Protection de votre entreprise contre la fraude par usurpation d’identité : la repérer et y mettre fin

Les organisations canadiennes reçoivent depuis un certain temps de nombreux messages qui semblent provenir de sources de confiance, mais qui émanent en fait de fraudeurs.

L’année dernière, l’usurpation d’identité est devenue la forme de fraude en ligne la plus répandue et la plus coûteuse pour les entreprises canadiennes. Selon une étude réalisée par Paiements Canada en 2024, une entreprise sur cinq a été victime d’une fraude liée aux paiements au cours des six mois précédents, ce qui a entraîné des pertes financières dans un cas sur sept.

En fait, la proportion d’organisations ayant été visées par une fraude a été plus élevée que chez les consommateurs canadiens, alors même qu’une majorité avait la certitude d’être bien protégée. Le type de fraude le plus couramment utilisé contre les entreprises du Canada pendant cette période est la fraude par usurpation d’identité, qui a représenté le quart de tous les signalements d’escroqueries liées aux paiements.

En quoi consiste une fraude par usurpation d’identité ?

Le succès de ce stratagème repose sur le fait que le fraudeur se fait passer pour une source de confiance afin d’éviter de subir un examen minutieux et de se faire détecter. Il communique par courriel, par texto, par message sur les médias sociaux et même par téléphone pour demander un paiement ou des renseignements confidentiels en prétendant travailler pour une entreprise, une institution ou une organisation de confiance.

Selon le Centre antifraude du Canada, le Bureau de la concurrence et la Gendarmerie royale du Canada (GRC), l’usurpation d’identité est l’une des formes de fraude affichant la croissance la plus rapide au pays. En 2024, le Centre antifraude du Canada a reçu plus de 108 000 signalements provenant de plus de 34 600 victimes, dont les pertes financières imputables aux fraudes en ligne s’élèvent à 638 milliards de dollars. Ce sont plus de 2 milliards de dollars que les Canadiens ont perdus aux mains des fraudeurs en ligne depuis 2021.

Fonctionnement d’une fraude par usurpation d’identité

La fraude par usurpation d’identité peut être d’une grande efficacité et faire des ravages sur le plan financier, puisqu’elle exploite des relations existantes avec des sources de confiance, y compris des fournisseurs, des institutions financières, des services de messagerie, des employés, des clients, des autorités policières et des organismes de réglementation.

Pour mener à bien son stratagème, le fraudeur doit parfois connaître les contacts professionnels avec qui sa victime a l’habitude de faire affaire. Cependant, il prétend généralement entrer en contact avec la personne au nom d’une institution, d’une organisation ou d’une entreprise de services couramment utilisée.

Souvent, l’escroc laisse entendre qu’une opération non autorisée a eu lieu, qu’une commande n’a pas été reçue, que des sommes ou des taxes exigibles sont en souffrance ou qu’un paiement a été envoyé vers le mauvais compte. Dans la quasi-totalité des cas, le fraudeur tente d’obtenir des renseignements confidentiels, comme des mots de passe, un numéro d’assurance sociale ou des informations bancaires, ou demande à la victime d’effectuer un paiement.

Pour rendre leurs demandes plus crédibles, les escrocs font également appel à l’intelligence artificielle, à des données recueillies lors d’une violation ou d’un piratage antérieur, ou à des renseignements publics. Il arrive aussi qu’ils dirigent la victime vers un site Web « cloné » qui semble identique au site légitime de l’organisation, ou qu’ils clonent des numéros de téléphone et des renseignements relatifs à l’identification de l’appelant afin de paraître authentiques.

Pour en savoir plus : Protection de votre entreprise et de vos employés contre la fraude de mot de passe

Les entreprises sont souvent la cible de deux types de fraude par usurpation d’identité : les courriels d’affaires et de fournisseurs compromis.

Compromission de messagerie d’entreprise

La compromission de messagerie d’entreprise est une escroquerie sophistiquée qui cherche à profiter de relations d’affaires existantes de confiance. Ces courriels sont très ciblés et difficiles à repérer. Ils visent à se faire passer pour des dirigeants de confiance, comme le chef de la direction, pour inciter des employés à partager des données sensibles ou à les pousser à transférer des fonds. En plus de l’escroquerie au chef de la direction, la compromission de messagerie d’entreprise peut également survenir par une compromission de compte, c’est-à-dire par le vol de mots de passe ou par l’usurpation de l’identité d’un avocat, consistant pour les fraudeurs à falsifier des documents juridiques pour faire pression sur les employés afin qu’ils effectuent des paiements.

Compromission du courriel d’un fournisseur

Semblable aux escroqueries par compromission de messagerie d’entreprise, l’escroquerie par compromission du courriel de fournisseur consiste pour un cybercriminel à usurper l’identité d’un fournisseur ou à prendre le contrôle de son compte de courriel. En se faisant passer pour un fournisseur de confiance, les cybercriminels peuvent émettre des factures ou des documents de facturation pour détourner les paiements vers leurs propres comptes bancaires.

Indices à surveiller pour repérer une usurpation d’identité

La meilleure façon de se protéger contre la fraude par usurpation d’identité est d’être conscient de son existence, de faire preuve de prudence et de demeurer sur ses gardes devant certains signes révélateurs.

Par exemple, un grand nombre de demandes frauduleuses misent sur le fait que les utilisateurs agiront avant de réfléchir, ce qui explique que les demandes de fonds ou de renseignements semblent souvent urgentes. Le caractère urgent des communications fait donc partie des signes à surveiller.

De plus, il faut faire preuve d’une grande prudence face aux demandes de renseignements personnels ou confidentiels qui ont déjà été fournis ou qui semblent inutiles vu la nature de votre relation avec l’organisation ou la personne à l’origine de la demande.

