Remerciez-le!

Remerciez @Admin pour avoir partagé cet document gratuitement, de la manière la plus simple, en partageant sur les réseaux sociaux.

Formation en Sécurité Informatique PRÉSENTÉE PAR: INGRID MOISE, ING. MS. SSI MA

Formation en Sécurité Informatique PRÉSENTÉE PAR: INGRID MOISE, ING. MS. SSI MAI 2017 Sommaire Fraude: définition, typologies, évolution Fraude Informatique | Cyber-attaque Triangle de Fraude de Cressey Cyber-criminalité Cadre règlementaire et législatif Fraude par Ingénierie Sociale Lutte contre l’ingénierie sociale Recommandations Générales Fraude: définition Latin fraus ou fraudis Signifie « tromperie », «préjudice » et même « crime » Larousse: Acte malhonnête fait dans l'intention de tromper en contrevenant à la loi ou aux règlements La plupart des fraudes sont condamnées par la loi Fraude: définition Définition plus juridique: «... Il s'agit d'un acte qui a été réalisé en utilisant des moyens déloyaux destinés à surprendre un consentement, à obtenir un avantage matériel ou moral indu ou réalisé avec l'intention d'échapper à l'exécution des lois ». Serge Braudo - Dictionnaire du Droit Privé Français Typologies de Fraude On distingue trois typologies de fraude : la fraude interne: L'utilisation de son propre emploi afin de s'enrichir personnellement tout en abusant ou en détournant délibérément les ressources ou les actifs de l'entreprise. la fraude externe: Il s'agit de toute fraude commise par une personne extérieure à l'entité. Elle peut prendre la forme de la cybercriminalité, l'ingénierie sociale: fraude au président, fraude au changement de coordonnes bancaires, etc. la fraude mixte: Certaines fraudes font intervenir une personne externe à l'entreprise et un salarié complice. Évolution de la Fraude La fraude touche toutes les tailles d'entreprise et tous les secteurs d'activité Selon le FBI, la fraude aux faux ordres de virements internationaux (FOVI) aurait augmenté de 1300% depuis Janvier 2015 et couté 3.1 milliards de dollars aux entreprises dans le monde. Ces chiffres sont inférieurs à la réalité car beaucoup d'entreprises craignent de les révéler pour des raisons d'image. Évolution de la Fraude Années 2000: plusieurs scandales financiers 2002: Les Etats-Unis adoptent la loi Sarbanes Oxley (SOX) 2003: La France adopte la loi de Sécurité Financière (LSF) Années 2010: Nouvelles formes de fraudes qualifiées de « fraude par ingénierie sociale » Fraude via appels téléphoniques ou courriers (vishing, phishing) Fraude Informatique | Cyber-attaque La fraude informatique peut être définit tout simplement au sens classique comme une variante informatique de l'escroquerie, c'est-à-dire, une escroquerie commise à l'aide du système informatique. Par exemple, la fraude par malware (spyware, trojan, ver, ransomware, virus, adware).  Le terme cyber-attaque signifie « un ou plusieurs évènements inattendus ou indésirables fortement susceptibles de compromettre la sécurité des informations et d'affaiblir ou de nuire à l'activité de l'établissement, notamment pour les impacts majeurs. » Triangle de Fraude de Cressey En 1986, le sociologue Donald Cressey a développé un modèle à l'aide des entretiens menés avec des personnes condamnées pour fraude, en tentant d'extraire des points communs dans chaque cas. Il en ressort que la perpétration de la fraude est le résultat de la concomitance de trois éléments : - Pression, - Opportunité, - Rationalisation. Triangle de Fraude de Cressey Pressions financières personnelles (niveau de vie supérieur à ses moyens, dette élevée, mauvais crédit..) ou des vices (toxicomanie, jeu, affaire extra-conjugale...) Détecter une opportunité évidente lui permettant de régler ses difficultés financières sans être découvert. Le fraudeur est en mesure de rationaliser l'acte qu'il a posé car il ne se considère pas comme un criminel. Ainsi, il doit élaborer une justification rendant son acte légitime. Cyber-criminalité  Qui?  Entreprises criminelles  Employés (vol, invol)  Pirates (Dark Web)  États / Nations  Pourquoi?  Gains financiers  Rancune personnelle  Dégats à la réputation  Protestation (soc, pol, …)  Espionnage industriel  Guerre cybernétique  Comment?  Accès via partenaire (tiers)  Malware (logiciel malveillant)  Ingénierie sociale  Sites web vulnérables  Vulnérabilités matérielles  Dénonceur  Attaques de déni de service (DDoS)  Infection virale via courriel  Brèche interne  Quoi?  