{"id":1894,"date":"2025-11-01T11:27:32","date_gmt":"2025-11-01T15:27:32","guid":{"rendered":"https:\/\/connextek.ca\/?p=1894"},"modified":"2025-11-01T11:27:32","modified_gmt":"2025-11-01T15:27:32","slug":"larnaque-du-temps-des-fetes-qui-a-coute-60-millions-a-une-entreprise-et-comment-proteger-la-votre","status":"publish","type":"post","link":"https:\/\/connextek.ca\/en\/larnaque-du-temps-des-fetes-qui-a-coute-60-millions-a-une-entreprise-et-comment-proteger-la-votre\/","title":{"rendered":"L\u2019arnaque du temps des F\u00eates qui a co\u00fbt\u00e9 60 millions \u00e0 une entreprise (et comment prot\u00e9ger la v\u00f4tre)"},"content":{"rendered":"

En d\u00e9cembre dernier, une commis aux comptes payables dans une entreprise de taille moyenne a re\u00e7u un texto urgent de son \u201cPDG\u201d : acheter 3 000 $ de cartes-cadeaux Apple pour des clients, gratter les codes et les envoyer par courriel. C\u2019\u00e9tait \u00e9trange, mais le message semblait venir du patron, et c\u2019\u00e9tait la folie des F\u00eates. Le temps qu\u2019elle v\u00e9rifie, les cartes \u00e9taient d\u00e9j\u00e0 d\u00e9pens\u00e9es, le fraudeur avait encaiss\u00e9, et l\u2019entreprise a mang\u00e9 la perte.<\/p>\n

Cette arnaque fait mal, mais d\u2019autres peuvent litt\u00e9ralement mettre une entreprise \u00e0 genoux. Le m\u00eame mois, Orion S.A., une entreprise chimique du Luxembourg, est tomb\u00e9e dans un pi\u00e8ge bien plus d\u00e9vastateur. Un employ\u00e9 a re\u00e7u ce qui semblait \u00eatre des demandes de virement tout \u00e0 fait normales \u2013 probablement d\u2019un coll\u00e8gue ou d\u2019un partenaire habituel. Tout semblait l\u00e9gitime, urgent, et conforme aux pratiques internes. Il a donc proc\u00e9d\u00e9, sans poser de questions.<\/p>\n

R\u00e9sultat? Soixante millions de dollars envoy\u00e9s directement \u00e0 des cybercriminels \u2013 plus de la moiti\u00e9 des profits annuels de l\u2019entreprise perdus dans une s\u00e9rie de virements frauduleux.<\/p>\n

Vous pensez que votre PME est trop petite pour \u00eatre vis\u00e9e? D\u00e9trompez-vous. Les fraudes par cartes-cadeaux ont co\u00fbt\u00e9 plus de 217 millions $ aux entreprises en 2023, et les attaques de compromission de courriels d\u2019affaires (BEC) ont repr\u00e9sent\u00e9 73 % des incidents cybers\u00e9curit\u00e9 en 2024. Le temps des F\u00eates est un moment privil\u00e9gi\u00e9 pour les pirates : les \u00e9quipes sont d\u00e9bord\u00e9es, distraites et traitent plus de transactions qu\u2019\u00e0 l\u2019habitude.<\/p>\n


\n<\/strong>5 arnaques des F\u00eates que vos employ\u00e9s doivent conna\u00eetre (avant qu\u2019elles ne vous co\u00fbtent des milliers)<\/h3>\n

1. \u00ab Ton patron veut des cartes-cadeaux \u00bb (le pi\u00e8ge \u00e0 3 000 $)<\/h3>\n


Le stratag\u00e8me : Des fraudeurs se font passer pour des gestionnaires ou propri\u00e9taires et demandent d\u2019urgence des cartes-cadeaux pour des \u00ab clients \u00bb ou de la \u00ab reconnaissance employ\u00e9 \u00bb. Au 1er trimestre 2024, 37,9 % des attaques BEC visaient les cartes-cadeaux.
Pr\u00e9vention : Politique d\u2019entreprise : aucune carte-cadeau sans double approbation. Former les employ\u00e9s : aucun gestionnaire ne demandera \u00e7a par texto.<\/p>\n

2. Fraudes par fausses factures ou changement de coordonn\u00e9es bancaires<\/h3>\n


Le stratag\u00e8me : Des escrocs envoient de \u00ab nouvelles informations de paiement \u00bb ou interceptent des \u00e9changes avec des fournisseurs, pile au moment des paiements de fin d\u2019ann\u00e9e. En juin 2024, la Ville d\u2019Arlington, MA, a perdu pr\u00e8s d\u2019un demi-million de dollars ainsi.
Pr\u00e9vention : Confirmez tout changement bancaire par t\u00e9l\u00e9phone, en utilisant un num\u00e9ro connu. Instaurez une r\u00e8gle d\u2019appel obligatoire pour toute transaction de plus de 5 000 $.<\/p>\n

3. Faux avis de livraison ou de colis<\/h3>\n


Le stratag\u00e8me : Des courriels ou textos frauduleux pr\u00e9tendent venir de UPS, FedEx ou Postes Canada, avec un lien pour \u00ab reprogrammer une livraison \u00bb.
Pr\u00e9vention : Former les employ\u00e9s \u00e0 saisir manuellement l\u2019adresse du transporteur dans le navigateur. Mettre en signet les pages officielles de suivi.<\/p>\n

4. Fichiers joints malveillants pour des \u00ab partys de bureau \u00bb<\/h3>\n


Le stratag\u00e8me : Des courriels contiennent des pi\u00e8ces jointes comme \u00ab Horaire_F\u00eates.pdf \u00bb ou \u00ab Liste_Party.xls \u00bb qui installent des maliciels \u00e0 l\u2019ouverture.
Pr\u00e9vention : Bloquez les macros, scannez les pi\u00e8ces jointes, et encouragez la v\u00e9rification avant d\u2019ouvrir des fichiers inattendus.<\/p>\n

5. Faux organismes de charit\u00e9 ou collectes de fonds<\/h3>\n

Le stratag\u00e8me : Des sites de phishing imitent des \u0153uvres caritatives ou des campagnes internes pour voler de l\u2019argent ou des donn\u00e9es.
Pr\u00e9vention : Fournissez une liste d\u2019organismes approuv\u00e9s. Toutes les collectes doivent passer par un portail officiel.<\/p>\n

Pourquoi ces attaques fonctionnent (et comment les bloquer)<\/h3>\n

Les outils qui rendent vos affaires plus efficaces \u2013 courriel, paiements en ligne, transferts \u00e9lectroniques \u2013 sont aussi les armes favorites des escrocs. Ce ne sont pas des \u00ab princes nig\u00e9rians \u00bb. Ce sont des attaques sophistiqu\u00e9es qui combinent ing\u00e9nierie sociale et recherche cibl\u00e9e sur votre entreprise.<\/p>\n

Les organisations qui effectuent des simulations de phishing r\u00e9guli\u00e8rement r\u00e9duisent leur risque de 60 %. Pourtant, la majorit\u00e9 des PME ne forment toujours pas leurs \u00e9quipes. Et l\u2019authentification multifactorielle bloque 99 % des connexions non autoris\u00e9es \u2013 mais trop d\u2019entreprises se contentent encore d\u2019un mot de passe.<\/p>\n


\n<\/strong>Liste de v\u00e9rification pour la cybers\u00e9curit\u00e9 pendant les F\u00eates<\/h3>\n