LES FRAUDES FINANCIÈRES LES PLUS FRÉQUENTES DANS LES TPE, PME ET GRANDES ENTREPRISES

Les 3 moyens de fraudes financières les plus répandus en France et en Europe

Les entreprises, quelle que soit leur taille, sont fréquemment vulnérables dans leurs processus de paiement par ignorance ou par excès de confiance. Les fraudeurs s’appuient sur ces faiblesses pour répéter leurs actions. L’information reste le seul moyen de protéger votre talon d’Achille et de mettre en place des solutions durables qui permettent d’éviter les fraudes.

Sylvain KAM, expert en sécurisation des flux financiers chez MATA, nous rappelle quelles sont les fraudes les plus fréquemment rencontrées dans nos entreprises.

Quels sont les moyens de fraudes les plus fréquents ? La fraude au président, les faux ordres de virement, la fraude aux coordonnées bancaires, le pishing ?

Les fraudes les plus courantes sont autant humaines qu’informatiques. Les premières sont généralement le fait d’une personne qui, par opportunisme, détourne en toute discrétion pendant des mois ou des années, des sommes relativement raisonnables, dont le cumul peut représenter des montants absolument significatifs. Les secondes sont plutôt des actions préparées et construites pendant des semaines, voire des mois, en amont par des équipes expertes en fraude. Elles sont mises en place de manière invisible et lorsqu’elles impactent la société, ce sont des montants réellement astronomiques qui sont détournés des fonds de l’entreprise.

Les fraudes au faux fournisseur

Selon EULER HERMES, la fraude au faux fournisseur est la plus répandue puisqu’elle représente plus de 54% des tentatives de fraude selon leur étude de 2018.
Le principe est simple, un faux fournisseur ou une fausse société d’affacturage met en place les éléments nécessaires pour se faire payer le montant d’une ou plusieurs véritable(s) facture(s), émise(s) par un véritable fournisseur.

Le fonctionnement est simple pour réaliser ce détournement : une personne de la comptabilité reçoit un courrier à en-tête d’un fournisseur l’informant d’un changement de coordonnées bancaires. Ce courrier porte tous les détails qui le rendent crédible : coordonnées, logos, numéros et signature manuscrite du Directeur. La personne de la comptabilité procède alors à la modification des coordonnées bancaires et la fraude se déroule en toute discrétion, pendant des semaines, jusqu’à ce que le véritable fournisseur impayé se manifeste. A ce moment, les deux sociétés découvrent qu’elles sont victimes d’une fraude au faux fournisseur… et le montant global escroqué.

Ces sont fréquemment des actions « one shot », très difficiles à tracer et les montants peuvent être spectaculaires. Souvent les opérations se font de l’étranger, il est impossible de récupérer les fonds car juridiquement l’entreprise n’est pas couverte puisqu’elle a validé le paiement. La banque n’est pas tenue de rembourser.

Les cibles privilégiées sont les entreprises qui ont des activités avec des fournisseurs situés géographiquement à l’étranger.

La cybercriminalité – Les ransomware

La cybercriminalité, c’est 50% des tentatives de fraudes avec une part de 20% pour les ransomware. Cette menace est à prendre au sérieux à tous les niveaux de l’entreprise car c’est le réseau entier qui doit être sécurisé afin de protéger toutes les données, y compris financières, comptables ou humaines.

La menace vient de logiciels programmés pour crypter vos outils jusqu’au paiement d’une rançon pour débloquer la situation et relancer votre production. Dans le secteur bancaire, la fraude peut permettre de détourner des transactions financières. Il y a mille façons pour les professionnels de la fraude informatique de mettre en place ces logiciels espions qui ouvrent les portes de votre réseau et le rendent vulnérable : contrôle des postes à distance, modification de fichiers informatiques de règlement, mise en place de fichiers qui récupèrent les mots de passe nécessaires au règlement… leur créativité n’a pas de limite.

Les protections informatiques à mettre en place sont nombreuses : firewall, antivirus et surveillance des utilisateurs sont obligatoires. Il est possible de les appuyer par des leviers sur la partie contrôle de logiciel bancaire, notamment avec la mise en place de la cryptographie et d’une chaîne de règlement automatisée pour être inattaquable.

La fraude de manipulation – fraude au faux président, au faux banquier

Ces escroqueries font de nombreuses victimes, en 2016 leur montant en France avoisinait les 500 millions d’euros*. Leur principe est simple et connu mais fonctionne toujours : une personne se fait passer pour un dirigeant ou un décideur de l’entreprise pour passer un virement exceptionnel dans l’urgence. Même si le compte n’existe pas, l’interlocuteur est mis sous pression et dans une situation d’urgence non négociable pour qu’il/elle effectue l’opération demandée de bout en bout. Le manipulateur ne lâche pas sont interlocuteur jusqu’à ce que l’opération soit terminée et le prive de tout échange avec une autre personne sous couvert de confidentialité absolue.

Concernant la fraude au faux banquier, il s’agit d’une personne qui se fait passer pour un banquier qui souhaite ou doit vérifier le bon fonctionnement des opérations entre la banque et la société. Il demande un virement test qu’il va bloquer en théorie, mais en réalité à ce moment précis, il passe via un autre canal qui vient d’autoriser les échanges entre votre entreprise et une structure qui va récupérer vos fonds.
Le fraudeur connait parfaitement les noms des acteurs clés de l’entreprise : l’interlocuteur qui va agir, ses collègues, le chargé de clientèle de la véritable banque, les numéros de codes etc. et tous ces détails vont tromper le salarié qui agira sans avoir de doute.

Ces situations sont évitables, il faut instaurer des procédures de vérification, crypter les documents bancaires et instaurer un système de signatures multiples, notamment pour les paiements internationaux.

Quelles solutions MATA propose pour protéger contre ces fraudes et comment fonctionnent-elles ?

La mission de « Mata I/O Sécurité » est de s’intercaler dans la chaîne de règlements client de manière non dérogatoire. Tous les règlements subissent des contrôles de sécurité stricts et toutes les coordonnées payées sont contrôlées.
Un système d’alerte spécifique à votre métier est mis en place et si une alerte survient, c’est un contrôle humain qui est effectué, par une personne différente de l’émetteur du règlement. Les valideurs sont toujours et systématiquement des personnes stratégiquement « éloignées » de celles qui portent des responsabilités de règlement. Un système qui assure une prise de recul obligatoire et salvatrice.

Ce système peut se coupler à SEPAmail Diamond pour aider à traiter le contrôle des comptes bancaires français, et il peut se connecter à des listes de comptes interdits venant d’autres organismes (UE, Tracfin…).
La cryptographie étant incluse directement dans la solution, elle contribue à garantir la fiabilité des échanges.
De plus, nous paramétrons des indicateurs adaptés pour créer des alertes par pays, par plafonds… La solution est flexible et adaptée au cadre de la société dans laquelle elle est déployée. Vous ne changez pas vos outils, c’est le contrôle qui s’adapte au moment de l’implémentation dans votre environnement technique. Le process de règlement devient obligatoire et sécurise toute la chaîne. Consultez-nous !

• De 2010 à 2016 – source https://www.police-nationale.interieur.gouv.fr/Actualites/Dossiers/Cybercrime/L-arnaque-au-president-ou-escroquerie-aux-faux-ordres-de-virement-FOVI