Il suffit parfois de cliquer sur un courriel. La cyberfraude peut faire des ravages bien après un premier piratage. Mais quelle qu'en soit l'origine ou l'intention, les organisations de chaque secteur d'activité doivent se préparer à la déjouer.

La cyberfraude peut prendre bien des formes. Des études montrent que 75 % des activités frauduleuses surviennent à l'intérieur même de l'organisation. Dans certains cas, un employé est victime d'un piratage psychologique ou d'un courriel d'hameçonnage. Ou encore, des fraudeurs utilisent de faux identifiants pour passer outre les contrôles de sécurité sans déclencher d'alarme.

Aujourd'hui, aucune organisation n'est à l'abri. Les fraudeurs ciblent des entreprises et des organisations de toute taille et de tous les secteurs d'activité. Que l'objectif soit de voler des données précieuses, de perturber les activités ou de créer de faux identifiants à utiliser plus tard, il faut se rappeler que la première intrusion est rarement la dernière menace.

Après un piratage

Les intrusions et piratages informatiques font la manchette et retiennent l'attention, mais c'est habituellement la suite qui est préoccupante. Dans bien des cas, l'attaque initiale permet au fraudeur d'obtenir les données dont il a besoin pour commettre des attaques plus graves contre la même cible ou contre une autre organisation ou un autre secteur.

Par exemple, le vol de renseignements sur les clients (numéro d'assurance sociale, adresse, numéro de carte de crédit, etc.) peut servir à créer de faux identifiants, qui permettent aux fraudeurs d'effectuer faussement des transactions légitimes (prêts bancaires, opérations monétaires, etc.). De même, des données d'accès et des mots de passe volés peuvent servir à s'emparer de comptes légitimes et à vendre des données exclusives ou à les retenir contre rançon.

Il faut se rappeler que les données volées continuent d'exister. Lorsque des renseignements confidentiels échappent au contrôle d'une organisation, ils peuvent être échangés et copiés indéfiniment ou faciliter d'autres piratages à l'avenir. Les conséquences de la cyberfraude peuvent donc persister en compromettant les finances ou le fonctionnement d'une organisation et en causant aux victimes de vol d'identité des ennuis qui pourraient durer des années.

Gestion des risques liés aux tiers (GRLT)

À l'ère du numérique, aucune organisation n'évolue en vase clos. Et plus les organisations activent leurs initiatives numériques en réponse à la pandémie de COVID-19, plus les fraudeurs découvrent des points vulnérables à exploiter, notamment dans les réseaux de chaînes d'approvisionnement.

Une mesure importante pour combattre la cyberfraude consiste à instaurer et à exercer des contrôles de gestion des risques liés aux tiers. Il ne suffit pas de signer un contrat de base aux conditions standard avec des fournisseurs et des partenaires. Les organisations doivent être vigilantes et veiller à ce que les données qu'elles échangent avec l'extérieur soient protégées selon les normes les plus élevées. Dans un contrat, il faut donc porter une attention particulière aux clauses portant expressément sur la cybersécurité.

Bref, on a raison d'affirmer qu'en matière de prévention de la cyberfraude, une organisation n'est pas plus forte que son maillon le plus faible.

Voir au-delà du « fossé »

On considère habituellement la cybersécurité comme un fossé protecteur numérique qui encercle les données d'une organisation. Si quelqu'un s'introduit à l'intérieur (par des moyens légitimes ou autrement), tout le château fort est alors à sa merci.

L'inconvénient de cette approche est qu'elle ne tient pas compte des menaces et des vulnérabilités internes et qu'elle ne prévoit pas de défenses multi-niveaux en cas de brèche dans la sécurité. Par conséquent, certains concepts et stratégies de prévention de la cyberfraude sont devenus prioritaires. En voici trois :

Vérification systématique : Être à l'affût des intrusions, se méfier, toujours vérifier. Quel que soit l'employé ou l'endroit d'où il ouvre une session (bureau, café-restaurant, aéroport, etc.), tous les utilisateurs de systèmes font l'objet des mêmes mesures de vigilance et de vérification. Ici intervient aussi le principe du droit d'accès minimal, qui consiste à accorder uniquement le degré d'accès auquel a droit l'utilisateur.

