LA FRAUDE INTERNE
Insidieuse et discrète, la fraude interne peut s’installer au sein des processus de manière absolument invisible et durable. Selon Euler Hermès, elle touche 18% des entreprises françaises et plus d’un tiers dépassent les 100.000 euros de pertes. Sylvain KAM, expert en sécurisation des flux financiers chez MATA, nous rappelle ce qu’est la fraude interne et comment elle peut s’insinuer dans les processus de toutes les entreprises. Qu’est-ce que la fraude interne ? Vos collaborateurs ont souvent l’intuition adéquate, ils font preuve d’initiatives personnelles qui permettent d’éviter de nombreuses fraudes. Pourtant, certains d’entre eux vont dévisser et profiter d’une faille dans votre organisation pour détourner des fonds. Cette fraude, mise en place à l’initiative d’un ou plusieurs collaborateur(s) de l’entreprise peut prendre une multitude de formes, mais en règle générale, le fraudeur est plutôt solitaire, une situation qui lui permet de détourner les fonds de l’entreprise en diminuant les risques. La fraude interne touche toutes les sociétés, quels que soient leur taille et leur secteur d’activité. Dans tous les cas la fraude apparaît quand une personne a trop de pouvoir et qu’elle peut agir sans contrôle. La fraude dure souvent depuis plusieurs mois et même plusieurs années… A quel type de fraude interne une entreprise peut-elle devoir faire face ? (fraude documentaire, fraude chronologique, excès de frais…) Tous les services de l’entreprise peuvent être touchés par la fraude. Fausses notes de frais à tous les niveaux de responsabilité, détournements de paiements, fraude informatique… le collaborateur fraudeur est souvent au-dessus de tout soupçon ! Ressources humaines – La fraude sur salaire Les services RH fonctionnent souvent en circuit fermé. Peu de personnes peuvent contrôler les salaires considérés comme données confidentielles sensibles. Les équipes en responsabilité sont donc fréquemment relativement resserrées, il devient dès lors relativement complexe de voir venir la fraude sur paie. Pourtant, il est bel et bien possible de détourner une partie des salaires des autres salariés, soit en prélevant des sommes insignifiantes sur les salaires de nombreux collaborateurs, soit par exemple en créant un faux salarié qui perçoit des émoluments que le fraudeur rapatrie sur un compte dédié… Des risques, des tentations, bien réels si le DRH ou gestionnaire RH a trop de pouvoirs : créer des salariés, générer les salaires et activer le payement des salaires par exemple. Veillez à éviter absolument ces situations quel que soit le moment de l’années (congés), et à mettre en place des contrôles systématiques, comme distinguer celui qui ordonne le paiement de celui qui l’effectue. Informatique – La fraude de détournement Les services IT peuvent avoir accès à la totalité des données de l’entreprise. Les collaborateurs sont notamment habilités à attribuer les droits, écrire, crypter et sauvegarder les données. Ils maîtrisent tout ou partie de la chaîne et peuvent être tentés d’en abuser. Il est facile de créer ou modifier un fichier de règlement sur un serveur avant paiement par exemple. Le fraudeur modifie un numéro de compte entre l’ordre de paiement et le passage du règlement et ainsi peut encaisser des montants indus sur un compte qu’il aura créé au préalable. Le contrôle humain dans ce cas peut être utile mais il a aussi ses limites. Il est préférable d’être appuyé par une solution informatique automatisée. Comptabilité – La fraude au fournisseur Dans le volume des frais d’une entreprise, le suivi comptable peut parfois être flou ou soumis à des urgences et à des délais incompressibles. Le fraudeur peut alors changer le compte de destination d’un ou plusieurs règlement(s), ou encore régler involontairement la facture d’un faux fournisseur dans la masse. Le risque est accru lorsque l’on traite avec des fournisseurs à l’étranger. Le fraudeur peut remplacer le compte d’un fournisseur hors Europe par un compte dédié à la fraude, ouvert sous un prête-nom, qui sera clôturé immédiatement après l’opération. Cette fraude est fréquemment rencontrée lorsqu’une seule et même personne peut générer une facture et la payer elle-même sans contrôle. Il faut absolument déployer le double contrôle, même