Résilience à la fraude pour les petites et moyennes entreprises,

les cabinets professionnels et les organisations aux ressources limitées

Avis de non-responsabilité

Le présent guide est publié par le Conseil canadien de l’identification et de l’authentification numériques (CCIAN) à des fins d’information générale uniquement. Il ne constitue pas un avis juridique, réglementaire, financier ou professionnel en matière de cybersécurité. Les organisations devraient évaluer les recommandations à la lumière de leur profil de risque, de leurs obligations réglementaires, de leur environnement opérationnel et de leur posture de sécurité existante. Le CCIAN encourage les lecteurs à consulter des professionnels qualifiés avant de prendre des décisions en matière d’investissements de sécurité ou de politiques. Les références à des technologies, normes ou catégories de produits spécifiques sont fournies à titre indicatif et ne constituent pas une approbation d’un fournisseur ou d’une solution en particulier.

L’essentiel

Les petites et moyennes entreprises sont exposées de manière disproportionnée à la fraude par l’IA. La défense contre l’injection biométrique de calibre entreprise est souvent trop coûteuse pour les organisations de moins de 500 employés disposant de budgets TI limités. Cependant, les défenses les plus efficaces contre la fraude par hypertrucage sont procédurales, et non technologiques, et nombre d’entre elles ne coûtent rien à mettre en œuvre.

Le présent guide propose quatorze mesures pratiques pouvant être déployées en quelques jours. La plupart ne nécessitent que du temps de personnel et des changements de processus ; l’investissement le plus important réside dans la discipline organisationnelle, et non dans la technologie.

Note sur la terminologie : Bien que ce guide utilise le terme « hypertrucage » (« deepfake ») comme terme le plus accessible, les spécialistes techniques reconnaîtront que la menace sous-jacente est plus large. Les hypertrucages constituent un vecteur d’attaque au sein de la catégorie des attaques par injection biométrique, qui comprennent les photos manipulées, les vidéos synthétiques et les entrées de caméra compromises. Les défenses de pointe se concentrent sur la détection des attaques par injection (DAI) à plusieurs niveaux. Les contrôles procéduraux de ce guide complètent, plutôt qu’ils ne remplacent, les systèmes de détection technique certifiés.

L’urgence est réelle. Le Centre antifraude du Canada a enregistré 638 millions de dollars de pertes déclarées pour fraude en 2024, contre 577 millions de dollars en 2023. Seulement 5 à 10 % des fraudes sont signalées, ce qui suggère que les pertes réelles pourraient être d’un ordre de grandeur supérieur. Les données d’Equifax Canada montrent que la fraude à l’identité synthétique dans les demandes de crédit a presque triplé en une seule année.

À qui s’adresse ce guide

Ce guide s’adresse aux personnes suivantes :

• Associés directeurs de cabinets professionnels (juridiques, comptables, de consultation)
• Directeurs financiers et contrôleurs d’entreprises de taille moyenne (50 à 500 employés)
• Gestionnaires des TI dans des organisations sans personnel dédié à la cybersécurité
• Toute personne qui autorise des paiements, vérifie des identités ou gère des relations clients à distance

Échelle des coûts

$ = Temps de personnel et changement de processus uniquement : aucune acquisition technologique requise

$$ = Coût direct modeste : justificatifs par utilisateur, heures de consultant ou ajustements de primes d’assurance

$$$ = Investissement important : acquisition technologique, évaluation de fournisseurs ou changement d’infrastructure

Action 1 : Vérification par rappel

Coût : $ (temps de personnel) | Impact : Élevé

Pour tout changement de coordonnées bancaires, paiement de factures de grande valeur ou instructions de virement, les organisations devraient rappeler en utilisant un numéro préexistant déjà enregistré dans leur système de gestion de la relation client (GRC) ou leur dossier fournisseur. Le numéro fourni dans le courriel, le message ou l’appel vidéo ayant initié la demande ne devrait jamais être utilisé pour la vérification.

Ce seul contrôle aurait permis d’éviter la perte de 25,6 millions de dollars liée à l’hypertrucage chez Arup. Un employé des finances a participé à un appel vidéo où tous les participants, y compris le prétendu directeur financier, étaient des hypertrucages générés par l’IA. Si l’employé avait appelé la ligne directe connue du directeur financier avant d’autoriser les transferts, la fraude aurait échoué.