Défenses automatisées : On mise sur des mécanismes de détection et d'intervention automatisés en utilisant l'intelligence artificielle (IA) ou l'apprentissage automatique pour rechercher activement les menaces éventuelles et les bloquer à la source, sans intervention manuelle. Les organisations ont de plus en plus recours à ces outils pour rester vigilantes même lorsque leur personnel ne l'est pas. La limitation et l'éradication rapides d'une menace malveillante peuvent l'empêcher de s'étendre à votre réseau et de nuire davantage.

Pare-feu humains : La meilleure défense contre la cyberfraude tient aux personnes visées par les tentatives de cyberattaque. En effet, de nombreux cas de cyberfraude surviennent lorsque des fraudeurs incitent subrepticement des employés à leur accorder un accès ou à leur communiquer des données sensibles. On peut y remédier par une meilleure formation et par la sensibilisation aux attaques informatiques (hameçonnage, demandes de paiement frauduleuses, faux identifiants, etc.).

Une solution : l'identité numérique

L'une des plus prometteuses stratégies d'atténuation de la cyberfraude est l'utilisation de l'identité numérique. Il s'agit d'un identifiant numérique qui confère à une personne un élément de vérification unique qu'elle seule possède, ainsi que le pouvoir de déterminer la quantité de renseignements qu'elle accepte de fournir dans ses opérations courantes.

Les fraudeurs cherchent souvent des données liées à l'identité. Elles ne sont pas difficiles à trouver, vu la propension actuelle à communiquer des renseignements personnels en ligne, ce qui crée des « pots de miel » (pièges à pirate) chaque fois qu'on effectue des transactions.

Une identité numérique permettrait plutôt à une personne de simplement confirmer le strict minimum d'information nécessaire à une transaction donnée. Par exemple, elle suffirait à prouver qu'une personne a l'âge légal d'acheter de l'alcool, au lieu de l'obliger à donner son adresse, son nom ou d'autres renseignements personnels.

De même, l'identité numérique servirait à transmettre uniquement les antécédents médicaux et les renseignements nécessaires aux professionnels de la santé, afin d'empêcher que ces renseignements soient recueillis et stockés ailleurs. En outre, la même identité numérique servirait à échanger avec tous les spécialistes du réseau de la santé d'une personne pour communiquer des renseignements en toute sécurité aux seuls intervenants approuvés, ce qui empêcherait la prolifération inutile de données personnelles.

Certaines provinces, dont l'Alberta et la Colombie-Britannique, explorent déjà l'adoption de l'identité numérique pour leur population, tandis que l'Ontario et le Québec envisagent d'autres solutions. Pour que les Canadiens se sentent plus en sécurité dans le monde numérique de l'avenir, le reste du pays a nettement intérêt à explorer tous les moyens possibles pour permettre aux citoyens de déterminer exactement quels renseignements personnels ils sont disposés à fournir.

Une tendance durable

Les menaces informatiques iront en augmentant. Plus les entreprises adoptent la transformation numérique, plus les points vulnérables sont nombreux et plus les pirates et les fraudeurs deviennent habiles à en profiter.

Dorénavant, les organisations doivent se faire à l'idée que la cyberfraude commence souvent à l'intérieur de leur enceinte. Elles doivent donc acquérir les compétences, la formation et les outils nécessaires pour se doter de contrôles de sécurité efficaces et renforcer le pare-feu humain. Elles doivent aussi effectuer régulièrement des tests de sécurité pour s'assurer que les contrôles et les protocoles fonctionnent correctement afin d'empêcher la cyberfraude avant même qu'elle ne survienne.

Les auteurs :

Yassir Bellout est associé au groupe Cybersécurité de KPMG au Canada.

Imraan Bashir est associé au groupe Solutions informatiques et numériques de KPMG au Canada.


Plus les organisations s'engagent dans la voie du numérique, plus elles doivent se prémunir en investissant dans le personnel, les technologies et les stratégies fondées sur les pratiques exemplaires afin d'assurer la sécurité de leurs transactions.

KPMG peut aider les entreprises à combattre la fraude en ligne grâce à une stratégie judicieuse. Certes, la pandémie de COVID-19 a provoqué une crise, mais elle offre aussi l'occasion d'analyser la résilience actuelle et d'investir dans la résilience future afin d'en ressortir plus forts.

Communiquez avec nous pour en savoir plus sur les stratégies de prévention de la fraude ou pour demander une évaluation des risques de fraude de votre organisation.

Communiquez avec nous

Tenez-vous au courant de sujets qui vous intéressent.

Inscrivez-vous aujourd’hui pour avoir accès à du contenu personnalisé en fonction de vos intérêts.

Inscrivez-vous dès aujourd’hui