dans les petites structures, car dans le domaine comptable, les fraudes peuvent être nombreuses : détournement des avoirs clients, réalisation de faux avoir et virement sur un compte personnel… Comment éviter les fraudes & quelle solution MATA propose ? Nous l’avons vu précédemment avec Sylvain, il est fortement recommandé d’instaurer un dispositif de double contrôle systématique et de dissocier les rôles dans la chaîne de paiement. Malgré tout, la fraude interne reste toujours possible, « Mata IO Sécurité » est une solution globale qui s’intercale entre tous vos logiciels (ERP, outils comptables, paie) et les banques, et contrôle toutes les coordonnées payées. Une personne doit valider les comptes systématiquement et une séparation des taches est mise en place par l’outil. Une même personne ne peut donc plus avoir tous les pouvoirs ! Dans le cas de la création d’un nouveau salarié, le nouveau compte doit être validé par une personne différente de celle qui l’a créé. Les comptes sont catégorisés, reliés à certains fichiers de règlements et on vérifie les correspondances entre la raison sociale et le numéro de compte pour bloquer les cas de fraude au faux fournisseur. Toutes les anomalies identifiées par « Mata IO Sécurité » provoquent un blocage automatique et une analyse humaine qui doit valider l’action. La chaîne définie à la mise en place de la solution est non dérogatoire et la cryptographie permet d’éviter les fraudes informatiques. De plus, il existe des contrôles supplémentaires comme la mise en place d’indicateurs sur la chaîne de règlement, qui analysent les dépassements sur plafonds définis à l’installation, sur une période ou sur un même compte bancaire, ou si le même compte existe sur plusieurs règlements (paiement de deux salariés sur un même compte). Un bon processus de contrôle appuyé de la solution Mata I/O garantit un niveau de protection optimal contre la fraude.
LES FRAUDES FINANCIÈRES LES PLUS FRÉQUENTES DANS LES TPE, PME ET GRANDES ENTREPRISES
Les 3 moyens de fraudes financières les plus répandus en France et en Europe Les entreprises, quelle que soit leur taille, sont fréquemment vulnérables dans leurs processus de paiement par ignorance ou par excès de confiance. Les fraudeurs s’appuient sur ces faiblesses pour répéter leurs actions. L’information reste le seul moyen de protéger votre talon d’Achille et de mettre en place des solutions durables qui permettent d’éviter les fraudes. Sylvain KAM, expert en sécurisation des flux financiers chez MATA, nous rappelle quelles sont les fraudes les plus fréquemment rencontrées dans nos entreprises. Quels sont les moyens de fraudes les plus fréquents ? La fraude au président, les faux ordres de virement, la fraude aux coordonnées bancaires, le pishing ? Les fraudes les plus courantes sont autant humaines qu’informatiques. Les premières sont généralement le fait d’une personne qui, par opportunisme, détourne en toute discrétion pendant des mois ou des années, des sommes relativement raisonnables, dont le cumul peut représenter des montants absolument significatifs. Les secondes sont plutôt des actions préparées et construites pendant des semaines, voire des mois, en amont par des équipes expertes en fraude. Elles sont mises en place de manière invisible et lorsqu’elles impactent la société, ce sont des montants réellement astronomiques qui sont détournés des fonds de l’entreprise. Les fraudes au faux fournisseur Selon EULER HERMES, la fraude au faux fournisseur est la plus répandue puisqu’elle représente plus de 54% des tentatives de fraude selon leur étude de 2018. Le principe est simple, un faux fournisseur ou une fausse société d’affacturage met en place les éléments nécessaires pour se faire payer le montant d’une ou plusieurs véritable(s) facture(s), émise(s) par un véritable fournisseur. Le fonctionnement est simple pour réaliser ce détournement : une personne de la comptabilité reçoit un courrier à en-tête d’un fournisseur l’informant d’un changement de coordonnées bancaires. Ce courrier porte tous les détails qui le rendent crédible : coordonnées, logos, numéros et signature manuscrite du Directeur. La personne de la comptabilité procède alors à la modification des coordonnées bancaires et la fraude se déroule en toute discrétion, pendant