Important : Lorsque vous recevez un rappel, vérifiez l’identité de l’appelant avant de partager toute information confidentielle. Les fraudeurs utilisent de plus en plus l’hameçonnage vocal pour usurper l’identité d’entreprises légitimes. Tant que l’authentification robuste de l’appelant ne sera pas largement déployée, traitez les appels entrants avec un scepticisme approprié et ne divulguez jamais de données sensibles à moins d’avoir vous-même initié l’appel vers un numéro que vous avez vérifié de manière indépendante.

Mise en œuvre : Rédigez une politique d’un paragraphe. Distribuez-la au personnel concerné. Traitez la conformité comme une priorité opérationnelle.

Action 2 : Période de réflexion de 24 heures pour les demandes urgentes

Coût : $ (temps de personnel) | Impact : Élevé

Les organisations devraient envisager de mettre en place une période de délai obligatoire — 24 heures est une référence courante — pour toute demande « urgente » de modification des dépôts de paie, de redirection des instructions de virement fournisseur ou de modification des coordonnées bancaires, peu importe qui semble faire la demande.

La fraude pilotée par l’IA repose sur l’urgence. Tout contrôle qui introduit une pause délibérée dans les flux de travail à haut risque dégrade la capacité de l’attaquant à exploiter une tromperie en temps réel. Si une demande est légitime, un court délai n’aura pas d’importance. Si elle est frauduleuse, ce délai peut faire la différence entre la perte et la prévention.

Mise en œuvre : Documentez ceci comme politique formelle afin que les employés aient un appui organisationnel pour résister à la pression. L’expression « notre politique exige une période d’attente pour tous les changements de paiement » retire l’individu de la décision et rend l’ingénierie sociale considérablement plus difficile.

Action 3 : Double autorisation pour les transactions de grande valeur

Coût : $ (temps de personnel) | Impact : Élevé

Aucune personne seule, quelle que soit son ancienneté, ne devrait avoir l’autorité unilatérale d’initier un virement bancaire ou un paiement au-delà d’un seuil défini. Le seuil approprié variera selon l’organisation, mais la mise en place d’une double autorisation pour les transactions dépassant un niveau qui reflète votre schéma d’exploitation normal est un contrôle de gestion de trésorerie bien établi.

Mise en œuvre : Examinez les paramètres d’autorisation de votre plateforme bancaire et configurez les exigences de double signature pour les transactions au-delà du seuil choisi. Si votre plateforme actuelle ne prend pas en charge cette fonctionnalité, cela devrait être un facteur dans votre prochaine évaluation de fournisseur.

Action 4 : Protocoles d’authentification préétablis

Coût : $ (temps de personnel) | Impact : Élevé

Pour les relations à long terme avec les clients et les fournisseurs, en particulier dans les domaines juridique, comptable et immobilier, les organisations devraient établir un « mot de sécurité » non numérique, une phrase d’authentification ou un protocole défi-réponse lors de l’intégration initiale en personne ou dans un contexte de haute confiance. Cette clé devrait ensuite être exigée pour toutes les vérifications d’identité à distance futures impliquant des instructions sensibles.

Ce protocole simple déjoue tout hypertrucage qui n’a pas compromis le secret préétabli. Un acteur malveillant peut cloner la voix d’un client, générer une vidéo convaincante du visage du client et produire des documents falsifiés, mais il ne peut pas connaître une phrase échangée en privé dans une salle de réunion.

Choisir des secrets robustes : Choisissez des phrases d’authentification qui ne peuvent pas être facilement devinées par ingénierie sociale ; évitez les noms d’enfants, les dates d’anniversaire ou les informations accessibles au public. Utilisez des phrases aléatoires ou des références internes connues uniquement des parties concernées. Ne transmettez jamais le secret par voie numérique après l’établissement initial et renouvelez-le périodiquement (p. ex., annuellement) par des canaux sécuritaires.

Mise en œuvre : Lors de votre prochaine rencontre en personne avec des clients et fournisseurs clés, convenez d’une phrase défi-réponse. Enregistrez-la de manière sécuritaire dans votre système de gestion des relations (pas par courriel). Appliquez-la systématiquement.

