Page d'accueil Navigation Sommaire Contacts Sitemap Recherche

Fraude au PDG (CEO fraud)

La fraude au PDG est une forme très per­fide d’escroquerie qui cible les sala­riés chargés des paie­ments. Ces der­niers reçoivent en effet de leur supé­rieur hié­rar­chique l’ordre de pro­céder sans délai à un vire­ment sur un compte donné. Le pro­blème est que le véri­table expé­di­teur du mes­sage n’est pas le chef ou le PDG d'une entre­prise, mais un escroc.

Prin­ci­paux conseils à suivre pour les salariés :

  • En cas d’une prise de contact inha­bi­tuelle ou dou­teuse, ne donnez aucune infor­ma­tion et ne suivez aucune ins­truc­tion, même si vous êtes sous pression.
  • Demandez à votre supé­rieur de confirmer direc­te­ment les ordres de vire­ment à tra­vers un autre canal de com­mu­ni­ca­tion (de vive voix ou par téléphone).
  • Méfiez-vous dès lors que vous remar­quez une incor­rec­tion ou l’absence d'un élé­ment de sécu­rité, comme la signa­ture numé­rique d’un email par exemple.

Prin­ci­paux conseils à suivre pour les entreprises :

  • Sen­si­bi­lisez vos col­la­bo­ra­teurs sur ce type d’escroquerie.
  • Véri­fiez les infor­ma­tions concer­nant votre entre­prise aux­quelles il est pos­sible d’accéder en ligne et limitez-les le cas échéant.
  • Défi­nissez et mettez en place une pro­cé­dure de vali­da­tion des paie­ments pré­voyant un double contrôle à tra­vers un sys­tème de signa­ture collective.
  • Informez immé­dia­te­ment la police de toute ten­ta­tive d'escroquerie.
  • Véri­fiez que le per­sonnel uti­lise bien des élé­ments de sécu­rité fiables, tels que les signa­tures numé­riques des cour­riels, lors des pro­cessus opé­ra­tion­nels cri­tiques comme les pro­cé­dures de paiement.

Le bon com­por­te­ment à adopter de la part des salariés

Si un supé­rieur vous ordonne par cour­riel d’effectuer immé­dia­te­ment un vire­ment imprévu ou non pro­grammé, vous devez faire preuve de la plus grande vigi­lance. Dans ce genre de situa­tion inha­bi­tuelle, il est conseillé de véri­fier la légi­ti­mité de l’ordre, en contrô­lant par exemple les élé­ments de sécu­rité pré­sents, tels que la pré­sence ou non de la signa­ture numé­rique. Il convient dans tous les cas de sol­li­citer direc­te­ment votre supé­rieur hié­rar­chique (per­son­nel­le­ment ou par télé­phone) pour lui demander si le paie­ment en ques­tion doit effec­ti­ve­ment être effectué ou non.

Les pré­cau­tions à prendre côté entreprise

Sen­si­bi­li­sa­tion des salariés

Il existe un cer­tain nombre de mesures tech­niques qui per­mettent de limiter - mais non de sup­primer com­plè­te­ment - l’envoi de ce type d'emails frau­du­leux. Les arna­queurs changent constam­ment d'adresse et dis­si­mulent ainsi leur iden­tité et leur ori­gine. Il leur arrive aussi par­fois de réussir à pirater le véri­table compte de mes­sa­gerie d’un supé­rieur pour l'utiliser à leurs fins.

La prin­ci­pale mesure à prendre pour se pré­munir contre ce danger est donc de sen­si­bi­liser les col­la­bo­ra­teurs des ser­vices les plus exposés à ce type d’attaque, comme par exemple le ser­vice comptabilité.

Infor­ma­tions dis­po­nibles en ligne

Pour conce­voir une fraude au PDG, l’attaquant doit dis­poser d’un cer­tain nombre de ren­sei­gne­ments concer­nant l’entreprise et ses col­la­bo­ra­teurs. Le site web de l’entreprise ou le registre du com­merce révèlent déjà suf­fi­sam­ment d'informations utiles. Les escrocs s’intéressent éga­le­ment aux réseaux sociaux (ex. Lin­kedIn ou Xing) qui contiennent des infor­ma­tions inté­res­santes sur les rela­tions com­mer­ciales ou l'identité et la fonc­tion des col­la­bo­ra­teurs. Véri­fiez donc quelles sont les infor­ma­tions concer­nant votre entre­prise et vos col­la­bo­ra­teurs acces­sibles en ligne et limitez-les le cas échéant.