des semaines, jusqu’à ce que le véritable fournisseur impayé se manifeste. A ce moment, les deux sociétés découvrent qu’elles sont victimes d’une fraude au faux fournisseur… et le montant global escroqué. Ces sont fréquemment des actions « one shot », très difficiles à tracer et les montants peuvent être spectaculaires. Souvent les opérations se font de l’étranger, il est impossible de récupérer les fonds car juridiquement l’entreprise n’est pas couverte puisqu’elle a validé le paiement. La banque n’est pas tenue de rembourser. Les cibles privilégiées sont les entreprises qui ont des activités avec des fournisseurs situés géographiquement à l’étranger. La cybercriminalité – Les ransomware La cybercriminalité, c’est 50% des tentatives de fraudes avec une part de 20% pour les ransomware. Cette menace est à prendre au sérieux à tous les niveaux de l’entreprise car c’est le réseau entier qui doit être sécurisé afin de protéger toutes les données, y compris financières, comptables ou humaines. La menace vient de logiciels programmés pour crypter vos outils jusqu’au paiement d’une rançon pour débloquer la situation et relancer votre production. Dans le secteur bancaire, la fraude peut permettre de détourner des transactions financières. Il y a mille façons pour les professionnels de la fraude informatique de mettre en place ces logiciels espions qui ouvrent les portes de votre réseau et le rendent vulnérable : contrôle des postes à distance, modification de fichiers informatiques de règlement, mise en place de fichiers qui récupèrent les mots de passe nécessaires au règlement… leur créativité n’a pas de limite. Les protections informatiques à mettre en place sont nombreuses : firewall, antivirus et surveillance des utilisateurs sont obligatoires. Il est possible de les appuyer par des leviers sur la partie contrôle de logiciel bancaire, notamment avec la mise en place de la cryptographie et d’une chaîne de règlement automatisée pour être inattaquable. La fraude de manipulation – fraude au faux président, au faux banquier Ces escroqueries font de nombreuses victimes, en 2016 leur montant en France avoisinait les 500 millions d’euros*. Leur principe est simple et connu mais fonctionne toujours : une personne se fait passer pour un dirigeant ou un décideur de l’entreprise pour passer un virement exceptionnel dans l’urgence. Même si le compte n’existe pas, l’interlocuteur est mis sous pression et dans une situation d’urgence non négociable pour qu’il/elle effectue l’opération demandée de bout en bout. Le manipulateur ne lâche pas sont interlocuteur jusqu’à ce que l’opération soit terminée et le prive de tout échange avec une autre personne sous couvert de confidentialité absolue. Concernant la fraude au faux banquier, il s’agit d’une personne qui se fait passer pour un banquier qui souhaite ou doit vérifier le bon fonctionnement des opérations entre la banque et la société. Il demande un virement test qu’il va bloquer en théorie, mais en réalité à ce moment précis, il passe via un autre canal qui vient d’autoriser les échanges entre votre entreprise et une structure qui va récupérer vos fonds. Le fraudeur connait parfaitement les noms des acteurs clés de l’entreprise : l’interlocuteur qui va agir, ses collègues, le chargé de clientèle de la véritable banque, les numéros de codes etc. et tous ces détails vont tromper le salarié qui agira sans avoir de doute. Ces situations sont évitables, il faut instaurer des procédures de vérification, crypter les documents bancaires et instaurer un système de signatures multiples, notamment pour les paiements internationaux. Quelles solutions MATA propose pour protéger contre ces fraudes et comment fonctionnent-elles ? La mission de « Mata I/O Sécurité » est de s’intercaler dans la chaîne de règlements client de manière non dérogatoire. Tous les règlements subissent des contrôles de sécurité stricts et toutes les coordonnées payées sont contrôlées. Un système d’alerte spécifique à votre métier est mis en place et si une alerte survient, c’est un contrôle humain qui est effectué, par une personne différente de l’émetteur du règlement. Les valideurs sont toujours et systématiquement des personnes stratégiquement « éloignées » de
COMMENT FONCTIONNE LE PROTOCOLE EBICS TS ?
