La criminalité informatique en hausse dans les entreprises belges
Cette étude biennale, qui en est à sa sixième édition, se penche sur la fraude commise par les travailleurs, les fournisseurs et les clients dans les entreprises et les autres organisations. Cette année, quelque 3.877 organisations du monde entier y ont participé, dont 84 en Belgique. Parmi les entreprises belges qui ont été confrontées à la fraude économique au cours de l’année écoulée, seules 44% estiment avoir été victimes de cybercrime.
Dans le monde, 34% des entreprises participantes affirment avoir été confrontées à un ou plusieurs cas de fraude au cours de l’année écoulée, soit une augmentation de 4% par rapport à 2009. En Belgique, ce chiffre atteint même 38%. Que ce soit dans notre pays ou dans le reste du monde, le détournement des ressources d’entreprise reste la forme la plus courante de délits économiques. En Belgique, près de sept entreprises touchées sur dix (69%) y sont confrontées (contre 72% au niveau mondial).
« La fraude comptable recule toutefois, pour se stabiliser au niveau d’avant la crise économique. »
En ce qui concerne la corruption, la courbe s’envole elle aussi: de 13% en 2009 à 22% en 2011. La fraude comptable recule toutefois, pour se stabiliser au niveau d’avant la crise économique. Si, en 2009, 33% des entreprises touchées étaient victimes de cette forme de fraude, elles ne sont plus que 9% aujourd’hui, exactement comme en 2007. « Le pourcentage élevé des études précédentes était dû à la crise économique de 2008 et à la lutte pour survivre que menaient beaucoup d’organisations qui enjolivaient leurs comptes annuels dans un climat économique morose, analyse Rudy Hoskens, Partner Forensic Services chez PwC. Cette pression était probablement moins forte au cours des deux dernières années. Étant donné le nombre élevé de cas de fraude comptable apparus ces dernières années, il se peut que cette forme de fraude soit devenue moins rentable et que le risque de se faire prendre se soit accru. »
Menace croissante
Cette année, une nouvelle venue fait une entrée fracassante dans l’étude: la cybercriminalité. Avec un taux de 44%, la cybercriminalité est beaucoup plus élevée dans notre pays que dans le reste du monde (23%), et elle vient se classer au deuxième rang des différents types de fraude. « Dans notre étude précédente, le cybercrime n’était pas mentionné en tant que tel, relève Rudy Hoskens. Il était repris dans la catégorie ‘autre’, mais il est évident que la criminalité informatique est en pleine ascension. Les entreprises se fient de plus en plus aux ordinateurs, à Internet et aux autres nouvelles technologies. Elles s’exposent par conséquent aux cyberattaques de toutes natures. »
Les cas de vol de données, de virus informatiques, de piratage et de phishing sont de plus en plus nombreux. « Le nombre de cas recensés témoigne de l’augmentation de la cybercriminalité, mais la perception des risques perçue par les entreprises aussi: 45% des répondants belges considèrent la cybercriminalité comme une menace croissante et 25% estiment que cette menace restera inchangée. Une tendance similaire se dessine sur le plan international, mais les résultats de la Belgique sont beaucoup plus élevés. »
À n’en pas douter, l’augmentation de la cybercriminalité est une conséquence du rôle crucial que joue la technologie moderne dans le quotidien des entreprises mais, selon Rudy Hoskens, elle s’explique également par le fait que la cybercriminalité est moins risquée pour le fraudeur que les autres délits économiques. « Pour commencer, l’auteur n’est pas physiquement présent sur le lieu de son délit, ce qui réduit les chances de le prendre en flagrant délit. Il est en outre plus difficile d’identifier le coupable ou de déterminer où il se trouvait au moment des faits. Il se trouve d’ailleurs souvent dans une autre juridiction, ce qui réduit encore les chances de le retrouver. Tout cela fait qu’il peut plus facilement revenir sur le lieu du crime. »
Interne ou externe?
