TOPIC La pyramide de Ponzi Ce système de montage financier frauduleux a été mis en place dans les années 1920 à Boston par Charles Ponzi. Le principe – sournoisement ingénieux – est d’une simplicité enfantine. L’escroc recrute des clients en leur promettant des intérêts alléchants. Il récolte ainsi un maximum d’investissements. Les intérêts promis à un client lui sont en effet payés, mais en allant puiser dans le capital apporté par les autres clients. Le système fonctionne très bien tant que de nouveaux clients investissent. C’est la stratégie qu’avait utilisée le tristement célèbre Bernard Madoff. Avant son arrestation, l’escroc du siècle avait accumulé pas moins de 65 milliards de dollars… cette notion serait rarement remise en cause. Quelle que soit l’approche, l’escroc peut combiner différentes techniques de persuasion. Premièrement, il peut donner à la personne l’illusion du choix. Ceci peut mettre la victime potentielle en confiance car elle ressent un pouvoir de décision et de liberté. Deuxièmement, il peut pousser son sujet à dire « oui ». Les gens seront plus prompts à accepter une demande si on leur fait accepter une première demande anodine. Mais il peut aussi pousser le malheureux à dire « non ». Les gens seront plus enclins à accepter une demande raisonnable si la première est démesurément inacceptable. Dans tous les cas, l’imposteur combine différentes techniques et s’adapte en usant successivement d’autorité, de charme, de sympathie et de réciprocité. Déjouer le prédateur Georges Ataya est vice-président de la coalition belge de la cybersécurité, professeur à la Brussels Solvay School et directeur associé dans la société de conseil ICT Control. Il nous éclaire sur les moyens à mettre en œuvre au sein d’une entreprise afin de se protéger contre l’ingénierie sociale : « Il faut avant tout créer une conscientisation chez les employés en les informant le plus régulièrement possible. Ils doivent développer des réflexes et un comportement de défense, teinté d’une certaine méfiance. Au sein d’ICT Control, nous avons identifié 40 domaines de conscientisation nécessaires. Par exemple, comment protéger les comptes et pages Facebook, sécuriser ses e-mails et son ordinateur. Nous organisons des formations pour les entreprises, à tous les niveaux de hiérarchie. On peut aussi mettre à l’épreuve la crédulité des employés en simulant des scénarios de phishing. » Selon George Ataya, le contrôle des données dans une entreprise est fondamental. « Les informations d’une organisation doivent absolument être protégées. Les sociétés qui ne le font pas sont complètement inconscientes. L’Europe l’a d’ailleurs bien compris. En avril dernier, le Parlement a adopté le Règlement Général sur la Protection des Données. Les dispositions du texte renforcent et unifient la protection des données pour les individus au sein de l’Union européenne. Il sera d’application au printemps 2018. Des amendes seront prévues pour les entreprises qui ne protègent pas correctement leurs données. » Le spécialiste en cybersécurité identifie trois étapes dans le processus de protection des données. « Premièrement, les données doivent être classifiées. Sont-elles privées, confidentielles, ultraconfidentielles ? Ensuite, il faut Identifier des privilèges d’accès en lecture et en écriture propres à chaque fonction dans l’entreprise. Il faut enfin allouer les autorisations aux personnes. Mais cela ne suffit pas. Une personne manipulée pourrait transmettre des informations auxquelles elle a accès. Pour contrer ce risque, on peut par exemple mettre en place des alertes lorsque quelqu’un accède à une information critique ou ultra-confidentielle. L’accès à certaines données peut aussi être garanti par un déblocage requérant les mots de passe de plusieurs personnes. » Les informations d’une organisation doivent absolument être protégées. Les sociétés qui ne le font pas sont complètement inconscientes. Georges Ataya Sans pour autant céder à la paranoïa, il est crucial pour les entreprises de se protéger efficacement contre de telles attaques. Qu’elles soient unipersonnelles, des PME ou des multinationales. Une bonne dose de rigueur et une organisation performante semblent être indispensables dans cette lutte. Avec une politique forte en matière de sensibilisation, d’information et de formation du personnel. ● BECI - Bruxelles métropole - décembre 2016 27 © R.A.
30 Online Touch Home