EBICS facilite et sécurise le transfert des flux financiers. Pour lutter contre les fraudes, EBICS a évolué vers EBICS TS, le mode de communication sécurisé entre la banque et l’entreprise le plus efficace en France. SYLVAIN KAM, EXPERT EN SÉCURISATION DES FLUX FINANCIERS CHEZ MATA, FAIT LE POINT SUR LE PROTOCOLE EBICS TS. Un peu d’histoire L’Electronic Banking Internet Communication Standard, est né de l’équivalent allemand du Comité français d’organisation et de normalisation bancaires, le ZKA (Zentraler Kreditausschuss). La naissance du protocole EBICS, qui permet d’échanger des fichiers avec la banque de manière sécurisée, est venue bousculer les habitudes françaises puisqu’il a remplacé ETEBAC qui datait des années 80, qu’il n’était pas compatible avec les nouveaux formats utilisés par les moyens de paiement (SEPA) et s’appuyait sur des technologies obsolètes (modems, réseau RNIS, …). L’EBICS EBICS est un protocole d’échanges Banque/Entreprises fonctionnant sous IP, et utilisant le réseau internet pour véhiculer les fichiers. Il permet d’échanger tous types de fichiers sans limite de volume. Il supporte les moyens de paiement SEPA et offre la possibilité d’automatiser l’envoi des règlements ou la récupération des relevés. Les échanges se font au travers de messages XML. EBICS est un protocole multi-bancaire, sécurisé par cryptographie AES ou RSA, qui place toujours l’entreprise comme émettrice de la communication. L’évolution d’EBICS T, EBICS TS, est apparu rapidement pour remplacer l’ancien protocole ETEBAC 5 en offrant la possibilité d’apposer une signature électronique à ses fichiers de règlements. T = Signature de transport uniquement. Une signature de confirmation disjointe, par Fax ou Web Banking, est nécessaire pour confirmer les ordres. TS = La signature électronique des fondés de pouvoir est jointe aux règlements. Dans le souci de renforcer la sécurité des échanges par EBICS, les banques ont progressivement abandonné la possibilité de la confirmation par Fax à partir du 1er janvier 2017. Le choix d’EBICS T/S s’est alors imposé dans les échanges télématiques. Le token permet de sécuriser la signature En EBICS TS la signature est donc intégrée, elle se fait à partir d’un support physique externe qui contient un certificat numérique : le Token de signature. Il existe plusieurs autorités de certification à même de délivrer des tokens de signature : Swift 3SKey, Certeurope, Keyneticks, ClicNTrust… L’entreprise utilisatrice acquiert ces tokens, auprès d’une de ses banques. Les tokens de signature sont nominatifs, déclarés contractuellement à la banque et de ce fait, les règlements signés électroniquement sont non répudiables et exécutables de suite. Les tokens de signature sont utilisables pour l’ensemble des contrats EBICS T/S de l’entreprise avec ses différents partenaires bancaires. EBICS TS EST INFAILLIBLE ? EBICS est très fiable. Il est véhiculé par le protocole HTTPS, qui assure le chiffrement de la liaison. Mais il s’appuie également sur des certificats permettant l’authentification réciproque des parties, ainsi que le chiffrement des messages XML. Encore faut-il être certain du contenu des fichiers qui sont envoyés par EBICS. Il revient à l’entreprise de mettre en place tous les moyens de contrôle nécessaires pour s’assurer de la fiabilité des comptes payés, avec une offre comme Mata I/O Sécurité. LES DIFFÉRENTS CERTIFICATS UTILISÉS PAR EBICS Le protocole EBICS utilise différents certificats électroniques pour sécuriser les échanges. Côté banque : Un certificat de chiffrement : il contient la clé de chiffrements des fichiers Un certificat d’authentification : il permet de signer les messages XML et de s’assurer de la non altération du contenu du fichier lors de l’échange. Côté entreprise : Un certificat de chiffrement Un certificat d’authentification Un certificat de signature de transport : Il permet l’authentification de l’émetteur Dans le cadre d’EBICS T/S, des certificats de signature portés par les tokens : ils permettent de signer électroniquement les fichiers envoyés en véhiculant d’identité des signataires COMMENT CELA FONCTIONNE CONCRÈTEMENT ? Exemple d’un flux de réception d’un extrait de compte La société initie une communication EBICS et demande à la banque l’extrait de compte, La banque répond par un message XML, A réception, le message est décrypté par le logiciel de communication bancaire de l’entreprise et la banque émettrice est identifiée, Le calcul de l’empreinte du fichier permet de vérifier la fiabilité du document reçu, Le document est mis à disposition. Exemple d’un flux de paiement On crée le fichier de règlement – ici le point d’attention c’est la vulnérabilité du fichier ainsi que la fiabilité des comptes payés. Il est ensuite intégré dans le logiciel de communication bancaire, Selon le cas, un Email a été envoyé précédemment aux fondés de pouvoir pour les avertir de la nécessité de signer le fichier, En EBICS TS, il est soumis à signature électronique par Token. La signature peut être simple, ou conjointe, suivant des règles définies et des plafonds de signature fixés contractuellement; Les fichiers sont transmis à la banque, La banque reçoit le message. Au moment du traitement elle s’assure de l’identification de l’émetteur ainsi que l’intégrité du fichier reçu. QUELS SONT LES AVANTAGES INDÉNIABLES DE CETTE SOLUTION ? Le protocole EBICS dispose de nombreuses qualités : Protocole simple à mettre en œuvre, sûr, les échanges se font sur internet, sans ligne spécialisée. Les échanges sont gratuits, EBICS nécessite un abonnent sans coût additionnel à la communication. Le coût global d’EBICS est inférieur au protocole SWIFT. Il permet d’automatiser les échanges bancaires. Les fichiers sont transmis à la banque, La relation bancaire est 100% numérique. La maîtrise du déploiement du protocole EBICS par MATA est complète, une expertise qui permet de garantir le niveau de sécurité attendu, mais aussi de sécuriser vos données en amont, c’est-à-dire avant la signature électronique & les transmissions des fichiers. MATA IO SECURE-E-LINK permet la vérification des IBAN notamment, évitant ainsi tout risque d’altération des fichiers AVANT l’entrée dans le logiciel de communication. Une solution complète dédiée aux entreprises !
