Les services financiers des autorités, en particulier, constituent une cible pour des escrocs potentiels. On y transfère des montants parfois importants, ce qui peut être particulièrement intéressant pour des cybercriminels. Des paiements peuvent être manipulés et détournés vers de faux destinataires ou le service financier reçoit l’ordre de payer des acquisitions ou des mandats fictifs.
Les chefs des services financiers ont donc une responsabilité particulière. Sensibilisez vos collaborateurs aux dangers d’Internet et définissez clairement les processus de paiement et les responsabilités.
Le NCSC recommande les mesures ci-après:
Sensibilisation
Sensibilisez tous les collaborateurs aux dangers d’Internet. Il faut en particulier informer les collaborateurs des services financiers et ceux qui occupent des positions clés dans les modes opératoires des escrocs.
Piratage d’une messagerie professionnelle
Se renseigner en cas de doute
N’exécutez pas des ordres de paiement inhabituels. Vérifiez leur exactitude en vous renseignant par téléphone au sein de l’entreprise. En cas de doute, demandez à votre supérieur s’il faut exécuter le paiement.
Créez une culture d’entreprise dans laquelle les collaborateurs savent qu’ils peuvent en tout temps s’adresser à la direction.
Le contrôle protège des dommages
En cas d’ordre de virement inhabituel, vérifiez toujours que l’adresse de l’expéditeur du courriel est exacte et que la demande de paiement provient bien de l’auteur de l’ordre cité. La meilleure solution est de se renseigner par téléphone, même s’il est écrit dans le courriel qu’il y a urgence et qu’il n’est pas possible de joindre l’auteur de l’ordre. Soyez particulièrement critique lorsque l’expéditeur vous interdit de prendre contact avec quelqu’un.
Définir des processus et imposer leur respect
Tous les processus concernant le trafic des paiements doivent être clairement réglés. Imposez systématiquement le respect de ces processus (principe du double contrôle ou signature collective par ex.). Parlez également avec votre banque des mesures de sécurité possibles.
Les informations internes doivent rester internes
Ne dévoilez pas des informations internes.
Soyez particulièrement critique lorsque l’expéditeur d’un courriel prétend être un membre de la direction et pose des questions inhabituelles sur les processus internes.
Contrôlez les informations sur votre autorité qui sont disponibles en ligne. Édictez des règles de comportement définissant la manière dont les collaborateurs doivent traiter les informations internes à l’autorité lors de l’utilisation privée de réseaux sociaux.
Logiciel de paiement hors ligne et e-banking
Pour tous les ordres de paiement transmis numériquement, utilisez un ordinateur dédié que vous n’utilisez pas pour naviguer sur Internet ou recevoir des courriels.
Il est peut-être possible de désactiver ou de limiter les fonctions de votre application e-banking qui ne sont pas nécessaires. Parlez avec votre banque des possibilités en la matière, par exemple la limitation de pays.
Prêtez aussi attention aux informations sur l’e-banking et l’escroquerie.
