Début 2023, huit personnes ont été arrêtées pour l‘organisation d’une arnaque au président de grande ampleur. Celle-ci aurait coûté 38 millions d’euros à un promoteur parisien… Cette fraude, qui consiste à émettre de faux ordres de virement en usurpant l’identité d’un dirigeant d’entreprise, est de plus en plus fréquente.  

Comment s’en prémunir ? On vous explique tout dans cet article ! 

 

Qu’est-ce qu’une attaque au président ?

D’après une enquête de la DFCG, les tentatives de fraude informatique les plus répandues sont : l’attaque au président en première position (55% des tentatives), les emails de faux fournisseurs (47%) et les autres usurpations d’identité (35%). 

L’arnaque au président consiste à usurper l’identité  d’un dirigeant d’entreprise ou d’un responsable facturation par exemple, pour réclamer le paiement d’une facture. Cette cyberattaque, menée essentiellement par email, est de plus en plus courante. Les entreprises de toute taille et de tous secteurs confondus sont touchées. 

Le principe est simple : les escrocs se renseignent sur l’entreprise visée pour connaître le nom du dirigeant et des responsables facturation. Ils créent ensuite un email ressemblant à celui de l’organisation ciblée (par exemple, à la place d’une adresse en @cocacola.com, les hackers réservent @cacocola.com) et envoient un message à caractère urgent au service comptabilité. Celui-ci demande d’effectuer un virement, de régler une facture (en pièce jointe) ou de modifier un RIB. 

En lisant rapidement l’adresse de l’expéditeur, certains salariés peuvent se laisser piéger.  

Toujours d’après l’enquête de la DFCG, dans 76% des cas, ce type de phishing est déjoué par une procédure interne. Cependant, pour anticiper au mieux cette arnaque, vous pouvez automatiser le process de vérification, notamment grâce à Microsoft 365. 

 

Comment vous protéger contre l’attaque au président ?

Si la formation des salariés et quelques règles de base peuvent minimiser le risque d’arnaque au président, Microsoft 365 offre aussi des outils pour contrer les faux ordres de virement. 

 

Sensibiliser les collaborateurs

La première étape est de rappeler régulièrement les règles de base pour les demandes de virement par email : 

  • Toujours vérifier l’expéditeur et notamment le nom de domaine. 
  • En cas de doute, appeler l’émetteur (qu’il soit interne ou que ce soit un fournisseur externe). 
  • Rompre la chaine des e-mails en évitant le bouton “Répondre” et écrire à son interlocuteur habituel en reprenant son adresse e-mail.

Se méfier des réseaux sociaux

Il est tentant de s’épancher sur son travail via les réseaux sociaux. Le problème : vous donnez parfois des informations sensibles, sans le savoir. Il est essentiel de conserver votre quotidien professionnel pour vous.  

Par exemple, si vous passez vos mercredis après-midi à payer les factures fournisseurs et que vous en parlez sur Facebook, Twitter ou encore Instagram, vous indiquez aux escrocs le meilleur moment pour envoyer leur faux ordre de virement. 

 

Automatiser les procédures de vérification avec Microsoft 365

Pour éviter et anticiper au mieux l’arnaque au président, le mieux est d’automatiser les processus de vérification en rompant la chaîne des emails. Une procédure possible avec Microsoft 365, notamment avec l’outil de communication Teams.  

En échangeant directement sur l’application de messagerie, vous évitez les demandes frauduleuses puisque vous gérez parfaitement les utilisateurs qui peuvent accéder à Teams et aux groupes comptables. 

Vous disposez de 2 possibilités : 

1. Créer un chatbot

Avec Microsoft Teams, vous pouvez développer un robot conversationnel pour authentifier et sécuriser la demande de virement. 

Le chatbot pose une série de questions destinées à déterminer les paramètres du virement : le nom du bénéficiaire, le montant, s’il y a une pièce jointe, une date, le n° de la pièce comptable et éventuellement un commentaire (comme « urgent ! »). 

 

 

Puis il récapitule la demande, pour que l’émetteur puisse vérifier que les données sont correctes. Il ne reste plus qu’à valider l’envoi de l’ordre de virement.  

Un responsable du service comptabilité reçoit une notification, toujours dans Teams, avec les informations du règlement à effectuer. Il peut donc vérifier que la demande est fiable et justifiée, qu’elle émane bien d’un utilisateur certifié et qu’elle concerne un partenaire ou fournisseur identifié. Si c’est le cas, il approuve le virement en un clic. 

 

 

 

2. Utiliser l’outil Forms de Microsoft 365

Le principe via l’application Forms de Microsoft 365 est similaire au chatbot. Le formulaire recense les mêmes questions que le robot conversationnel. L’émetteur doit remplir un maximum d’informations avant de l’envoyer. 

 

 

Là encore, le service comptabilité (ou un responsable du département) reçoit une notification dans un onglet Teams. Il peut valider l’ordre de virement ou demander plus de renseignements en cas de doute. 

L’avantage de Forms est de pouvoir ouvrir ce process aux partenaires et fournisseurs, afin qu’ils puissent effectuer leur demande de virement de manière fluide, automatisée et sécurisée. 

En passant par Microsoft 365, vous vous affranchissez des échanges par email. Tout ordre de virement émis via la messagerie électronique devient suspect. Vous renforcez la sécurité de votre service comptable tout en prévenant au maximum la fraude au président.