Citation sur la Fraude
L’amélioration des techniques de fraude est beaucoup moins coûteuse, en temps et en argent, que celle des moyens de prévention. Le Défi informatique (1981) de Bruno Lussato
LES PME ET LA FRAUDE FINANCIÈRE, DIAGNOSTIC ET SOLUTIONS
Prévenir les fraudes aux moyens de paiement dans une PME c’est possible et abordable. Après avoir visé dans un premier temps les grands groupes, la fraude financière touche aujourd’hui de manière importante les PME. Les attitudes à adopter face à cette menace sont simples, adaptées aux moyens techniques et humains de chaque entreprise. SYLVAIN KAM, EXPERT EN SÉCURISATION DES FLUX FINANCIERS CHEZ MATA, FAIT LE POINT SUR LES PROBLÉMATIQUES SPÉCIFIQUES AUX PME EN FRANCE ET LES SOLUTIONS SIMPLES À METTRE EN PLACE. QUELS TYPES DE FRAUDE FINANCIÈRE TOUCHENT LE PLUS LES PME ? Quand on prend l’exemple des PME de 50 à 250 salariées, celles-ci ont des services financiers plus légers que les grands groupes, et ne peuvent pas mettre en œuvre des procédures de contrôle aussi poussées. Elles sont particulièrement exposées aux usurpations d’identités de toute nature et aux intrusions informatiques. Sylvain Kam précise « qu’on entend fréquemment parler de la fraude au Président, pourtant elle est en net repli grâce aux campagnes de sensibilisation réalisées sur ce sujet. Mais, en contrepartie, d’autres usurpations d’identités ont pris le relais : la fraude au faux fournisseur représente à elle seule 54% des fraudes en 2018 ! Elle consiste à faire changer frauduleusement les coordonnées bancaires d’un fournisseur par des scénarii très affutés. » Dans le même temps ce qui est en train d’exploser chez les PME, c’est aussi la cybercriminalité. Notre expert en souligne la facilité de mise en œuvre et l’impact de masse qu’elles ont sur leurs cibles. Selon Sylvain Kam, « on est passé de 30% à 50% des fraudes informatiques qui parviennent à leur objectif ». Ces fraudes sont de type « ransomware » pour 20% d’entre elles. La mécanique est simple, il faut pousser le destinataire à ouvrir une pièce jointe infectée qui bloque le poste, se diffuse sur le réseau jusqu’à figer le fonctionnement de l’entreprise et ce, jusqu’au paiement d’une rançon. D’autres techniques sont plus subtiles. Le fameux Dridex Malware est un logiciel malin, un cheval de Troie. Il s’installe directement via le clic sur une pièce jointe et surveille de manière invisible les utilisateurs pendant des mois… Il espionne le fonctionnement de la chaine de règlement, les saisies de mots de passe, pour ensuite prélever de l’argent sur les comptes en toute tranquillité. Le manque de moyens informatiques permet cette explosion de la fraude. En France, en 5 ans 7 entreprises sur 10 ont été victimes de plusieurs tentatives et 1 sur 3 n’ont pas pu les éviter ! QUELS SONT LES RISQUES SPÉCIFIQUES AUX PME ? De fait, la PME ne dispose pas des moyens d’une entreprise cotée au CAC 40 ! Elle est souvent structurée autour de son core-business et peut faire passer en second plan certains processus de contrôle interne, par manque de personnel dans les services comptables. Sylvain Kam précise : « on observe que les PME ne peuvent pas attribuer de ressources supplémentaires afin de séparer les tâches – les services comptables sont compacts et les contrôles informatiques plus légers » – Il n’est pas rare de constater qu’une seule personne peut tout faire, sans aucun contrôle. « Des situations qui ouvrent un boulevard à l’usurpation d’identité. » Les modifications des coordonnées bancaires ne peuvent être vérifiées, elles sont souvent faites dans l’urgence pour régler un fournisseur qui menace – par exemple – de ne pas livrer avant réception du règlement, il faut agir vite et c’est ce que recherchent les manipulateurs : mettre sous pression la personne de contact pour lui faire commettre des erreurs. En observateur privilégié depuis 20 ans, Sylvain Kam peut affirmer que « le levier de la protection optimale contre la fraude