Action 5 : Authentification multifacteur résistante à l’hameçonnage

Coût : $$ (coût des justificatifs par utilisateur plus configuration TI) | Impact : Élevé

L’authentification multifacteur standard par SMS et courriel est de plus en plus vulnérable à l’ingénierie sociale pilotée par l’IA, aux attaques par échange de carte SIM et aux proxys d’hameçonnage en temps réel. Les organisations devraient évaluer les méthodes d’authentification résistantes à l’hameçonnage, telles que les clés de sécurité basées sur FIDO2, les clés d’accès ou d’autres justificatifs matériels, qui ne peuvent pas être contournées par l’ingénierie sociale par hypertrucage, interceptées par échange de carte SIM ou déjouées par l’hameçonnage généré par l’IA.

La capacité clé à prioriser est la résistance à l’hameçonnage : une authentification qui est cryptographiquement liée au service légitime et ne peut pas être rejouée ou interceptée par un attaquant, même celui qui utilise une ingénierie sociale sophistiquée en temps réel.

Les justificatifs vérifiables (JV) offrent des avantages supplémentaires. Ils sont résistants à l’hameçonnage et portent des attributs d’identité qui peuvent prendre en charge des flux de travail de vérification plus riches. À mesure que l’écosystème des JV mûrit et que davantage de services prennent en charge la présentation de justificatifs, les organisations devraient surveiller les solutions de JV certifiées CCP comme option de prochaine génération.

Mise en œuvre : Identifiez les employés ayant accès aux systèmes financiers, aux données clients ou aux flux de travail de vérification d’identité. Évaluez les options d’authentification résistantes à l’hameçonnage compatibles avec vos plateformes existantes (la plupart des grandes suites de productivité infonuagiques et des portails bancaires prennent désormais en charge plusieurs méthodes résistantes à l’hameçonnage). Prévoyez un budget pour les justificatifs principaux et de secours par utilisateur.

Action 6 : Authentification du domaine de courriel (DMARC/SPF/DKIM)

Coût : $ (temps du personnel TI ou d’un consultant) | Impact : Moyen-élevé

L’IA générative a rendu les courriels d’hameçonnage grammaticalement parfaits et contextuellement convaincants. La détection au niveau humain n’est plus une défense primaire fiable. Les protocoles d’authentification de courriel, en particulier SPF, DKIM et DMARC, contribuent à garantir que les courriels usurpés prétendant provenir du domaine de votre organisation sont signalés ou rejetés par les serveurs de messagerie destinataires.

Mise en œuvre : Travaillez avec votre fournisseur TI ou votre service d’hébergement de courriel pour configurer les enregistrements SPF, DKIM et DMARC pour votre domaine de courriel. Une approche progressive est recommandée : commencez avec DMARC en mode surveillance pour vérifier les flux de courrier légitime, puis passez à l’application. La plupart des grandes plateformes de courriel fournissent des conseils de configuration sans frais.

Action 7 : Ancrage de l’identité en personne lorsque possible

Coût : $ à $$ (déplacement, planification, intégration retardée) | Impact : Moyen

Dans la mesure du possible sur le plan géographique, les organisations devraient envisager d’effectuer la vérification initiale de l’identité avec un nouveau client ou un fournisseur de grande valeur en personne. Cette séance peut établir une référence de confiance : un numéro de téléphone connu, un protocole d’authentification préétabli (Action 4), une signature vérifiée et un contact personnel direct sans écran.

Cette référence ancre toutes les interactions à distance futures. Si quelqu’un vous contacte en prétendant être cette personne mais ne peut pas produire la clé préétablie, ou si le numéro de téléphone ne correspond pas, vous avez un signal fiable que quelque chose pourrait ne pas aller.

Mise en œuvre : Intégrez ceci dans votre processus d’intégration des clients et des fournisseurs. Pour les relations de grande valeur existantes où l’intégration s’est faite entièrement à distance, envisagez de planifier une séance de vérification en personne ou vérifiée de manière indépendante lorsque c’est praticable.

Action 8 : Examen de la cyberassurance

Coût : $ (examen) à $$ (mise à niveau de la police ou avenant) | Impact : Critique pour le recouvrement des pertes

De nombreuses polices de cyberassurance standard excluent les pertes découlant d’un transfert « volontaire » d’un employé, même lorsqu’une usurpation d’identité par hypertrucage a induit cette action. Cette lacune de couverture signifie que les organisations peuvent ne pas être assurées contre le scénario de fraude par l’IA le plus probable auquel elles font face.

La démonstration de la diligence raisonnable par des contrôles de sécurité tels que ceux décrits dans ce guide peut réduire les primes ou améliorer les conditions de couverture. Les assureurs utilisent de plus en plus la classification des comptes pour évaluer le risque ; les organisations sans défenses procédurales de base peuvent faire face à des coûts plus élevés ou à des exclusions.

