En 2018, plus de 7 entreprises sur 10 ont été victimes d’au moins une tentative de fraude selon la dernière étude de Euler Hermes. L’usurpation d’identité arrive en tête des attaques subies, et les attaques cyber (cyber-attaques) sont désormais utilisées comme clés d’entrée.
Les associations peuvent subir deux types d’attaque : soit des fraudes via une usurpation d’identité (faux fournisseur, faux test de virement, faux bailleur, faux contrôle fiscal, etc.), une exploitation d’information, l’ignorance ou la crédulité d’un tiers ; soit des cyber-attaques (virus, logiciel malveillant, hameçonnage, demandes de rançon, etc.). Fort heureusement, ces attaques peuvent être évitées si vous mettez en place certaines règles.
Fraudes administratives
La sensibilisation et la formation des salariés, bénévoles ou stagiaires sur les risques encourus (usage détourné de données personnelles ou sensibles, perte de données, disque dur inutilisable, etc.) sont les premières parades. Les procédures de paiement doivent être renforcées et sécurisées : utilisation de signatures électroniques, mise en place de doubles signatures, de seuils par signataire, en dissociant, dans ces procédures, les paiements obligatoires et habituels (charges sociales…) des autres dépenses ; diffusion régulière des délégations de pouvoir à la banque ; mise en place d’une procédure d’exception pour les paiements effectués pendant les périodes de congés ; codes d’accès bancaires connus uniquement par les personnes habilitées à payer. Le processus comptabilité fournisseurs doit également être sécurisé en parallèle. Veillez à respecter la séparation des tâches entre la personne qui crée ou modifie les RIB fournisseurs dans le système comptable et celle qui les valide. Les accès informatiques à la création et modification des comptes fournisseurs peuvent être revus avec la mise en place d’une procédure de contre-appel systématique des fournisseurs en cas d’une demande de changement de RIB. La mise en place de requêtes pour détecter les redondances de RIB ou d’adresse IP (Internet protocol – la trace informatique laissée par un ordinateur lors d’une connexion) peut être nécessaire en cas de multiples fournisseurs. De même, les informations diffusées sur les réseaux sociaux doivent faire l’objet d’une vigilance particulière. Le plus efficace est de rédiger une charte informatique englobant ce qui peut être diffusé, par et pour qui.
Les principales cyber-attaques peuvent être :
– L’hameçonnage (ou « Phishing ») qui vise à leurrer l’internaute pour l’inciter à communiquer des données personnelles et/ou bancaires en se faisant passer pour un tiers de confiance. Il peut s’agir d’un faux message, SMS ou appel téléphonique de banques, d’opérateurs de téléphonie, de fournisseurs d’énergie, d’éditeurs de logiciels (notamment d’antivirus), de sites de commerce en ligne, d’administration, etc.
– Le rançongiciel (« Ransomware ») qui est un logiciel d’extorsion ou un « virus » qui bloque l’accès à un ordinateur ou à des fichiers en les chiffrant puis qui réclame à la victime le paiement d’une rançon pour obtenir de nouveau l’accès. Les associations qui gèrent beaucoup de données y sont les plus sensibles.
– Le dévoiement (« Pharming ») qui redirige l’internaute vers un site piraté afin d’exploiter ses données, ou vise à nuire à l’association en diffusant des messages erronés. Les victimes peuvent être les associations qui pratiquent de la collecte en ligne.
– Le déni de service distribué qui vise à saturer un site internet de requêtes pour le mettre « hors service ». Sont concernées les associations dérangeantes car engagées dans des causes politiques ou environnementales.
Se protéger des cyber-attaques
Un virus peut venir d’une pièce jointe dans un mail, d’une clef USB, de la connexion d’un appareil personnel sur le réseau… La mise en place d’une charte informatique (avec l’utilisation des objets connectés personnels sur le lieu de travail, l’usage des clefs USB, la consultation de sites, etc.), une politique de mots de passe sécurisés (changés régulièrement), le choix d’un antivirus de qualité mis à jour fréquemment ainsi qu’un pare-feu bien configuré font partie des mesures indispensables.
Tout comme : créer des sessions par personne quand un ordinateur est partagé (cela permettra de savoir qui s’est connecté en dernier) ; faire des sauvegardes régulières et sur des supports successifs (une par jour par exemple gardés pendant 7 jours. Vous disposerez alors de la dernière sauvegarde qui n’a pas stocké le virus.) Enfin, ultime protection : éteindre son ordinateur pour éviter les risques d’intrusion à votre insu. Et en cas d’attaque, isolez la machine infectée de la connexion internet, du réseau de l’association puis identifiez la source de l’infection : virus concerné, vecteur d’entrée (mail, fichier, mise à jour…).
En savoir plus : Étude du groupe Euler-Hermès réalisée en partenariat avec l’Association des directeurs financiers et contrôleurs de gestion, 2019 : https://bit.ly/2Nk2qZ2
Attention aux faux courriers « officiels »
Une veille malveillante existe sur les créations d’associations. Inutile de répondre si l’on vous adresse un courrier proposant une inscription dans des registres professionnels, facture à l’appui. Et encore mois de payer, vous débourseriez entre 100 et 300 euros (et parfois beaucoup plus) pour un service inexistant. Attention surtout aux offres aux apparences de formulaire officiel, y compris dans leurs noms, comme Info-Siren, Registre INSEE ou Journal légal… C’est une véritable tromperie avec détournement de titres et de sigles légaux. Quelques précautions : identifier l’émetteur du document (s’il est domicilié à l’étranger, redoubler de vigilance) ; se méfier de ce qui ressemble à une « simple » demande de vérification de coordonnées ; redoubler de vigilance pour les paragraphes d’écriture en petits caractères ; vérifier l’origine de l’offre en la comparant avec l’identité et le logo de sites officiels (https://frama.link/nF-BdYyL)