se situe en premier sur la partie IT, en comprimant au maximum le temps humain. Il existe des solutions très efficaces, qui offrent une automatisation optimale et permettent d’atteindre un niveau de sécurité suffisant. » Il ajoute « en complément incontournable, il faut sensibiliser les acteurs de la chaîne de règlement à tous les risques liés à la fraude, aux pressions et menaces dont ils peuvent être victimes et enfin, mettre en place des procédures de vérification interne adaptées à l’effectif de la société». QUELS TYPES DE SOLUTIONS SIMPLES DOIVENT-ELLES DÉPLOYER POUR PARER AUX FRAUDEURS ? L’appui incontournable de l’IT ne dispense pas de responsabiliser certains acteurs clés. Toutes les situations du quotidien sont à envisager avec sérieux : saviez-vous que le pire arrive souvent pendant les périodes de congés ou de ponts ? En parallèle de l’approche informatique, il faut d’une part travailler sur la ressource humaine, identifier les acteurs et remplaçants, et d’autre part, trouver des référents dans les équipes de direction et surtout prendre conscience du problème de la fraude afin de mettre en place des procédures de contrôle simples et efficaces. Sans être complétement exhaustif puisque chaque situation est différente, le travail de protection débute souvent de la même façon : il faut changer les mauvaises habitudes ! Pour exemple, beaucoup de PME travaillent avec des sites bancaires où tout est communiqué à la main dans des dossiers non sécurisés qui peuvent être modifiés à la source. Des tâches répétitives et sources d’erreurs. Pourtant, il existe des solutions logicielles pour gagner en sécurisation qui permettent aussi de gagner du temps. Finies les créations de fichiers de règlement, la récupération de ces fichiers par copier/coller et les envois en banque par une énième copie… il est possible et peu couteux d’équiper sa PME d’une solution dédiée qui prend en charge tout le process – de l’acheminement jusqu’à la banque, avec validation avant envoi, canal unique pour toutes les banques utiles et contrôle des coordonnées bancaires. Ces solutions proposent même de la cryptographie qui permet de contrer les malwares, de contrôler les contenus des fichiers des coordonnées bancaires avant paiement, et de les acheminer via un canal sécurisé EBICS TS. Cela permet de gagner du temps en même temps qu’on accroît la sécurité ! CHEZ MATA, QUEL EST LE PRODUIT RÉFÉRENT ET QUELS SONT SES ATOUTS INCONTOURNABLES ?
DÉCOUVREZ MATA EN VIDÉO
POURQUOI LA FRAUDE FINANCIÈRE TOUCHE 100% DES ENTREPRISES?
Nos infrastructures ne sont pas infaillibles et internet nous rend vulnérables : Pourquoi la fraude financière touche 100% des entreprises ? POURQUOI LES FRAUDEURS PARVIENNENT À PERCER NOS ORGANISATIONS MALGRÉ LES SOLUTIONS DÉPLOYÉES DANS NOS ENTREPRISES POUR SE PROTÉGER ? LEURS ASTUCES SONT CONNUES ET DES DISPOSITIFS EFFICACES EXISTENT. DÉCOUVREZ NOS BEST PRACTICES. INTERNET CET AMI QUI VOUS VEUT DU BIEN Les nombreuses informations récoltées sur internet permettent aux fraudeurs de passer votre entreprise au crible et d’adapter leurs scénarios à chaque situation. En fonction de vos équipes, de votre métier, de vos outils, ils déroulent leur plan d’attaque selon deux grands modes opératoires: L’usurpation d’identité : faux président, faux banquier, faux directeur, faux avocat ou faux fournisseur ou bailleur (modification d’IBAN). Le fraudeur déroule un scénario extrêmement crédible qui contraint un membre de votre équipe à déroger à une règle de sécurité. La « fraude au président » par exemple a fait beaucoup de victimes ces dernières années. Elle a représenté plus de la moitié des cas et touché de manière égalitaire les grandes entreprises comme les TPE et PME. La fraude interne : fichier piraté, marchandise déroutée, détournement de fonds, vol de données sensibles… pernicieuse, elle infiltre vos outils & process internes. Elle est portée par un ou plusieurs salariés de votre société. Elle