En août dernier, le personnel des comptes fournisseurs de l’Université MacEwan à Edmonton a apporté un simple changement aux renseignements bancaires des fournisseurs, ce qui a coûté 11,8 millions de dollars à l’université. En juin, un courriel a été envoyé au personnel de MacEwan par ce qui semblait être un fournisseur connu, Clark Builders, qui travaillait avec MacEwan sur divers projets de construction depuis 2003. Dans cette correspondance, qui a fait des allers-retours pendant plusieurs semaines, l’expéditeur du courriel a demandé à l’Université de modifier les renseignements bancaires de Clark Builders. Les informations bancaires ont été modifiées sans autre vérification et trois paiements distincts ont été effectués sur un compte frauduleux. Déjà, 11,4 millions de dollars ont été retracés jusqu’à des comptes à Montréal et à Hong Kong, mais l’enquête sur le montant restant se poursuit.
Alors que l’affaire a été couverte par des dizaines de médias comme un exemple de fraude massive menée par le biais d’une attaque de phishing, de nombreux commentaires se sont concentrés sur le manque choquant de contrôles financiers en place chez MacEwan.
Les attaques de phishing ne sont pas nouvelles pour la plupart des entreprises, mais les méthodes utilisées sont de plus en plus sophistiquées à mesure que les cybercriminels perfectionnent leurs compétences pour créer des campagnes d’e-mail de plus en plus convaincantes et que de nouveaux outils deviennent à leur disposition. Cependant, dans de nombreux cas, les stratagèmes de phishing reposent sur des techniques d’ingénierie sociale de base qui espèrent tromper les cibles en leur révélant des informations personnelles. MacEwan a été victime de ce que l’on appelle une attaque de spear phishing, qui cible une organisation ou un individu spécifique en usurpant l’identité d’un associé ou d’un client connu.
Dans un sondage mené auprès de plus de 500 professionnels de la cybersécurité plus tôt cette année, une majorité de répondants (76 %) ont déclaré que leur organisation avait été victime d’une attaque de phishing en 2016. Bien que cela représente en fait une diminution de 10% par rapport aux résultats de l’année précédente, les comportements à risque chez les employés sont toujours endémiques. La formation de sensibilisation à la sécurité des employés est une mesure importante que les organisations peuvent prendre pour réduire leur vulnérabilité aux attaques de phishing, mais les protocoles métier doivent également être en place en tant que barrière ferme contre les erreurs des employés.
Les établissements d’enseignement postsecondaire se retrouveront bientôt assujettis à de nouveaux règlements qui exigent la déclaration obligatoire des cybercrimes. Au-delà de cela, les institutions devraient vérifier leurs processus comptables actuels et évaluer l’efficacité de leurs contrôles internes actuels. Bien que les technologies de sécurité telles que les filtres, les outils de renseignement sur les menaces et d’autres logiciels anti-hameçonnage puissent réduire le risque, une véritable protection doit être intégrée aux processus internes d’une organisation.
Pour les équipes de comptes fournisseurs qui traitent des volumes de factures élevés ou des montants de paiement importants, une solution d’automatisation des points d’accès peut être un outil inestimable pour appliquer les contrôles internes. Avec l’automatisation des points d’accès, chaque facture et demande de paiement est instantanément acheminée via des canaux prédéfinis pour approbation. L’accès des utilisateurs des employés est également strictement contrôlé dans la plupart des solutions d’automatisation des points d’accès, en permettant aux administrateurs de personnaliser les informations d’identification des utilisateurs en fonction du rôle de la tâche ou d’autres facteurs. Beanworks est un outil d’automatisation des points d’accès basé sur le cloud qui inclut toutes ces fonctionnalités, ainsi que des rapports à la demande ainsi que des pistes d’audit de facture et de paiement qui donnent aux administrateurs le pouvoir de savoir exactement quelles actions ont été effectuées sur n’importe quelle facture à tout moment. Dans le module d’automatisation des paiements Beanworks, BeanPay, nous avons également des mesures de notification supplémentaires pour améliorer la sécurité. Lorsque les informations sur le fournisseur sont modifiées, une notification instantanée par e-mail est envoyée aux administrateurs de paiement.
Avec Beanworks, les organisations obtiennent un contrôle en temps réel de leurs flux de trésorerie et une visibilité complète sur l’ensemble du processus AP. En savoir plus sur la façon dont notre solution offre un moyen sécurisé de rationaliser les flux de travail des comptes fournisseurs.
Source de la photo : Université MacEwan
Partager cet article
