Cybersécurité : les précautions en matière de factures et de paiements

La cybercriminalité est une source de préoccupation croissante pour les professionnels dans le monde. Selon les chiffres de la Commission Européenne, en 2016, 80% des entreprises européennes ont connu un incident lié à la cybersécurité. Au niveau mondial, l’impact économique représenterait 400 milliards d’euros par an.
Les entreprises doivent être conscientes qu’elles peuvent être visées dans le cadre du traitement de factures et de paiements. Et, aussi, sans compter les autres formes de piratage de données. Heureusement, des solutions existent pour se prémunir contre les fraudes en ligne et la cybercriminalité.
Voici quelques réponses aux questions les plus courantes en matière de cybercriminalité et de cybersécurité.

Certaines sociétés sont insuffisamment préparées face aux fraudes et à la cybercriminalité. Pourquoi ?

De nombreux chefs d’entreprise considèrent à tort que les cyberproblèmes relèvent du service informatique. En l’occurrence, la meilleure défense consiste à ériger un pare-feu humain. Cette technique s’avère bien plus efficace que les seules solutions technologiques (qui sont néanmoins nécessaires).

Une attaque cible un PDG ou un autre « gros poisson » toutes les cinq minutes. De même, une identité est dérobée en ligne toutes les trois secondes. En cas de piratage, la direction pointe souvent du doigt le service informatique.
Or, l’investissement dans les pares-feux matériels, les protections logicielles et les systèmes de filtrage des e-mails et du Web est comparable à l’installation d’un système d’alarme, de barreaux aux fenêtres et de serrures encastrées à cinq points sur toutes les portes d’un bâtiment.
Si un membre du personnel ouvre la porte d’entrée à un criminel, ces mesures de sécurité s’avéreront inutiles. Pour cette raison, il est indispensable d’investir également dans la formation et la sensibilisation.

Contre quelles cyber-escroqueries les entreprises doivent-elles se protéger en ce moment ?

La criminalité s’appuyant sur les chefs d’entreprise est extrêmement problématique. Le principe de cette « pêche au gros » est le suivant : l’envoi d’un e-mail factice du PDG ou du DG au service comptable. Celui-ci lui ordonne de procéder à un mouvement de fonds.
Au vu du problème, il est vital d’instaurer une culture d’entreprise. Ainsi, les instructions de ce type, quelle qu’en soit l’origine, ne seront suivies qu’après dues vérifications et discussions.

Quid des fraudes à la facturation ?

Celles-ci surviennent lorsqu’une entreprise reçoit la demande, de manière frauduleuse, de modifier les coordonnées bancaires du bénéficiaire dans le cadre du règlement d’un montant important. Le pirate se fait passer pour un fournisseur légitime et demande la modification de coordonnées bancaires.
Prenons l’exemple d’un cabinet comptable dont le personnel a récemment suivi une formation à la cybersécurité. Pendant celle-ci, il est apparu que le cabinet avait récemment changé de compte en banque, toutes ses factures indiquant donc les nouvelles coordonnées. Or, parmi tous ses clients, un seul s’est enquis de la légitimité de cette nouveauté.

Comment les entreprises peuvent-elles éviter les fraudes à la facturation ?

Aucune entreprise ni aucun organisme n’est à l’abri. Là encore, l’essentiel est de mettre en place un pare-feu humain, et de sensibiliser l’ensemble du personnel à la nécessité de rester vigilant.
Vous devez vérifier toute modification de conditions de paiement habituelles. Il faut pouvoir apporter la preuve de cette vérification, et avoir pris les précautions qui s’imposent pour s’assurer de la légitimité de la demande.
Ne laissez pas les cybercriminels détecter vos transactions bancaires.

Comment les entreprises peuvent-elles se protéger lorsqu’elles procèdent à des paiements ?

Outre la nécessité de s’assurer de la prudence et de l’attention constantes du personnel, les anomalies telles que la modification du nom ou de l’adresse d’un fournisseur, ou encore d’un montant facturé, doivent être systématiquement vérifiées.

L’entreprise doit valider les changements apportés aux modalités financières conclues avec un fournisseur, à l’aide des informations relatives à ce dernier, disponibles dans les systèmes de l’entreprise. Une fois une facture fournisseur réglée, il convient d’en avertir le bénéficiaire, en précisant le compte bancaire crédité.
Le service comptabilité doit soigneusement vérifier les relevés bancaires. Vous devez signaler les mouvements suspects à la banque dans les plus brefs délais.
Il ne faut pas non plus négliger son intuition : si quelqu’un vous contacte pour vous exposer une demande douteuse, dites-lui que vous le rappellerez et, le cas échéant, utilisez les coordonnées déjà présentes dans le système de l’entreprise, et non le numéro qu’on a pu vous donner.

Quid des règlements effectués par les clients ?

Bon nombre de transactions s’effectuent désormais en ligne, et les règlements de ce type présentent d’autres risques. Si votre site Internet prend en charge les paiements, faites-le vérifier de manière indépendante via un test d’intrusion adéquat. Vous saurez ainsi s’il présente des failles insoupçonnées jusque-là.
Si vous acceptez les règlements par carte, assurez-vous également de votre conformité PCI DSS. Cette norme protège le traitement des coordonnées bancaires par le personnel et évite ainsi toute utilisation frauduleuse.
Un programme de cybersécurité doit être en place au sein de l’entreprise pour se protéger contre les délinquants en ligne.

Comment les entreprises peuvent-elles protéger leurs données financières contre les cybercriminels ?

Commencez par évaluer les possibles vulnérabilités internes et externes. Ensuite, votre équipe et vous-même devrez vous informer au sujet des moyens d’intrusion des pirates.
Vous devez inscrire les mesures de sécurité au cœur de la culture de l’entreprise. Le personnel doit utiliser des mots de passe complexes et uniques (et non partagés). Mais aussi, les équipes doivent ranger les bureaux afin d’éviter toute divulgation d’informations personnelles et confidentielles.
Ne vous fiez pas aux e-mails : vérifiez-les, utilisez le téléphone et adressez-vous aux personnes adéquates. De pus, les correctifs et mises à jour informatiques doivent être régulièrement installés. Les ransomware comme Wannacry ne peuvent se propager que sur les systèmes non mis à jour.
Comme pour toute autre forme de reprise après incident, vous devez mettre en place un plan d’intervention d’urgence compris de tous et faisant l’objet d’exercices réguliers.

Pourquoi les chèques et les factures imprimées sont déconseillés ?

En premier lieu, ils sont extrêmement inefficaces : ils font perdre du temps, nécessitent davantage de travail et ralentissent le processus de facturation et de règlement. En outre, les systèmes « papier » sont plus propices aux fraudes. Les factures « papier » et des chèques sont bien plus faciles à détourner que les systèmes numériques. En effet, ces derniers sont sécurisés.

Quelles mesures de cybersécurité les entreprises doivent-elles mettre en place pour se protéger ?

Sur le plan technologique, l’obtention de la Certification de sécurité est vivement recommandée. Elle contribue grandement à rassurer l’ensemble des parties prenantes et peut également faire baisser le montant des polices d’assurance. Sur le plan humain, la sensibilisation du personnel à la cybersécurité et aux risques est fondamentale.
Il convient de préciser que les formations à dispenser dans ce domaine doivent être assez approfondies et régulières. Un exercice ponctuel s’avérera insuffisant.
En résumé, pour être efficace, un pare-feu humain doit être suffisamment solide, élevé et sécurisé.