En général, la cybercriminalité est surtout considérée comme une menace externe, c’est d’ailleurs ce que pensent 54% des entreprises belges (et 45% des entreprises au niveau mondial). Pourtant, 39% des répondants belges (contre 42% en global) sont d’avis que la cybercriminalité peut venir de l’intérieur comme de l’extérieur de l’organisation. Cela témoigne clairement d’un changement des perceptions à cet égard. Parmi les participants belges qui indiquent que la cybercriminalité est une menace interne, 67% affirment que la menace d’infractions internes est surtout présente dans le département informatique. Cependant, les risques ne se limitent pas à ce département: les services opérationnels (42%), le département financier (30%) et sales & marketing (27%) sont également des sources de risque potentielles.
« Pour s’attaquer à un problème, il faut d’abord reconnaître qu’il y a bel et bien un problème. »
« De très nombreuses entreprises belges ont été confrontées au cybercrime l’année dernière et elles le voient comme une menace, fait remarquer Rudy Hoskens. Toutefois, elles semblent ne pas faire grand-chose pour réduire cette menace. Pourtant, les chiffres sont éloquents: 50% de tous les répondants ne savent pas si leur propre organisation dispose en interne des capacités nécessaires pour éviter ou détecter la cybercriminalité; 56% ne savent pas si leur entreprise est à même d’analyser la cybercriminalité; 51% ignorent si leur organisation a élaboré une procédure d’urgence pour désactiver le réseau informatique en cas de cyberattaque. »
Et cela ne s’arrête pas là: plus de sept répondants belges sur dix indiquent que leur entreprise ne contrôle pas les sites de médias sociaux, ou ne savent pas si cela se fait dans l’organisation. Autre constatation: 32% des entreprises belges interrogées confessent que le personnel n’a pas suivi de formation sur la sécurité informatique au cours des 12 derniers mois.
Prise de conscience
Rudy Hoskens est convaincu que les entreprises belges ont encore du pain sur la planche et qu’elles ont tout intérêt à prendre des mesures pour détecter la cybercriminalité de manière proactive et y remédier. « Il est tout d’abord essentiel que tous les rouages d’une entreprise, en ce compris le CEO, prennent conscience des menaces potentielles de cybercrime. Une évaluation régulière des systèmes de sécurité informatique peut indiquer dans quelle mesure l’entreprise est prête à affronter une éventuelle cyberattaque. Il faut également dresser soigneusement la carte de l’environnement informatique de l’entreprise afin de pouvoir consigner clairement les éventuelles actions à entreprendre. »
Cependant, la formation du personnel revêt aussi un aspect crucial, tout comme la désignation d’une équipe capable d’agir rapidement et efficacement en cas d’incident. « Une entreprise a également intérêt à adopter un point de vue arrêté sur la cybercriminalité, à le communiquer et à réellement traîner les auteurs en justice. Pour finir, il existe également des risk assessments pour la fraude. Des évaluations régulières permettent de détecter les vulnérabilités d’une organisation. L’étude révèle également que plus ces assessments sont fréquents, plus les organisations ont des chances de détecter la fraude. »
Le problème majeur d’une politique anti-fraude proactive dans les entreprises réside toutefois dans l’importante sous-évaluation. La réalité est très loin de la perception. Dans l’étude, les entreprises devaient chaque fois indiquer, comment elles évaluaient la menace des différentes formes de fraude pour l’avenir. La différence entre la perception de cette menace fin 2009 et les cas de fraude effectivement constatés en 2011 est énorme. L’étude montre également que le détournement des ressources d’entreprise dans les organisations survient cinq fois plus qu’elles ne s’y attendent. Dans la réalité, la corruption est deux fois plus fréquente que les prévisions initiales. « La sous-estimation est frappante, mais elle ne me surprend pas. Il s’agit d’un phénomène récurrent. Les entreprises pensent encore trop souvent que cela ne concerne que les autres: cela ne nous arrivera probablement pas. Cette sous-estimation est bien entendu néfaste, car pour s’attaquer à un problème, il faut d’abord reconnaître qu’il y a bel et bien un problème », conclut Rudy Hoskens.