Pour obtenir:  Information clients  Identifiants de connexion  Informations confidentielles compagnie  Propriété intellectuelle  Stratégies d'investissement  Fraude financière  Pour provoquer:  Nuire à l'image et à la réputation  Interruption de services  Destruction de données et de biens  Exposé Cadre Règlementaire et Législatif Plusieurs lois et réglementations internationales ont été adoptées à la suite des scandales financiers survenus particulièrement aux Etats Unis et en France. Elles ont pour objectif de prévenir les fraudes financières : La loi Sarbanes Oxley, La loi de sécurité financière, La réglementation Bale 2, Etc… Loi de Sarbanes-Oxley La loi Sarbanes – Oxley en abrégée « SOX » du 30 juillet 2002 s'applique à toutes les sociétés cotées en bourse aux Etats-Unis, que la société soit américaine ou non. Elle préconise surtout de renforcer le contrôle interne et la gestion des risques, d'augmenter la transparence financière, la vigilance et l'indépendance des auditeurs. La création d'un comité d'audit Mise en œuvre d'un contrôle interne efficient et efficace Protection des auteurs de l'alerte Loi de Sécurité Financière Promulgué en août 2003, la loi de sécurité financière en abrégée «LSF» s'inscrit dans la lignée de la loi Sarbanes Oxley. Cette loi s'applique à toutes les sociétés anonymes qu'elles soient cotées ou non. L'objectif est double: agir contre la fraude dans les opérations comptables et financières, en instaurant un rapport sur le contrôle interne et mettre en place un nouvel organisme appelé Haut Conseil du commissariat aux comptes pour renforcer le contrôle des auditeurs. Règlementation Bâle 2  Les établissements assujetties à cette réglementation sont : les établissements de crédit, établissements de monnaie électronique; les entreprises d'investissement et les compagnies financières.  Cette règlementation replace en priorité la préoccupation des établissements de crédit sur le problème de fraude en milieu bancaire en nommant explicitement la fraude comme composante du risque opérationnel. Cette réglementation préconise aux établissements de prévenir et de repérer les actes frauduleux et d'en informer les responsables du dispositif et les autorités compétentes des faits soupçonnés et tout cas de fraude portant sur la sécurité, la solidité ou la réputation de la banque.  Cette règlementation fournit également des lignes de conduites pour la construction d'un dispositif anti-fraude efficient et efficace. Fraude par Ingénierie Sociale L'ingénierie sociale est tout simplement l'art de manipuler son interlocuteur afin que ce dernier réalise une opération frauduleuse ou divulgue une information sensible sur l'entreprise. Autrement dit, c'est une technique de manipulation psychologique humaine qui sert à acquérir invisiblement et de manière déloyale les informations d'une personne ciblée dans l'optique d'obtenir d'autrui l'exécution d'une opération frauduleuse (par exemple un virement). Fraude par Ingénierie Sociale  Cette technique utilise d'avantage des moyens de communications traditionnels comme le téléphone, les mails et même le contact direct, en exploitant la confiance, l'ignorance ou la crédulité de tierces personnes.  C'est l'une des technique de piratage les plus simples et les plus faciles à faire.  Beaucoup de personnes aujourd'hui ne connaissent pas la valeur de l'information qu'elles possèdent et la nécessité de la garder confidentielle.  Techniques de l'attaque : apparence, charisme, flatterie, niveau de langage, persuasion, savoir mentir, c'est-à-dire apprendre à exploiter les failles humaines, confiance, manque d'information, etc.  Le facteur humain est considéré dans certains cas comme un maillon faible de la sécurité du système d'information. Fraude par Ingénierie Sociale (Chiffres) Selon le FBI, elle aurait couté 3.1 milliards de dollars dans le monde. Soit 2,3 milliards rien que pour les entreprises américaines. Dans 23.2% des cas, elle aurait couté plus d'un million de dollars et dans 56% des cas les coûts sont moins de 200,000$. Au Québec, la Sureté du Québec affirme qu'une soixantaine d'entreprises ont été touchées par cette escroquerie depuis 2014, pour un préjudice global de 16 millions d'euros. De plus, la gendarmerie royale du Canada estime que 95% de fraude ou de tentative de fraude ne sont pas dénoncées dans ce pays. Fraude par Ingénierie Sociale (Chiffres) En France, en 5 ans, 2340 plaintes ont déjà été déposées pour 1550 sociétés victimes. D'après Euler Hermès, 93% des entreprises françaises déclarent avoir été victimes d'une tentative de fraude en 2015 : une hausse de 16% comparé à 2014 (77%). On dénombre 2 tentatives par jour pour les grandes entreprises (CAC40). La fraude au président est en tête des tentatives de fraudes réalisées en France en 2015 (55%). Depuis septembre 2010, la police judiciaire fédérale de Bruxelles a ouvert 32 enquêtes sur des cas d'arnaques au président, pour un montant d'environ 37 millions d'euros. Autres Statistiques Selon l'enquête de PWC, la fraude touche tous les secteurs d'activités. Plus l'entreprise est grande, plus les risques sont importants. Le secteur financier demeure le plus touché dans le monde avec un taux de 48%. D'après les enquêtes, la fraude survient majoritairement aux moments suivants : les périodes de congés (juillet à septembre), les voyages du Président, les veilles de long week-end (la fraude survient alors vers 16h, lorsque le collaborateur n'a plus la même attention que le reste du temps). Plus de 29 % de fraudes survenues ont été causées par un manque évident de contrôles internes adéquat. Types de fraude par ingénierie sociale: Fraude du Président Définition La « Fraude au Président » est une escroquerie par usurpation d'identité. Elle uploads/S4/ formation-uniq-en-securite.pdf