Pour ceux qui connaissent le monde de la gestion et de l’entrepreneuriat des petites entreprises, Verne Harnish est une autorité vénérée. Un leader d’opinion populaire qui organise régulièrement des panels et des conférences à l’échelle mondiale, ses crédits fondateurs incluent l’Entrepreneurs’ Organization, le Gazelles Growth Institute et la firme de planification stratégique et de formation des cadres Gazelles Inc (un système et un processus utilisés par notre propre entreprise). Bien qu’il soit un gourou des affaires selon toutes les définitions du terme, son dernier bulletin illustre que personne ne peut être trop informé ou trop prudent pour être à l’abri de l’hameçonnage et des attaques baleinières.

Harnish raconte une récente rencontre avec des cybercriminels. Lors d’une conférence pour des PDG et des entrepreneurs russes de premier plan à Moscou, son courriel a été piraté alors qu’il utilisait un réseau public. Les assaillants ont eu accès à des mises à jour quotidiennes, y compris les soldes bancaires substantiels de son organisation, ainsi qu’à son processus avec son assistant pour transférer des fonds.

Par la suite, les pirates ont envoyé à son assistante un courriel imitant complètement son style, sa ligne d’objet et sa signature lui demandant de transférer des fonds à trois endroits distincts. Elle a répondu pour confirmer les transactions et les criminels ont répondu en tant que Harnish, tout en supprimant leurs communications des serveurs de messagerie et en supprimant les alertes bancaires quotidiennes. En fin de compte, les voleurs se sont tirés avec environ 400 000 $ de Gazelles et leur probabilité de se faire attraper est presque nulle.

Comme un vrai leader, Harnish a accepté l’entière responsabilité : « Le grand échec a été de ne pas penser que cela pourrait m’arriver! La deuxième était de me débarrasser de certaines routines quotidiennes et hebdomadaires critiques avec mon équipe, surtout en voyage. Et cela a souligné l’importance de parler de ces transactions importantes, et pas seulement de se fier aux courriels.

Ironiquement, il avait prévu que quelqu’un prenne la parole lors du prochain Sommet sur la croissance sur la nécessité pour les petites et moyennes entreprises de prendre la cybersécurité au sérieux. Selon ses mots : « S’ils peuvent pirater les gouvernements, ils peuvent pirater vous! Leçon apprise de la manière difficile et coûteuse.

Il s’agit d’un exemple malheureux de chasse à la baleine, également connue sous le nom de fraude du PDG ou de compromission des courriels d’entreprise (BEC). Une forme très ciblée de la tactique de piratage d’ingénierie sociale connue sous le nom d’hameçonnage, les cybercriminels utilisent des courriels sophistiqués pour tromper les dirigeants d’entreprise et les inciter à divulguer des détails personnels, financiers et d’entreprise. Le terme vient du PDG et de la haute direction qui sont de grands « hameçonneurs » (ou des baleines, même si les baleines ne sont pas tout à fait des poissons…). Les pirates informatiques harponnent et atterrissent leurs prises grâce à des textes astucieux, à une conception trompeuse et à des recherches rigoureuses. Ils essaient ensuite de voler autant de données et de fonds que possible avant de se faire remarquer.

En ce qui concerne les attaques à la baleine, Harnish s’en est tiré relativement léger, même si ce n’est peut-être pas tout à fait le cas. Leona AG, le plus grand fabricant européen de fils et de câbles électriques, a récemment perdu 44,6 millions de dollars à la suite d’un incident similaire. Le géant du jouet Mattel s’est retrouvé victime d’une fraude de PDG de la part de pirates chinois qui se sont emparés de 3 millions de dollars. Et les coûts ne sont pas toujours monétaires; Snapchat a été détruit plus tôt cette année, la fuite de données qui a suivi révélant l’intégralité de la paie de ses employés. Malheureusement, contrairement à leurs vidéos, ce genre d’embarras et de dommages ne disparaît pas après 24 heures.

Le FBI note que le BEC est en hausse, avec des incidents signalés dans tous les États américains et dans 79 pays dans le monde. Entre octobre 2013 et février 2016, les forces de l’ordre en ont enregistré 17 642, avec un coût total de plus de 2,3 milliards de dollars en pertes. En 2015 seulement, il y a eu une augmentation de 55% des attaques baleinières par rapport à l’année précédente. Et la tendance semble être la même pour 2016.

Alors, comment se défendre contre la chasse à la baleine? IRL, vous avez mis les voiles avec Greenpeace. Dans le monde des URL, cependant, vous avez besoin d’un mélange de systèmes de filtrage des courriels et de programmes antivirus comme première ligne de défense. Compte tenu de la nature socialement modifiée de la chasse à la baleine, elle s’attaque à l’erreur humaine. Cela signifie que vous avez besoin d’éducation autant que de technologie.

Buddle Findlay de Lexology soutient que la lutte contre la chasse à la baleine est autant un problème de RH que de TI. Il note que la cybersécurité devrait être traitée comme une affaire à l « échelle de l’organisation plutôt que comme un problème réservé aux technophiles. Et cela doit commencer par le haut. Citant le sondage mondial sur la criminalité économique 2016 : Ajuster la lentille sur la criminalité économique de PwC, il souligne que “seulement 61% des PDG sont préoccupés par la cybersécurité et moins de la moitié des membres du conseil d’administration demandent des informations sur l” état de préparation de leur organisation à la cybersécurité».

Les dirigeants doivent être conscients des menaces auxquelles leur organisation est confrontée, de leurs mesures actuelles et avoir un plan élaboré en cas d’incident. Des politiques doivent également être établies et surveillées pour les employés, y compris les comportements appropriés concernant le non-partage de mots de passe et les limites entourant les courriels, les médias sociaux, le WiFi, les renseignements confidentiels et les appareils mobiles (personnels et professionnels).

Voici d’autres conseils qu’il donne pour aider les employés :

• Fournir des exemples d’attaques contre votre organisation ou d’autres attaques similaires
• Donner une formation supplémentaire au personnel du service à la clientèle et des comptes, car ils sont les plus ciblés. Plus ils posent de questions, plus les pirates sont susceptibles de passer à autre chose.
• Tester les employés au hasard et de manière anonyme; publier les résultats à l’interne.
• Rappelez-leur fréquemment les politiques pour qu’ils s’arrêtent à l’esprit.

Avec le recul, il est de 20/20 et il est impossible de dire si Verne Harnish et son équipe avaient suivi ces conseils s’ils avaient été baleinés. Cependant, son expérience est une leçon (coûteuse) pour nous tous. C’est un témoignage du véritable leadership de Verne de partager sa leçon de 400 000 $ avec le monde, dans un esprit de divulgation complète.

Soyez prudent, apprenez à vos utilisateurs à faire de même et, espérons-le, vous resterez hors de l’eau.