Se prémunir contre la compromission des courriels d’entreprise (BEC) : Protéger votre entreprise dans un paysage de menaces en constante évolution

Ce blogue a été fourni par John Hewie, agent de sécurité nationale, Microsoft Canada.

Avez-vous déjà reçu un courriel suspect de votre collègue vous demandant une aide urgente – mais quelque chose dans le ton ou la langue n’est pas tout à fait correct ? Ou cliqué sur une facture d’une entreprise de réparation qui ne vous semble pas familière et qui prétend être en retard ? Si c’est le cas, vous faites probablement partie des centaines de milliers de personnes et d’organisations ciblées chaque jour par des attaques de type “Business Email Compromise” (BEC).

Alors que les ransomwares attirent souvent l’attention dans les médias, la compromission des courriels d’entreprise entraîne des pertes financières jusqu’à 100 fois plus importantes que les paiements effectués par les ransomwares, selon le rapport 2022 du FBI sur la criminalité dans l’internet. Les particuliers et les entreprises de toute taille qui utilisent le courrier électronique pour communiquer peuvent être exposés au risque de BEC. Si une attaque par courriel réussit, votre entreprise peut perdre des centaines de milliers de dollars, être victime d’un vol d’identité généralisé ou d’une fuite accidentelle de données confidentielles telles que la propriété intellectuelle ou des informations personnelles. En 2020, le Centre antifraude du Canada (CAFC) a enregistré un total de près de 30 millions de dollars de pertes déclarées à la suite d’escroqueries par BEC, tandis que les six premiers mois de 2021 ont enregistré à eux seuls plus de 26 millions de dollars de pertes déclarées.

Découvrez comment cette menace croissante affecte les entreprises canadiennes et ce que vous pouvez faire pour protéger vos actifs.

Comprendre la compromission des courriels d’entreprise

La compromission des courriers électroniques professionnels (BEC) est un type de cybercriminalité dans lequel l’escroc utilise le courrier électronique pour inciter quelqu’un à envoyer de l’argent ou à divulguer des informations confidentielles sur l’entreprise. Le coupable se fait passer pour une personne de confiance, comme un patron ou un vendeur, puis demande le paiement d’une fausse facture ou des données sensibles qu’il pourra utiliser dans une autre escroquerie.

Avec l’augmentation des environnements de travail hybrides ces dernières années, communiquer et collaborer principalement par courrier électronique est devenu la norme, laissant davantage d’organisations vulnérables aux attaques BEC. Au cours de l’année écoulée, la fréquence des attaques BEC est montée en flèche au niveau mondial. Entre avril 2022 et avril 2023, 35 millions de tentatives de compromission d’emails professionnels ont été détectées et étudiées par Microsoft Threat Intelligence, soit une moyenne de 156 000 tentatives quotidiennes.

Au fur et à mesure de l’introduction de nouvelles technologies et d’innovations, les acteurs de la menace adaptent rapidement leurs techniques et font évoluer leur utilisation de la technologie pour mener des attaques BEC plus sophistiquées et plus coûteuses. Le succès de ces attaques est largement dû au ciblage croissant d’organisations de toutes tailles, y compris de petites entreprises, à l’exploitation de relations commerciales de confiance et au développement de compétences plus spécialisées par les acteurs de la menace.

Attaques courantes de compromission du courrier électronique des entreprises

Voici les types d’e-mails compromis les plus courants.

Vol de données : Les cybercriminels commencent parfois par cibler le service des ressources humaines et volent des informations sur l’entreprise, comme un emploi du temps ou un numéro de téléphone personnel. Il est alors plus facile de réaliser l’une des autres escroqueries BEC et de la rendre plus crédible.

Le stratagème de la fausse facture : Se faisant passer pour un fournisseur légitime avec lequel votre entreprise travaille, l’escroc envoie par courrier électronique une fausse facture, qui ressemble souvent beaucoup à une vraie. Le numéro de compte peut ne comporter qu’un seul chiffre de différence. Il peut aussi vous demander de payer une autre banque, sous prétexte que la vôtre fait l’objet d’un audit.