Mise en œuvre : Demandez à votre assureur le libellé spécifique de la police concernant la couverture de l’ingénierie sociale, la fraude par transfert de fonds et les scénarios d’usurpation d’identité par l’IA. Vérifiez si les transferts « volontaires » induits par hypertrucage sont explicitement couverts. S’ils ne le sont pas, discutez des options d’avenant avec votre courtier ou évaluez d’autres fournisseurs. La différence de prime est généralement modeste par rapport à l’exposition.

Action 9 : Règles d’autorité explicites « sans exception »

Coût : $ (politique + alignement de la direction) | Impact : Élevé

Les organisations devraient définir explicitement quelles demandes ne peuvent jamais être approuvées par courriel, appel vidéo ou messagerie seulement, peu importe qui semble faire la demande.

La fraude par l’IA réussit lorsque l’ancienneté perçue l’emporte sur le processus. Les attaques d’usurpation d’identité par hypertrucage exploitent régulièrement les scénarios du type « Je suis le PDG, faites-le simplement ». Une règle documentée « sans exception » élimine l’ambiguïté et protège les employés contre la pression.

Mise en œuvre :

Créez une matrice d’autorité d’une page indiquant :

• Quelles actions nécessitent toujours une vérification hors ligne ou hors bande
• Qu’aucune personne (y compris le PDG, le directeur financier ou le président du conseil) ne peut outrepasser cette politique verbalement
• Que l’escalade est encouragée et protégée, jamais pénalisée

Renforcez cette règle verbalement lors des réunions de direction, afin que le personnel sache qu’elle est véritablement soutenue.

Action 10 : Confirmation hors bande pour les demandes de première occurrence

Coût : $ (documentation des processus) | Impact : Élevé

La première occurrence de toute action sensible (premier virement à un fournisseur, premier changement de paie pour un employé, premier changement de signataire autorisé) comporte un risque disproportionné.

Les acteurs de la fraude par l’IA exploitent souvent les flux de travail de « première occurrence » parce que les organisations n’ont pas de schémas historiques pour repérer les anomalies.

Mise en œuvre : Exigez un deuxième canal de communication, pas seulement un deuxième approbateur, pour toutes les actions sensibles de première occurrence (p. ex., appel téléphonique + approbation système ou en personne + approbation sur plateforme). Documentez ceci comme règle d’intégration permanente, et non comme vérification discrétionnaire.

Action 11 : Formation du personnel au « langage de refus »

Coût : $ (matériel de formation) | Impact : Moyen-élevé

Les employés se conforment souvent à des demandes frauduleuses non pas parce qu’ils sont convaincus, mais parce qu’ils ne savent pas comment refuser ou retarder en toute sécurité une demande d’une personne qui semble être de niveau supérieur ou urgent.

Fournir un langage de refus préapprouvé donne au personnel un outil défensif puissant contre l’ingénierie sociale.

Mise en œuvre :

Distribuez 3 à 5 phrases approuvées telles que :

• « Notre politique exige une étape de vérification hors ligne avant que je puisse procéder. »
• « Je serai heureux de vous aider une fois la période d’attente de 24 heures terminée. »
• « Cette transaction nécessite une confirmation par notre processus standard. »

Renforcez que l’utilisation de ce langage est une conformité, et non une obstruction.

Action 12 : Coffre-fort de contacts connus et fiables

Coût : $ (configuration du système de GRC) | Impact : Moyen

Les organisations stockent souvent des numéros de téléphone et des contacts « vérifiés » dans des courriels, des feuilles de calcul et des notes ad hoc, ce qui facilite l’injection de fausses informations par les fraudeurs au fil du temps.

Mise en œuvre :

Créez une source unique et restreinte de vérité pour :

• Les numéros de contact des dirigeants
• Les contacts de confiance des clients et des fournisseurs
• Les références de vérification bancaire

Cela peut être un champ sécuritaire du système de GRC ou un système interne, mais pas un courriel ou un clavardage. Restreignez les droits de modification et auditez les changements trimestriellement.

Action 13 : Séance de sensibilisation à l’usurpation d’identité par l’IA

Coût : $ (temps de personnel) | Impact : Moyen

Beaucoup de membres du personnel supposent encore que vidéo = réel. Une brève séance d’information ciblée sur les capacités actuelles d’usurpation d’identité par l’IA améliore considérablement le scepticisme sans induire de peur.

