Fraude au Président : testée par mon CISO, je vous raconte !

Je vous parle souvent de sensibilisation à la cybersécurité. Je partage les concepts, les bonnes pratiques mais aujourd’hui, je prends la plume avec un autre point de vue : celui de la personne sensibilisée !

Eh oui, les experts ne sont pas exempts des actions de sensibilisation… Je vous raconte la petite histoire, en espérant qu’elle vous serve vous aussi à faire passer vos messages au sein de vos organisations.

Tout commence un mardi à 15h34. Je reçois un whatsapp de mon CEO (c’est ce que je crois à ce moment-là !). Le message est le suivant :

« Bonjour Noémie, est-ce que tu es disponible? j’aurais besoin de parler avec toi d’une acquisition confidentielle en Belgique. Pascal »

Je prends connaissance du message 10 minutes plus tard et réponds que je peux me libérer et avoir ce call. Dans ma tête, je me pose quelques questions : une acquisition, mais qui cela peut-il bien être ?, à quel stade des discussions en sont-ils ?, nos zones prioritaires sont aux US et UK, ce serait donc un cabinet plus gros ?… Bref, le niveau de stress monte un peu et je veux en savoir plus. A ce stade, rien indique le moindre indice d’une fraude ou arnaque et je ne vois pas de risque particulier. Je suis plutôt dans l’interrogation…

 2 minutes à peine après mon message, la réponse suivante apparaît :

« Pas besoin, mais je vais avoir besoin que tu prépares un virement rapidement, je t’envoie les informations bancaires dans quelques minutes. Merci

A ce moment-là, je vous avoue que ça fait tilt en un éclair ! Une chose est claire : c’est un piège ! Il est urgent de ne rien faire 😉

Je décide alors d’investiguer car l’action qu’on me demande n’est pas normale :

  • Le numéro de téléphone du contact whatsapp n’est pas celui que j’ai dans mon répertoire
  • La photo est bien celle de Pascal mais c’est une photo assez répandue donc facile à obtenir

J’envoie alors 2 messages en parallèle :

  • Le premier à mon CEO, au numéro de téléphone enregistré dans mon répertoire. Je fais un screenshot de la discussion whatsapp et lui demande « Bonjour Pascal, visiblement ce n’est pas toi ! Tu confirmes ? »
  • Le second à cet expéditeur sur whatsapp : « Tu me testes ? »

La réponse sur whatsapp ne tarde pas à arriver : « Bien joué ! ». Un message plus complet de sensibilisation suit alors pour me préciser :

  • Qu’il s’agissait d’une campagne de sensibilisation à la fraude au président
  • Que les cas sont malheureusement fréquents et que plusieurs attaquants tentent de se faire passer pour un membre de la direction générale, par SMS, réseaux sociaux ou mail en changeant simplement une photo ou le nom
  • Ce qu’est la fraude au président et l’objectif des attaquants : te faire croire qu’ils ont un sujet prioritaire et confidentiel à traiter avec toi, comme une acquisition, qui nécessite un paiement en urgence hors processus en leur faveur. 
  • Les règles à suivre en cas d’attaque, les indices pour déjouer les attaques et le contact sécurité à alerter

Comme vous voyez, l’histoire finit bien mais malheureusement ce n’est pas toujours le cas.  A froid, on peut penser que c’est assez simple de déjouer l’attaque. 

Au-delà de l’exemple, c’est la gestion des émotions que je voudrais partager avec vous. Cet exercice, bien ficelé (mais tellement crédible !) m’a d’abord mise en confiance avec une demande importante mais sans action à risque de ma part. L’importance de la demande a généré des questions, un peu de stress, des émotions à maitriser pour garder la lucidité dans la décision et mes actions. Je suis personnellement familière avec ce sujet, je connais la théorie mais je vous assure que la mise en situation réelle a été précieuse ! Je sais désormais qu’un flot d’émotions apparait (elles ne seront plus nouvelles la prochaine fois !), je suis rassurée que mon bon sens me permet de garder la lucidité pour investiguer, sans me précipiter, et de ne pas prendre de mauvaise décision. J’ai remercié mon CISO à la suite de l’exercice. Je comprends concrètement les bénéfices de la pratique et cette expérience en est la preuve, et notamment pour les experts, qui peuvent se sentir à l’abri (on sait ce qu’il faut faire !) – je ne me mettais pas dans cette catégorie -, qui se demandent s’ils sauraient mettre en pratique la théorie et ne pas tomber dans le piège…  

Entrainer vos people, les experts, c’est leur permettre d’être meilleurs, d’être prêts (mais pas forcément d’être parfaits !) car la situation ne sera plus nouvelle, les émotions ne seront pas inconnues… Pour briller le jour J, la préparation est un ingrédient essentiel et ça vaut pour tous !

[Rappel] Quelques éléments clés de la fraude au Président

  • Mise en confiance (photo, ton utilisé, choix des mots, etc.) par l’attaquant ou climat d’autorité
  • Urgence, stress : des émotions qui créent une pression et vient perturber la lucidité
  • Demande de réalisation d’actions inhabituelles, anormales et dans un délai court

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *

Back to top