Fraude au PDG : Les escrocs usurpent ou piratent le compte de messagerie d’un PDG, puis envoient aux employés des instructions pour effectuer un achat ou envoyer de l’argent par virement bancaire. Ils peuvent même demander à un employé d’acheter des cartes-cadeaux, puis demander des photos des numéros de série. Les cartes-cadeaux n’offrent pas les mêmes protections que les autres méthodes de paiement, comme les cartes de crédit ou de débit – une fois que l’escroc a utilisé les fonds, il est impossible de les récupérer. Un moyen simple de déjouer ces escroqueries consiste à prendre le temps de vérifier les demandes urgentes d’un patron en lui communiquant une adresse électronique ou un numéro de téléphone de confiance.

Compromission de compte : les escrocs utilisent le phishing ou des logiciels malveillants pour accéder au compte de messagerie d’un employé du service financier, par exemple un responsable des comptes clients. L’escroc envoie ensuite aux fournisseurs de l’entreprise de fausses factures demandant un paiement sur un compte bancaire frauduleux.

Conseils pour prévenir la compromission des courriels d’entreprise

Suivez ces cinq bonnes pratiques pour empêcher la compromission des courriels d’entreprise :

Utilisez une solution de messagerie sécurisée : Les applications de messagerie telles qu’Office 365 signalent et suppriment automatiquement les courriels suspects ou vous avertissent que l’expéditeur n’est pas vérifié. Vous pouvez alors bloquer certains expéditeurs et signaler les courriels comme étant des spams. Defender pour Office 365 ajoute encore plus de fonctions de prévention des BEC, comme la protection avancée contre le phishing et la détection des redirections suspectes.

Mettez en place l’authentification multifactorielle (MFA) : Rendez votre messagerie électronique plus difficile à compromettre en activant l’authentification multifactorielle, qui requiert un code, un PIN ou une empreinte digitale pour se connecter, en plus de votre mot de passe.

Apprenez à vos employés à repérer les signes d’alerte : Assurez-vous que tout le monde sait comment repérer les liens d’hameçonnage, une mauvaise correspondance entre le domaine et l’adresse électronique, et d’autres signaux d’alarme. Simulez une escroquerie de type BEC pour que les gens la reconnaissent lorsqu’elle se produit.

Définir des paramètres de sécurité par défaut : Les administrateurs peuvent renforcer les exigences de sécurité dans l’ensemble de l’organisation en demandant à tout le monde d’utiliser l’AMF, en contestant les nouveaux accès ou les accès à risque par une authentification et en forçant la réinitialisation des mots de passe en cas de fuite d’informations.

Utilisez des outils d’authentification du courrier électronique : Rendez votre courrier électronique plus difficile à usurper en authentifiant les expéditeurs à l’aide de Sender Policy Framework (SPF), DomainKeys Identified Mail (DKIM) et Domain-based Message Authentication, Reporting, and Conformance (DMARC).

Réduisez votre surface d’attaque : Veillez à ce que la redirection du courrier électronique et l’utilisation de protocoles anciens tels que POP/IMAP soient désactivées au niveau de l’organisation.

Adoptez une plateforme de paiement sécurisée : Envisagez d’abandonner les factures envoyées par courrier électronique au profit d’un système spécialement conçu pour authentifier les paiements.

Si votre organisation a été victime d’un BEC, vous n’êtes pas seul. Contactez votre police locale dès que possible. Vous trouverez ici les conseils de la Gendarmerie royale du Canada en matière de BEC et de signalement.

L’évolution constante du paysage des cybermenaces pose des défis de plus en plus importants à toutes les entreprises. En comprenant la nature évolutive des BEC et en prenant des mesures proactives, vous pouvez protéger votre entreprise contre ces menaces sophistiquées. Il est essentiel de participer à la lutte contre la cybercriminalité – c’est une responsabilité collective d’améliorer la cyber-résilience et d’assurer la sécurité de votre entreprise et de ses données. Pour approfondir vos connaissances en matière de cybersécurité, visitez le site Microsoft Security 101, où vous trouverez des ressources de formation gratuites.