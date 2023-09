Ce texte fait partie du cahier spécial Intelligence artificielle et cybersécurité

Fraude du président, hameçonnage, rançongiciel, vol de données : les fraudes réalisées par une personne de l’interne ou de l’externe sont en hausse dans les PME canadiennes. Pas moins de 75 % d’entre elles en ont été victimes au cours de la dernière année, d’après un sondage de KPMG Canada. Or, les investissements pour se former en matière de cybersécurité et se protéger des attaques ne sont pas toujours au rendez-vous.

« Les tentatives de fraude ont grandement augmenté dans les dernières années — on le voit facilement juste en regardant nos messages textes — alors il y a plus de risques que quelqu’un morde à l’hameçon », affirme Myriam Duguay, associée au groupe Juricomptabilité de KPMG au Canada.

Le Centre antifraude du Canada a d’ailleurs reçu en 2022 plus de 90 000 rapports de fraude pour des pertes de 530 millions de dollars, contre 379 millions en 2021 et 165 millions en 2020. Pourtant, le même sondage de KPMG révèle que 87 % des PME affirment avoir mis en place un programme pour prévenir, détecter et gérer la fraude.

« Or, ils peuvent avoir des lacunes, et les fraudeurs sont toujours de plus en plus astucieux, remarque Myriam Duguay. Puis, moins l’entreprise est grande, moins elle a de ressources financières et humaines pour prévenir la fraude. Les grands programmes antifraudes robustes et bien établis sont surtout dans les grandes entreprises. »

Le risque de couper dans la formation

Novipro, un fournisseur de solutions technologiques, a d’ailleurs sondé en mars des entreprises canadiennes de différentes tailles et il en ressort qu’en raison des préoccupations comme l’inflation et la récession, leurs investissements technologiques ont diminué. Si, en 2019, 92 % des entreprises en avaient planifié, la proportion est maintenant à 76 %. Cela a des conséquences sur la cybersécurité, alors que 59 % des employés ont présentement une offre de formation dans le domaine alors que c’était de l’ordre de 74 % en 2019.

« Or, la formation des employés est ce qui est le plus simple et abordable à mettre en place, mais il faut toujours la renouveler », affirme Martin Pelletier, copropriétaire et chef de la stratégie chez Novipro.

Myriam Duguay est du même avis. « Plus la sensibilisation est grande, moins on a de risque d’avoir des victimes, dit-elle. Il y a encore beaucoup de gens qui cliquent sur des liens, ou qui payent un compte à un faux fournisseur. »

Ce qu’elle conseille aux employés, c’est, en cas de doute, de couper la communication et de contacter la personne par un autre moyen. « Par exemple, si la personne de la comptabilité d’un fournisseur envoie un courriel avec une demande inhabituelle, on l’appelle directement au numéro de téléphone qu’on a au dossier pour vérifier, explique-t-elle. Cela ne coûte rien et court-circuite le fraudeur. Mais, pour développer ce réflexe, les employés doivent être sensibilisés régulièrement. »

Elle ajoute à cela l’importance de se faire un plan de gestion de crise pour agir rapidement en cas de fraude, comme on le fait pour les autres catastrophes, comme un incendie au siège social, ou une inondation. « Il faut savoir quelles sont les bonnes personnes pour prendre la situation en main, comment gérer l’aspect confidentiel, réputationnel, légal, etc. Avoir un plan fera toute la différence. »

Des technologies à connaître pour se protéger

Il y a aussi une foule de technologies à connaître en matière de prévention de la fraude. « Il y a des éléments très simples, comme les outils pour empêcher les employés qui ont un ordinateur portable de la compagnie à la maison d’installer des trucs personnels dessus, comme Netflix ou des jeux pour leurs enfants, indique Martin Pelletier. Cela vient éliminer des risques. Et bien sûr, toujours faire les mises à jour des logiciels, parce qu’elles viennent colmater des brèches de sécurité. »

Il y a également d’autres technologies plus avancées pour faire de la prévention, comme celles qui envoient une alerte sur les exceptions. « Par exemple, si un employé s’envoie un courriel de son adresse professionnelle à son adresse Gmail ou Hotmail, indique Myriam Duguay. Ou s’il fait une transaction de plus de 100 000 $ alors que normalement, elles sont plus modestes. Ou si une transaction est réalisée à une heure hors normes. Cela ne veut pas dire que l’employé fait une fraude, mais il faut vérifier. Parce que plus on attrape vite un fraudeur, plus on diminue l’impact. »

Mais, avant d’investir dans n’importe quelle solution technologique, l’important est de bien cibler ses risques et ses contrôles en place. « Il faut s’assurer de savoir quels sont les plus grands risques les plus probables dans son entreprise et quels sont les contrôles qu’on a mis en place pour les minimiser, explique Myriam Duguay. Le tiers des fraudes dans les organisations sont liées à un manque de contrôle. Et souvent, la haute direction n’était même pas consciente de ce risque et elle dit : si j’avais su ! »

Ce contenu a été produit par l’équipe des publications spéciales du Devoir, relevant du marketing. La rédaction du Devoir n’y a pas pris part.