du contact habituel ou de la personne familière formulant la demande."  Car ce genre de cyberfraude peut en effet aussi provenir d'un soi-disant fournisseur qui informe d'un changement de coordonnées bancaires pour les règlements mensuels. Là encore, un appel téléphonique peut permettre de régler le problème en amont.