Le monde municipal est de plus en plus la cible de fraudes impliquant des transferts bancaires ou des paiements de factures par courriel. Ce type d’arnaque consiste à demander à une municipalité ou à une MRC de transférer de l’argent ou de payer une facture sur un compte appartenant à des cybercriminels. Ce stratagème peut particulièrement faire mal aux finances d’une organisation municipale en plus de nuire à sa réputation. Heureusement, l’adoption de bonnes pratiques et la mise en application de mesures de prévention permettent de bien encadrer ce genre de risque.
Comment repérer ces fraudes?
Les transferts bancaires frauduleux ou de paiement de factures par courriel frauduleux commencent généralement par un courriel envoyé prétendument par un fournisseur de service de la municipalité. Le courriel est envoyé au responsable des finances de l’organisation qui peut virer de l’argent sans vérification ou autorisation.
Dans ce courriel, le fournisseur de service indique un changement à la méthode de paiement, par exemple un nouveau numéro de compte bancaire. Le message est souvent insistant et une confirmation de paiement est exigée.
Le responsable décide de payer. Or, les sommes ne sont pas versées au fournisseur de service légitime, mais à des cybercriminels. La plupart du temps, il est malheureusement impossible de récupérer l’argent une fois le transfert effectué.
Comment ces fraudes surviennent-elles?
Dans bien des cas, les victimes ne se posent pas de question, car le courriel provient d’une adresse légitime appartenant au fournisseur de service. Même si l’adresse est connue de la municipalité, celle-ci peut avoir été compromise par un cybercriminel. En d’autres mots, ce dernier se fait passer pour le fournisseur aux yeux de la municipalité sans que celle-ci s’en rende compte.
La fraude tire parfois son origine d’un employé(e) municipal. Son adresse courriel peut avoir été compromise parce qu’il a cliqué sur un lieu frauduleux, comme un lien Dropbox. L’utilisation d’appareils personnels (téléphone intelligent, tablette, ordinateur), qui ne détient pas le même niveau de sécurité que le matériel de la municipalité, accroît également les risques de compromission.
Comment prévenir ces fraudes?
Lorsqu’un changement de numéro de compte bancaire est demandé par un fournisseur, il est de bonne pratique de lui téléphoner pour obtenir confirmation. Il est important de ne pas se fier au numéro de téléphone inscrit dans la signature du courriel, qui aurait pu être, lui aussi, modifié. L’employé(e) de la municipalité devrait utiliser les dernières coordonnées connues ou aller vérifier le numéro de téléphone sur le site Web du fournisseur.
De même, le sentiment d’urgence et l’insistance du supposé fournisseur devraient alerter tout employé(e) responsable des finances. Celui-ci devrait être sur ses gardes avant de procéder au changement de numéro de compte.
Une autre vérification à faire est celle concernant l’adresse courriel de l’expéditeur. Dans certains cas, les cybercriminels ne changent qu’une lettre pour duper leur victime. Par exemple, ils peuvent remplacer un « W » par deux « V ». Pour cette raison, il est primordial de bien vérifier les adresses courriel des messages reçus, surtout si ceux-ci demandent de l’argent.
Du côté des technologies de l’information (TI), il y a aussi plusieurs mesures à mettre en place. Pour éviter la compromission d’adresses courriel de la municipalité, il est primordial d’activer l’identification à double facteur. Il ne faut pas non plus donner accès à tout le personnel à tous les systèmes. Un contrôle sévère doit être fait à ce chapitre.
Plusieurs réglages devraient également être activés dans Office 365 pour augmenter la protection contre les fraudes. Tout d’abord, il est possible d’interdire les connexions provenant de l’extérieur du système ou du réseau. L’activation des journaux permet aussi de suivre les chemins empruntés par les cybercriminels.
Une autre mesure à mettre en place est l’élaboration d’un plan de réponses aux incidents qui permet aux municipalités d’être mieux préparées en cas de compromission de courriel ou de cyberattaque.
Une formation adéquate et personnalisée aiderait également les employé(e)s ayant la capacité d’effectuer des virements et de payer des factures à repérer plus facilement les fraudes et à mieux réagir en cas de tentatives de fraudes.
De plus, les municipalités auraient avantage à travailler avec un fournisseur spécialisé en cybersécurité afin d’évaluer la vulnérabilité de leur système et les comportements à risques des membres de leur personnel.
Même si les transferts bancaires frauduleux ou de paiement de factures par courriel frauduleux sont bien présents dans notre société, tous ces comportements contribuent certainement à prévenir les risques dans ce domaine.