Mise en œuvre :

Organisez une séance d’information interne de 15 minutes couvrant :

• Des exemples réels de fraude par hypertrucage (finances, juridique, RH)
• Pourquoi « voir et entendre » n’est plus une preuve
• Quelles politiques internes les protègent lorsque quelque chose leur semble anormal

Ceci devrait être présenté comme une permission de ralentir, et non comme un fardeau supplémentaire.

Action 14 : Consigner et examiner les incidents évités de justesse

Coût : $ (processus de suivi) | Impact : Moyen

Les incidents évités de justesse (tentatives de fraude qui n’ont pas réussi) ne sont souvent pas consignés, gaspillant ainsi de précieux renseignements.

Mise en œuvre :

Créez un registre interne léger pour :

• Les demandes suspectes
• Les tentatives d’urgence ou de pression inhabituelles
• Les tentatives de vérification échouées

Examinez trimestriellement pour détecter les schémas et ajuster les politiques. Cela crée un apprentissage sans blâme.

Ce que ces actions ne couvrent pas

Ce guide traite des défenses procédurales immédiates et à faible coût. Il ne remplace pas une architecture de sécurité complète. Les organisations devraient également évaluer :

• Vérification biométrique et détection du vivant — nécessitant une évaluation des fournisseurs et un investissement technologique
• Détection des attaques par injection (DAI) — solutions certifiées qui détectent les entrées de caméra manipulées, les caméras virtuelles et les médias synthétiques
• Détection de l’identité synthétique dans les opérations de crédit et de prêt — nécessitant des capacités d’analyse spécialisées
• Procédures d’intervention et d’investigation en cas d’incident — nécessitant une planification et potentiellement des partenariats externes
• Obligations de déclaration réglementaire — y compris les déclarations d’opérations douteuses au CANAFE, les signalements au CAFC et les exigences sectorielles

Note sur la détection visuelle

Lors d’appels vidéo standard, certaines techniques peuvent révéler un hypertrucage en temps réel, comme demander à la personne de passer un objet physique devant son visage ou de tourner rapidement la tête de profil. Ces vérifications peuvent parfois provoquer des artefacts visibles dans la superposition de l’hypertrucage.

Cependant, la fiabilité de la détection visuelle se dégrade à mesure que la technologie sous-jacente s’améliore. La recherche indique que les outils d’échange de visage s’adaptent spécifiquement pour gérer l’occlusion et les mouvements rapides. Des études ont révélé que seule une fraction des personnes peut identifier correctement tous les hypertrucages lorsqu’on leur présente un mélange de contenu réel et synthétique.

Détection de calibre professionnel : L’inspection visuelle seule est insuffisante pour les décisions à enjeux élevés. Les solutions certifiées de détection des attaques par injection emploient plusieurs couches de défense :

• Contrôles de cybersécurité (détection de caméra virtuelle, intégrité de session)
• Provenance des données et analyse judiciaire (empreintes de caméra, métadonnées d’image)
• Analyse d’image basée sur l’IA/l’apprentissage automatique (entraînée pour distinguer le contenu synthétique du contenu authentique)

L’inspection visuelle devrait être traitée comme un signal supplémentaire, et non comme un contrôle principal. Les organisations qui s’appuient uniquement sur les appels vidéo pour les décisions de grande valeur devraient prévoir d’évaluer les capacités de détection du vivant et de défense contre les attaques par injection certifiées CCP au fur et à mesure que les budgets et les besoins opérationnels le permettent.

Prochaines étapes

Si ce guide est utile à votre organisation, trois étapes suivent :

1. Mettez en œuvre les Actions 1 à 4 et 9 à 14 cette semaine. Elles ne nécessitent que du temps de personnel et prennent effet immédiatement.
2. Prévoyez un budget pour les Actions 5 et 6 ce trimestre. L’authentification résistante à l’hameçonnage et l’authentification du domaine de courriel représentent parmi les investissements en sécurité au rendement le plus élevé disponibles pour toute organisation en ce moment.
   
3. Contactez le CCIAN pour explorer la conformité au CCP pour vos processus de vérification de l’identité et vous connecter au réseau de membres du CCIAN pour obtenir des conseils technologiques sur les solutions de détection certifiées.

CCIAN – Là où la confiance numérique rime avec affaires

contact@diacc.ca  |  diacc.ca