Mise en garde

Les entreprises visées par la fraude téléphonique

Publié le VENDREDI 18 NOVEMBRE 2016

Mots-clés :
Les entreprises visées par la fraude téléphonique - CCI de Lyon

Le détournement des lignes téléphoniques (phreaking) touche aussi les entreprises. Les règles essentielles à suivre.

De quoi s'agit-il ?

Les serveurs de télécommunication (PABX/IPBX) sont des cibles privilégiées, car ces systèmes ne bénéficient pas de sécurisations aussi avancées que dans le monde informatique. Une fois que les cybercriminels ont mis la main sur les standards téléphoniques, les lignes sont détournées vers des destinations hors de l'hexagone sur des numéros surtaxés au simple décroché. Un maximum d'appels sont alors lancés aveuglément et automatiquement.

En détournant l'abonnement téléphonique des entreprises, les malfaiteurs génèrent des surfacturations importantes, pouvant mettre en péril leur pérénnité.

Les structures de toutes tailles sont concernées par ce risque potentiel. Entreprises ou administrations, il est important de vous prémunir contre ces attaques qui peuvent coûter très cher : en novembre 2015, par exemple, un Conseil départemental a reçu une facture de 43 000 € pour des appels frauduleux émis vers l’Afrique.

Les règles essentielles* pour sécuriser vos système téléphoniques :

Cf fiche pratique EBEN "La fraude téléphonique, une menace pour les entreprises"

  • Il vous incombe de modifier dès l’installation et de manière régulière l’ensemble des mots de passe. Ceux-ci doivent être complexes

  • Nommez une personne au sein de votre entreprise formée aux procédures de changement des mots de passe ou une personne par service selon la taille de votre structure.

  • Sécurisez et isolez votre serveur téléphonique dans un espace dédié et dont l’accès est restreint (fermé et accessible seulement aux personnes habilitées) comme vous le feriez pour vos serveurs informatiques.

  • Les flux VOIX et les flux DATA doivent transiter par deux réseaux distincts.

  • Votre intégrateur a un devoir de conseil et de mise en garde à votre égard, définissez donc avec lui une politique de gestion des communications dans votre entreprise avec une définition des niveaux de service par utilisateur.
    Par exemple :
    - boîte vocale simple avec enregistreur ou assistance personnelle ;
    - choisissez le renvoi d’appel vers l’extérieur uniquement si cela est nécessaire pour l’utilisateur ;
    - si votre activité ne nécessite pas d’appeler à l’étranger, optez plutôt pour un accès national.

  • Les constructeurs mettent régulièrement à jour la politique de sécurisation de leurs produits, choisissez un niveau de contrat qui intègre ces évolutions.

  • Sécurisez également vos systèmes pendant les heures ouvrables par des moyens complémentaires. Par exemple, installez un logiciel de scrutation des lignes et de gestion des VOIX qui vous permettra de surveiller en temps réel l’activité de vos systèmes (appels entrants, sortants et émis en interne).

  • Questionnez votre opérateur pour savoir si votre contrat est éligible à une analyse de vos flux VOIX qui inclurait la possibilité de couper, notamment en heures non ouvrables, les communications lors d’appels émis vers des destinations anormales ou en rafale sur des numéros surtaxés.

  • Vos partenaires (opérateur, intégrateur ou installateur) sont régulièrement amenés à vous informer ou vous alerter sur la sécurité de vos systèmes, restez vigilant quant à ces communications (courriers, mails…). N’hésitez pas aussi à leur poser vos questions.

* Cette liste est fournie à titre non exhaustif et est susceptible d’évoluer en fonction de la loi et de la jurisprudence