La fraude au virement est un fléau dont la chaîne de paiement des entreprises doit absolument se prémunir. Directeurs Financiers et trésoriers d’entreprise se mobilisent pour élever leur niveau de réponse à la hauteur de la technicité des fraudeurs.
José Teixeira, Chef de marché Gestion de trésorerie et Banque électronique chez Sage, et Baptiste Collot, co-fondateur et Président de la Fintech Trustpair, solution de protection contre la fraude au virement, font le point sur la réalité de la menace et sur les solutions pour se protéger de la fraude au virement.
Subir une attaque est un l’un des risques les plus redoutés par les entreprises françaises, toutes tailles confondues. Des parades existent, dont Sage Advice se fait régulièrement l’écho.
Ainsi, d’autres articles de Sage Advice sont à lire pour disposer de solutions et améliorer sa cybersécurité :
- Cybersécurité : les précautions en matière de factures et de paiements
- Un nouveau dispositif d’alerte des TPE en cas de cyberattaque
- Faites de la cybersécurité votre domaine de compétence
- La sécurité des logiciels de paie en ligne : le grand défi
La dernière étude¹ livrée par PwC sur le sujet indique une attention particulièrement élevée des trésoriers français au risque cyber et de fraude. Ont-ils raison de prioriser ce risque ?
José Teixeira
Globalement, nous constatons en France une prise de conscience élevée de la menace cyber. Les attaques, qu’elles concernent des établissements hospitaliers, des PME ou des entreprises majeures, ne sont jamais passées sous silence. Aucune organisation ne peut ignorer qu’elle constitue une cible à partir du moment où elle est connectée à un écosystème.
Baptiste Collot
Les chiffres sont éloquents. La dernière étude en notre possession² indique que 92 % des entreprises françaises ont été victimes d’au moins une tentative de fraude. Et qu’en moyenne, une fraude qui aboutit coûte 100 000 euros par entité légale. Ce n’est pas par hasard si les associations professionnelles, comme l’AFTE³ ou la DFCG4, se sont emparées du sujet de la cyberfraude avec beaucoup de détermination.
Quand on parle de cyberfraudes, de quoi parle-t-on exactement ? Quels sont les types d’attaques ?
José Teixeira
Des experts réunis par la DFCG³ définissent comme cyberfraude une attaque immatérielle qui porte atteinte à la disponibilité, à l’intégrité ou à la confidentialité des données de l’entreprise. Pour dire les choses autrement, la cyberfraude, c’est la fraude avec les moyens digitaux !
Baptiste Collot
Il est important d’insister sur le caractère digital de la menace. La fraude est certainement aussi ancienne que l’activité économique. Mais le contexte immatériel ajoute beaucoup à la gravité des attaques.
Les données menacées, en particulier les données de paiement qui nous occupent aujourd’hui, circulent très vite et à l’échelle internationale. Chaque information qui intègre le système d’information de l’entreprise est susceptible d’être compromise ou frauduleuse. L’usurpation digitale de l’identité du destinataire a remplacé le coup de téléphone de la fraude au président !
Qu’est-ce qui a changé ? En quoi les parades ‘’classiques’’ sont-elles dépassées ? Qu’est-ce qui marche pour se protéger ?
Baptiste Collot
La dimension digitale de la fraude permet la sophistication des attaques. Et aussi leur massification. Alors que, trop souvent encore, les parades courantes restent manuelles. Or, face à la complexité croissance du risque de fraude, la seule réponse adéquate est celle du digital. Compte tenu de la volumétrie d’informations à traiter, seul le digital peut en effet systématiser les contrôles avec un niveau de précision qu’un humain ne peut pas gérer.
José Teixeira
La parade digitale, c’est la certitude absolue que chaque combinaison qui se présente sur la chaîne de paiement est 100 % authentique. Chaque combinaison, c’est-à-dire la facture + le RIB + le destinataire + la prestation. En bout de chaîne, au moment de payer, le trésorier doit disposer du maximum de garanties possibles sur l’authenticité des 3 autres éléments et sur leur correspondance. Cela passe par le contrôle externe des tiers et le contrôle interne via des boucles de validation, une analyse des transactions et un scoring.
Quelle est la doctrine pour sécuriser le contrôle des tiers ?
Baptiste Collot
Il faut déjà admettre que le contrôle des tiers est de la responsabilité des entreprises. Un RIB n’est pas un élément suffisant pour fiabiliser un tiers. Un compte bancaire, ce n’est qu’une adresse bancaire, qui, comme une adresse postale, peut être incomplet, faux ou carrément usurpé.
José Teixeira
Les entreprises s’appuient traditionnellement sur des ‘’listes blanches’’, fichiers de tiers identifiés par un binôme nom de la société/RIB. Des listes blanches, c’est-à-dire des listes dont les membres n’ont pas été déclarés persona non grata.
Or, ces listes blanches, augmentées avec l’entrée de nouveaux tiers mais trop rarement révisées, protègent mal contre l’obsolescence, les erreurs de transcription ou les doublons. Avant même de parler de fraudes. En outre, ces listes blanches sont des agrégats, issus de différents systèmes d’information, achats, paie ou ventes, par exemple. La digue est fragile !