représente environ 30% des fraudes. Depuis quelques années, les menaces informatiques pures apparaissent. Elles ne concernent pas votre entreprise en particulier mais se répandent de manière virale via internet et vos emails, c’est ce que l’on appelle le phishing. Ces cyberattaques de logiciels de rançon bloquent l’activité de tout ou partie de votre société de manière durable, et ce jusqu’au règlement de la somme exigée. Petya, Wannacry, Cerber, CryptoLocker ou Locky font partie de ces programmes malveillants qualifiés de « ransomware ». Des fraudes moins rémunératrices mais de grande envergure, car elles se répandent de manière autonome, sans moyen humain particulier. LA FRAUDE FINANCIÈRE, INÉVITABLE ? Les fraudeurs s’appuient sur nos failles. Elles résident fréquemment au sein d’un workflow de paiement peu ou pas assez organisé et sécurisé. Se protéger des failles humaines : il faut veiller à déployer un workflow adapté à son activité, son effectif et ses contraintes. Dans tous les cas, la double validation des virements est obligatoire, tout comme la surveillance de certains pays ou le contrôle de la création de nouveaux bénéficiaires. La signature électronique et le « zéro papier » sont aussi des éléments incontournables d’un bon début processus de paiement. Notez qu’il est bien sûr impossible de confier la création de compte tiers, la saisie de virement et la validation à une seule et même personnes. Se protéger pendant la télétransmission de vos flux financiers : il faut sécuriser la chaine de règlement, c’est-à-dire sécuriser les signataires autorisés pour qu’ils soient certains de ce qu’ils approuvent. Pour cela, une vigilance particulière est nécessaire du moment de la création du fichier de règlement jusqu’à son dépôt sur le serveur de la banque. Chez Mata, nous constituons une base de données unique, référente et cryptée, sur laquelle nous effectuons une vérification des coordonnées bancaires avant envoi en banque. Le cryptage des fichiers de règlements est mis en place dès leur génération et durant tout le processus. Il n’y a pas de modification possible… une assurance incontournable d’éviter la fraude. Pour se protéger des failles informatiques : les outils de type antiviraux et firewall sont impératifs. Ils sont complémentaires et souvent groupés dans la solution choisie : Panda, ScanGuard, Norton, Bitdefender… l’antivirus filtre 99% des logiciels malveillants sous toutes leurs formes. Le firewall lui, filtre le trafic par paquet dans les réseaux et s’adapte en permanence selon les informations actualisées qu’il reçoit. Activer les deux protège la vie numérique de votre entreprise. Le traitement de ces trois axes doit se faire de manière simple, simultanée et inconditionnelle. L’EXPERTISE INDISPENSABLE DE SPÉCIALISTES Toutes les entreprises touchées par la fraude ont sécurisé leurs process et leurs workflows de manière partielle, incomplète. Souvent la confiance accordée aux outils de type ERP est trop large. Avec 20 années de recul & d’expertise, nos équipes peuvent vous assurer que des outils dédiés à la protection sont indispensables. Nous avons protégé plus de 130 clients des fraudes, avec une mise en œuvre ultra rapide de solutions qui se déploient derrière votre ERP en quelques jours. Ne vous privez pas du plaisir de faire échouer la fraude aux portes de votre entreprise.
GOOGLE ET FACEBOOK VICTIMES D’UNE ARNAQUE À 100 MILLIONS DE DOLLARS
Piratage record avec une technique vieille comme le monde : Le pirate s’est fait passer pour le fabricant de composants taïwanais : Quanta Computer, et a envoyé des fausses factures avec des fausses coordonnées bancaires. Les 2 géants qui ont l’habitude de ce fournisseur, ont payé sans se douter de la supercherie. http://www.journaldugeek.com/2017/04/28/google-et-facebook-victimes-dune-arnaque-a-100-millions-de-dollars/
Le nouveau dispositif interbancaire Sepamail diamond peut-il vous mettre à l’abri de la fraude aux faux fournisseurs ?