Enfin, les demandes de paiement ou d’envoi de fonds qui sortent du cadre existant de l’organisation, par exemple les versements vers un nouveau compte ou au moyen d’un nouveau portail de paiement, exigent une enquête plus poussée.

Escroqueries par usurpation d’identité bancaire

Une escroquerie par usurpation d’identité bancaire peut commencer par un texto, un appel téléphonique ou un courriel qui semble provenir d’une institution financière affirmant qu’il y a un problème urgent avec un compte, comme une atteinte à la sécurité ou une transition non autorisée, ou la recherche de données sensibles. Nous ne demanderons jamais à un client de RBC de fournir des renseignements bancaires confidentiels comme des mots de passe, des codes d’accès à usage unique ou des jetons.

Décelez les indices

• Prêtez attention à l’adresse courriel ou à l’identifiant de l’expéditeur. Les fraudeurs peuvent falsifier les coordonnées pour paraître légitimes. Les adresses courriel peuvent être piratées ou falsifiées en créant des adresses qui semblent légitimes à première vue.

• Faites attention aux fausses urgences ou importances, car les criminels cherchent à faire pression sur les destinataires pour qu’ils réagissent immédiatement.

• Faites bien attention aux pièces jointes et aux hyperliens avant de cliquer. Une série de lettres et de chiffres aléatoires pourrait indiquer qu’il s’agit d’un hameçon.

• Soyez attentifs aux demandes de télécharger un logiciel sur votre système. Si vous avez des doutes au sujet d’une demande, mettez fin à la conversation et appelez le fournisseur ou le partenaire au numéro figurant dans vos dossiers.

• Soyez à l’affût des pirates informatiques qui utilisent le caractère saisonnier de certaines opérations pour paraître plus légitimes, comme la période des impôts.

Prévention des fraudes par usurpation d’identité

Si vous recevez une demande urgente de renseignements personnels ou de paiement, en particulier si les fonds ou les informations doivent être envoyés vers une nouvelle adresse, un nouveau compte ou un nouveau site Web, il est important de mener une enquête plus approfondie avant de faire quoi que ce soit. Cette étape doit être suivie même si le message semble provenir d’une source de confiance.

Bien que ce type de fraude vise souvent à imiter des sources et des contacts légitimes, il existe souvent des signes subtils que l’expéditeur n’est pas qui il prétend être. Il peut par exemple s’agir de différences mineures dans l’adresse courriel, d’erreurs d’orthographe ou d’un appel provenant d’un numéro inconnu.

Si vous n’êtes pas certain de la légitimité d’un expéditeur, essayez de communiquer avec lui au moyen de ses coordonnées officielles ou de celles que vous avez utilisées par le passé. Ainsi, si vous recevez par exemple un courriel d’un soi-disant fournisseur exigeant un paiement supplémentaire pour une commande récente, appelez directement son bureau plutôt que de répondre au courriel.

Nous invitons les entreprises à intégrer à leurs politiques l’obligation de demander, lors de chaque opération, des renseignements que seule la source légitime peut connaître, par exemple, les détails d’une commande précédente, des numéros de facture ou des identifiants de clients.

Les organisations de toutes les tailles peuvent également mieux se protéger en adoptant de robustes outils de prévention et de détection de la fraude, comme Kobalt.io (ce lien mène à un site web dont le contenu est en anglais seulement), un partenaire Au-delà des services bancaires RBC.

Protégez votre entreprise

• Sensibilisez vos employés à ces types d’escroquerie et demandez-leur de se méfier des demandes urgentes ou suspectes.

• Vérifiez la légitimité des demandes de virement de fonds, des factures et des modifications apportées aux renseignements bancaires avant de virer des fonds. Ne vous fiez pas uniquement au courriel pour coordonner un virement de fonds – communiquez en personne ou par téléphone avant de fournir des renseignements confidentiels ou d’envoyer de l’argent

• Faites attention à ce que vous partagez en ligne. Les criminels peuvent utiliser les médias sociaux et votre site Web pour recueillir des renseignements qui serviront à usurper votre identité.

• Le rapprochement des comptes bancaires doit être effectué chaque jour afin de repérer toute opération non autorisée. Si vous découvrez des opérations frauduleuses, vous devez le signaler immédiatement à votre institution financière.

Quoi faire en cas de fraude par usurpation d’identité

Nous encourageons les entreprises et les particuliers qui sont victimes d’une fraude par usurpation d’identité à signaler immédiatement l’incident au Centre antifraude du Canada et à mettre fin à toute communication avec les fraudeurs présumés.

Par la suite, les organisations devraient rapidement modifier tous leurs mots de passe et identifiants de connexion, même ceux associés à des comptes non touchés, et encourager tous les membres de leur équipe à faire de même. Il peut être utile de faire appel à un gestionnaire de mots de passe comme 1Password, partenaire Au-delà des services bancaires RBC, pour générer rapidement des mots de passe complexes, uniques et sûrs pour tous les comptes tout en les rendant accessibles dans une seule application sécurisée.

Si une organisation pense avoir été victime d’une fraude par usurpation d’identité, elle doit également en aviser son institution financière en vue de suspendre les paiements et de sécuriser les comptes. Selon une étude de Paiements Canada, 71 % des entreprises ont reçu un remboursement total ou partiel pour les fonds qu’elles ont perdus aux mains de fraudeurs.

Comme les entreprises canadiennes présentent un risque élevé d’être visées par ce type de fraude en ligne de plus en plus répandu, il est important qu’elles se dotent d’outils, de politiques et de protocoles de cybersécurité efficaces, et qu’elles demeurent à l’affût des communications suspectes, même celles qui semblent provenir de sources de confiance.

En savoir plus : La cybersécurité des petites entreprises