Pro­cé­dure de vali­da­tion des paiements

L’arnaque se pro­duit maté­riel­le­ment au moment du vire­ment. En général, le des­ti­na­taire est un compte ban­caire étranger où l’argent ne fera que tran­siter avant d’être trans­féré sur un autre compte. Pour éviter que ce genre d’opérations frau­du­leuses ne se pro­duise, il est recom­mandé de mettre en place une pro­cé­dure de vali­da­tion des paie­ments pré­voyant plu­sieurs contrôles, l’idéal étant d’appliquer le prin­cipe du double contrôle avec la signa­ture col­lec­tive. On aug­mente ainsi les pro­ba­bi­lités que l’arnaque soit décou­verte par au moins une des per­sonnes char­gées de valider l’ordre de paiement.

Signa­ture numé­rique des emails

La fraude au PDG inter­vient au niveau de la pro­cé­dure de paie­ment et l’escroc se fait passer pour l’expéditeur légi­time de l'ordre de paiement.

La variante la plus simple consiste à fal­si­fier l’adresse email de l’expéditeur. Dans ce cas, la signa­ture numé­rique, qui ne peut être apposée que par le titu­laire du compte de mes­sa­gerie, apporte une bonne pro­tec­tion. Cette pro­cé­dure est tou­te­fois rela­ti­ve­ment lourde à mettre en place et sup­pose éga­le­ment que la signa­ture soit cor­rec­te­ment véri­fiée par le des­ti­na­taire du courriel.

La situa­tion est plus pro­blé­ma­tique lorsque le compte de mes­sa­gerie de l’expéditeur est piraté, suite par exemple à une attaque de phi­shing. Dans ce cas, la signa­ture numé­rique du compte peut être éga­le­ment piratée et uti­lisée à l'insu du titu­laire du compte. Une pro­cé­dure stricte de vali­da­tion des paie­ments et la sen­si­bi­li­sa­tion de toutes les per­sonnes sus­cep­tibles de se trouver confron­tées à ce type de situa­tion s’avèrent donc très utiles pour lutter contre ce type d’attaque.

La fraude au PDG ou fraude au Pré­sident (de l’anglais « CEO fraud », CEO signi­fiant Chief Exe­cu­tive Officer) consiste à se faire passer pour le PDG d'une entre­prise et à ordonner aux col­la­bo­ra­teurs auto­risés à effec­tuer des opé­ra­tions ban­caires de pro­céder à des vire­ments ban­caires de sommes importantes.

Qu’aimeriez-vous savoir encore sur le thème de la sécurité en e-banking ?

Je sou­haite m'inscrire
à une formation :

For­ma­tion de base

Décou­vrez les prin­ci­pales menaces qui cir­culent sur Internet et apprenez à vous en pro­téger et à sécu­riser vos ses­sions d’e-banking.

en savoir plus

For­ma­tion pratique

Exercez-vous à appli­quer, sur des ordi­na­teurs pré­parés par nos soins, les prin­ci­pales mesures pour votre sécu­rité infor­ma­tique et en e-banking.

en savoir plus

For­ma­tion en ligne pour les moins de 30 ans

Apprends à uti­liser ton smart­phone en toute sécu­rité ! Révise les bases et découvre tout ce qu’il faut savoir sur les réseaux sociaux, pla­te­formes cloud, le Mobile Ban­king et le Mobile Payment.

en savoir plus

For­ma­tion pour les PME

Votre entre­prise est-elle suf­fi­sam­ment pro­tégée ? Décou­vrez les mesures qui vous per­met­tront d’améliorer sen­si­ble­ment la sécu­rité infor­ma­tique dans votre entreprise.

en savoir plus

Send this to a friend