24 millions d’euros! C’est le montant colossal dérobé par des cybercriminels. La victime? Une société financière de Hong Kong. La méthode? Le deepfake. Dans un monde ultradigital, les escrocs 4.0 utilisent des outils technologiques de plus en plus sophistiqués pour arnaquer les entreprises. Les risques cyber sont réels et croissants, comment anticiper et conjurer la menace?
Cela semble gros, trop gros pour être vrai, mais ce «fait-divers» est pourtant un exemple des risques cyber qui pèsent sur les entreprises, indépendamment de leur taille, secteur ou position géographique. L’histoire peut être racontée en deux lignes: un employé travaillant dans la finance à Hong Kong est tombé dans un cyberpiège d’un nouveau genre, le deepfake, une technique utilisant l’intelligence artificielle pour créer ou modifier des vidéos et des images. Pour son employeur, le préjudice se chiffre à près de 24 millions d’euros. Comment est-ce possible?
Nul n’est à l’abri
Pour réussir leur arnaque, les cybercriminels ont invité le malheureux salarié à participer à une visioconférence (via un e-mail de phishing), en se faisant passer pour le directeur financier de la société asiatique. D’abord méfiant, le collaborateur piégé a rapidement été rassuré en arrivant dans la réunion virtuelle: des visages et des voix familières, dont celle du CFO, qui lui demandent, entre autres, d’effectuer plusieurs transferts d’argent… Malheureusement, tout est faux, sauf le résultat de l’opération: une escroquerie à 24 millions d’euros! Cette affaire prouve la puissance des outils technologiques, notamment l’IA, pour le bien comme pour le pire. Vous pensez être mieux préparé que cette société hongkongaise? Gare à l’excès de confiance, les crimes numériques n’arrivent pas qu’aux autres et ont des conséquences bien réelles. En tant que responsable financier, votre mission consiste à évaluer rigoureusement les risques cyber afin de pouvoir quantifier et atténuer les impacts financiers potentiels. Comment procéder?
1. Analyser les dangers potentiels
Première étape, dressez un inventaire méthodique des différents vecteurs d’attaque possibles. Si les deepfakes audio et vidéo sont désormais une réalité, les risques couvrent bien d’autres domaines comme le phishing, le ransomware, les fuites de données ou encore le piratage de comptes. Vous devez donc analyser finement vos vulnérabilités spécifiques, en fonction de votre secteur d’activité, vos process internes et votre niveau de maturité cyber.
2. Évaluer les risques et les failles
Votre évaluation doit reposer sur une approche structurée. Concrètement? Il convient d’identifier d’abord vos actifs critiques (données, systèmes, infrastructures); ensuite, cartographier les menaces qui pèsent sur ces actifs; avant de modéliser les scénarios de crise; enfin, vous devez passer à l’étape suivante et chiffrer les conséquences financières selon différentes hypothèses…
3. Quantifier « la menace » en euros
La tâche n’est pas simple. Une fuite massive de données clients, par exemple, peut engendrer des coûts directs (amendes réglementaires), mais aussi indirects (perte de chiffre d’affaires, atteinte à l’image de marque, etc.). Mais cette étape est capitale, car la quantification offre un langage financier qui facilite la communication avec votre direction. En effet, avec ce travail d’estimation, vous serez en mesure de fournir des chiffres objectifs, de sensibiliser plus efficacement le conseil d’administration aux enjeux de la cybercriminalité! C’est aussi un outil d’aide à la décision pour le management. Mais comment procéder? Il existe une multitude d’outils, dont la méthode FAIR (Factor Analysis of Information Risk), l’approche O-RT (Operational Risk Taxonomy) ou encore les logiciels dédiés de Cyber Risk Quantification (CRQ).