La création d’un système interbancaire d’échanges d’informations via la norme SEPAmail vous donne accès à de nouveaux outils de vérification des coordonnées des tiers, mais il convient d’en connaître les limites pour les intégrer dans une stratégie globale de sécurité. Sepamail est une norme d’échanges interbancaires uniformisés, dématérialisés et sécurisés. Elle permet de solliciter de l’information auprès d’une banque adhérente à Sepamail (même s’il ne s’agit pas de la banque où est domicilié le compte du tiers). Elle favorise les échanges d’informations mais ne permet pas de couvrir toutes les failles de sécurité et, en 2017 encore, une entreprise sur cinq a été victime d’une fraude avérée. Dans un contexte d’évolution continue des standards d’échange entre les banques et les entreprises, il faut connaître les opportunités des nouveaux systèmes, mais également bien en appréhender les limites pour maîtriser les risques. La généralisation des échanges interbancaires SEPAmail permet de nouvelles opportunités de vérifications des données. SEPAMAIL EN 3 POINTS SEPAmail, la norme 100% française d’échange interbancaire permet de réaliser 3 types d’opérations que l’on peut décrire de façon relativement simple : Envoyer les informations relatives à la mobilité bancaire (Aigue Marine), pour faciliter les démarches de changement de banque et communiquer aux créanciers les nouvelles coordonnées du tiers à prélever. Envoi de factures dématérialisées associées à des demandes de règlements en ligne (Rubis) Traiter les demandes de vérification des coordonnées bancaires des entreprises ou des particuliers, pour lutter contre la fraude au virement et les rejets de prélèvements pour informations erronées (Diamond). À QUOI ÇA SERT ? Le réseau SEPAmail est intéressant pour faire des paiements en ligne, pour transférer des changements de domiciliation bancaire, mais surtout pour s’assurer des coordonnées bancaires d’un tiers, constituant la base même de la fraude aux faux fournisseurs. Cette solution peut être utilisée via une interrogation ponctuelle (saisie manuelle des IBAN, SIRET, raison sociale, adresse …), ou via un moteur de requête Diamond tel que celui inclus dans la solution MATA I/O. QUELS SONT LES AVANTAGES ? Le principal avantage est la fiabilisation des échanges avec vos clients, vos fournisseurs et vos salariés. Ainsi avant la constitution d’une campagne de virements, vous pourrez vérifier les comptes bancaires de vos nouveaux tiers pour éviter les fraudes. De même, avant une campagne de prélèvements, vous pourrez contrôler l’exactitude des coordonnées bancaires pour éviter des impayés lourds, couteux et qui décalent d’autant le versement des fonds sur vos comptes. ET LES LIMITES ? SEPAmail DIAMOND ne suffit pas pour se mettre à l’abri de la fraude, car c’est un réseau d’échange uniquement français. Il permet donc de vérifier de manière manuelle ou automatisée les coordonnées des nouveaux tiers français, et doit être complété d’une procédure de vérification spécifique pour les tiers étrangers (double workflow de validation) tel que proposé dans MATA I/O. Consultez MATA I/O Sécurité PLUS : Des indicateurs de sécurité supplémentaires COMMENT INTÉGRER SEPAMAIL DIAMOND DANS UNE POLITIQUE DE SÉCURITÉ GLOBALE ? SEPAmail via son application Diamond (Direct Identity Control for Account Management On Demand) permet de tester des informations relatives à des tiers que vous souhaitez prélever ou payer. Cette requête pourra être adressée à une banque adhérant au dispositif Diamond (même s’il ne s’agit pas de la banque ou est domicilié le compte du tiers). Cette interrogation nécessite de fournir une information complète (IBAN, SIRET, raison sociale, adresse…). La réponse consistera en un retour validant chacun des critères soumis à la requête. En aucun cas, la réponse ne peut compléter des informations manquantes ou erronées. Cette solution a pour objectif de déceler les erreurs de saisie, falsifications d’IBAN concernant des comptes français. L’interrogation manuelle sur les sites des banques est fastidieuse, peu adaptée aux gros volumes des entreprises. MATA inclut dans sa solution MATA I/O SECURITE PLUS un mécanisme permettant de générer automatiquement la requête sur l’ensemble des nouveaux tiers français créés par fichier crypté sous EBICS en bloquant (ou pas) tout règlement sur ce compte tant que le retour bancaire n’est pas arrivé (en général le lendemain). D’autre part MATA complète l’offre SEPAmail en fournissant au signataire les garanties concernant les tiers payés en particulier à l’international (double workflow de validation, base de tiers sécurisée et cryptée, date de dernière modification du compte, pays ou comptes blacklistés, alerte sur paiements récurrents ou anormalement élevés…) Grace à un outil d’interfaçage simple et automatisable, MATA I/O peut fonctionner en interface avec n’importe quel ERP ou comptabilité du marché. Pour en savoir plus , contactez nous
SÉCURISER LES FLUX FINANCIERS, SUJET CRUCIAL D’AUJOURD’HUI ET DEMAIN
MATA was created in 1999 to become an integrator of treasury and banking communication solutions. 4 years ago, the company became a publisher specializing in securing data flows. Today it is 14 agile collaborators, 300 customers who have ideas, 4 expert partners. MATA has become a key player, with a real vision on the market. Interview with Marie-Thérèse BROGLY and Pascal HERRMANN in the AFTE magazine: Read the article: The Treasurer’s letter – November 2017 edition