Comment faire face aux piratages téléphoniques des entreprises ?

"

Les bonnes pratiques pour se protéger


Votre expert téléphonie :

« Au vu de la recrudescence de la fraude téléphonique, nous avons souhaité développer un outil interne pour contrecarrer celle-ci. Ce développement est né de la collaboration entre notre équipe SI et l’équipe VoIP pour, non seulement, détecter ces fraudes, mais aussi pouvoir les stopper le plus rapidement possible et ainsi protéger nos clients.

Cet outil est 100% automatisé pour la simple et bonne raison que les fraudes de ce type arrivent quasi systématiquement la nuit ou le weekend. »

Mickaël, Ingénieur VoIP chez HEXANET
Mickaël HUBERT,
Ingénieur VoIP HEXANET

 

La sécurité informatique et des systèmes téléphoniques est au cœur de l’actualité. Le piratage téléphonique ou encore appelé « Phreaking » s’intensifie lourdement dans les entreprises, causant des préjudices financiers conséquents. En effet, quelques jours, voire même quelques heures, suffisent aux pirates pour causer plusieurs milliers d’euros de préjudices aux entreprises et collectivités françaises.

La Mairie de Saint-Malo a ainsi été victime d’un piratage téléphonique qui lui a été conséquent en mai dernier. En effet, un pirate téléphonique avait réussi à s’introduire dans le canal téléphonique de la ville et multiplié les appels à destination du Burkina-Faso et de l’Amérique du Sud laissant en quelques heures une facture de 80 000 euros*.

 

Que faire ?
Comment faire face au piratage téléphonique ?

HEXANET, opérateur VoIP , se mobilise contre le piratage téléphonique et vous livre de précieux conseils pour vous protéger contre ces attaques.

Qu’est-ce que la fraude téléphonique et comment s’opère-t-elle ?

Vos postes téléphoniques en entreprise fonctionnent à l’aide d’un PABX. (Private Automatic Branch eXchange) Ces serveurs de communication sont des cibles privilégiées pour les pirates qui parviennent à les contrôler à distance en exploitant une faille dans votre système et en observant des lacunes en matière de sécurité.

Ainsi, le pirate peut tirer profit du système téléphonique de votre entreprise pour téléphoner gratuitement ou bien émettre des appels vers des numéros étrangers.

Voici quelques exemples fréquents de pratiques :

  • Utilisation abusive du service de téléphonie
  • Piratage des messageries vocales accessibles depuis l’extérieur dans le but d’activer des fonctions de renvoi d’appels vers l’extérieur
  • Renvois vers des numéros surtaxés, à l’étranger le plus souvent
  • Revente des communications à des tiers

 

Le piratage téléphonique a des conséquences lourdes pour l’entreprise.

La première conséquence est bien sûr la surfacturation téléphonique importante. Ensuite, ce type de mésaventure entraîne une perte de temps importante pour rechercher la source du problème. A noter aussi, les conséquences que cela peut avoir sur l’image de l’entreprise : perte de crédibilité, perte de clients etc…

Ainsi, on évalue les pertes globales liées à la fraude téléphonique en 2015 à 38.1 milliards $ (USD)** et les structures de toutes tailles sont concernées par ce risque. Il est donc important de vous prémunir contre ces attaques qui peuvent coûter très cher.

Découvrez les règles essentielles pour limiter les risques de fraude sur vos installations téléphoniques.

Système anti-fraude, la sécurité au niveau de l'utilisateur

1. La sécurité au niveau de l’utilisateur

  • Mise en place de mot de passe avec complexité imposée par le système pour le téléphone, les applications, la messagerie vocale et les ponts de conférences
  • Changement régulier  de mots de passe
  • Désactiver les comptes d’utilisateurs ayant quitté l’entreprise
  • Verrouiller automatiquement ou déconnecter automatiquement l’utilisateur sur le téléphone

 

Système anti-fraude, les bonnes pratiques au niveau de l'installation2. Les bonnes pratiques au niveau de l’installation

  • Désactiver les services non utilisés
  • Utilisation de mot de passe fort pour les administrateurs du système, les codes par défaut des utilisateurs et sur les services de l’IPBX
  • Mettre en place les correctifs de sécurité publiés par les constructeurs
  • Privilégier le protocole HTTPS pour les interfaces web
  • Interdire les appels et renvois internationaux vers les destinations non nécessaires
  • Limiter la possibilité d’appels externes pendant les horaires de fermeture
  • Limiter l’exposition sur internet du système de téléphonie et adopter les mêmes pratiques que pour l’informatique
  • Chiffrement des communications supporté sur un nombre croissant d’équipements
  • Séparer les réseaux informatiques et téléphoniques, utiliser des VLANs ou switching indépendants
  • Contrôler que les utilisateurs ayant quitté la société sont bien désactivés

 

Système anti-fraude, les bonnes pratique au niveau de l'installation3- La sécurité chez l’opérateur

  • Avoir recours à des liens opérateur étanches à Internet du type MPLS/VPN, ceci permet de rester dans un réseau totalement privatif
  • Valider la politique d’authentification forte de votre opérateur qui vous fournit votre accès téléphonique
  • Vérifier auprès de votre assureur si la fraude téléphonique est couverte par votre contrat
  • Se renseigner sur les moyens anti-fraude proposés par votre opérateur

Une des solutions anti-fraude pour la téléphonie d’HEXANET

HEXANET a développé un nouveau système anti-fraude avec des fonctions de détection intégrées permettant de contrer efficacement la fraude et de réduire ainsi son impact sur votre téléphonie d’entreprise et sur vos dépenses.

Les avantages et caractéristiques de cette solution :

  • Réalisation d’une étude client par client (créneaux d’1 heure) avec comparaison des moyennes du mois précédent afin de détecter une fraude potentielle.
  • Capacité à bloquer la fraude sur 4 types de destination : National fixe, national mobile, numéros spéciaux et numéros internationaux
  • Un système de détection de la fraude entièrement automatisé (car les fraudes ont lieu la nuit et le week-end)  en 3 phases  :

=> Phase  1 :  Si le système détecte une potentielle fraude, un email est envoyé au client pour l’avertir de cette détection.

=> Phase 2 : si dans le créneau suivant, la fraude est avérée car toujours présente; Hexanet est capable de bloquer uniquement la ou les destinations frauduleuses

=> Phase 3 : Dans le dernier créneau, si cette fraude est toujours présente, c’est qu’il y a eu un problème non identifié par le système automatisé et dans ce cas là une intervention  humaine est nécessaire et l’astreinte Hexanet est déclenchée.

 

 

*Source BFMTV http://hightech.bfmtv.com/securite/le-piratage-telephonique-de-la-mairie-de-saint-malo-lui-coute-80-000-euros-1058814.html

**Source CFCA



Sujet(s) :