Baptiste Collot, vous avez fait précisément un business du renforcement de cette digue…
La digue est fragile, en effet. Les audits de bases tiers que nous pratiquons chez nos clients révèlent qu’en moyenne, 30 à 50 % des données des listes blanches sont erronées !
Nous avons créé Trustpair en 2017 autour d’une expertise : la prévention de la fraude au virement. Nous sommes aujourd’hui 60 personnes et bénéficions en France de la confiance de 150 clients, en très grande majorité grands comptes.
L’empêchement de l’usurpation d’identité de tiers est au cœur de notre action. Pour ce faire, nous validons l’appartenance des comptes bancaires aux tiers sur trois points de risques de la chaîne de paiement :
- Le contrôle lors de l’ajout/modification d’un tiers
- Le contrôle continu de la base tiers, généralement stockée dans l’ERP
- Le contrôle des paiements dans l’outil de communication bancaire
L’enjeu est d’offrir aux décisionnaires impliqués dans la chaîne de paiement une visibilité en temps réel sur le risque associé aux données qu’ils manipulent. Ils sont ainsi en capacité de prendre la décision d’avancer ou non dans le processus.
José Teixeira, le cyber-risque n’est-il pas la rançon du succès de la digitalisation croissante. Les fraudeurs valident au fond le nouveau terrain de jeu où vous souhaitez entraîner les entreprises.
Il est vrai que la logique de la transformation digitale est une logique de mise en réseau, à la fois le plus étendu possible, nous disons sans couture, et le plus transparent possible, c’est-à-dire reposant sur l’authentification des acteurs et la traçabilité des opérations.
Or, la confiance est la source des échanges. Le digital doit constituer un réseau de confiance. La question de l’identité numérique juste dépasse donc clairement le périmètre de la trésorerie. Nous considérons de ce fait que la responsabilité de Sage, en tant qu’éditeur de référence, est de s’emparer de la question de l’étanchéité du réseau, d’une manière générale. Nous nous situons de ce point de vue complètement dans la logique du règlement eIDAS5.
José Teixeira, pour autant, votre périmètre est la gestion de trésorerie et la banque électronique. On peut dire que vous êtes d’une certaine manière en première ligne pour ce qui concerne la sécurité de l’argent de l’entreprise…
En raison précisément du poids croissant de la fraude, la question de l’authentification des RIB est critique pour le bon fonctionnement de la chaîne de paiement. Et il se trouve en effet que nous sommes un éditeur leader en matière d’automatisation des paiements, avec Sage XRT Solutions.
Notre solution intervient en bout de chaîne, pilotant des workflows de contrôles et de circulation d’argent, de paiements comme d’encaissements. Or, si nos clients attendent de la productivité, ils attendent évidemment tout autant de la sécurité. C’est pourquoi le défi d’authentification des tiers, qui s’appuie sur un lien indestructible RIB/SIRET, pour les clients comme pour les fournisseurs, est majeur pour la fiabilité de la chaîne.
À nous de trouver la meilleure formule pour conjuguer sécurité et efficacité !
Sans doute cette préoccupation est-elle le fondement de la collaboration entre un éditeur comme Sage et une fintech comme Trustpair…
Baptiste Collot
De toute évidence, nos clients sont les mêmes. Ou portent en tout cas les mêmes préoccupations. L’intérêt de l’intégration technique entre une solution de TMS6 et une application comme Trustpair est de garantir au signataire l’absence de fraude et d’erreur pour chacun des paiements qu’il engage. Et de lui permettre d’agir en cas de risque avéré.
Grâce à l’interopérabilité entre Sage XRT Solutions et Trustpair, nous constituons un bloc de confiance. Lorsque l’intégration de notre solution sera totalement acquise au sein de la plateforme de paiement Sage, les utilisateurs de Sage XRT Solutions bénéficieront de manière automatisée des contrôles Trustpair.
José Teixeira
Avec ce bloc de confiance, nous répondons ensemble au double enjeu. Une attente forte de sécurité, avec la maîtrise de la donnée de bout en bout, et une grande efficacité.
La sécurité bénéficie ainsi d’un double parrainage. Sage s’engage sur l’étanchéité du ‘’tuyau’’, avec un arsenal de dispositifs, comme par exemple les règles de circulation, la ségrégation des contrôles basée sur des règles métier et des règles de seuil. Et son partenaire ajoute à l’entrée du tuyau un filtre supplémentaire, qui ne laisse passer que les données de tiers authentiques. La production et le maintien de ce filtre est clairement un métier en soi.
La fiabilité acquise en amont et préservée au moment du paiement fluidifie les campagnes de paiement et préserve des rejets.
Pour conclure, quels sont les points clés à retenir de votre approche commune pour des paiements sécurisés ?
Baptiste Collot / José Teixeira
- La qualité de la donnée des tiers est la clé de la lutte contre la fraude au virement
- Cette donnée doit faire l’objet d’un contrôle tout au long du cycle de vie du tiers
- Le trésorier est le dernier maillon dans la chaîne de paiement. Il doit pouvoir bénéficier du respect en amont de processus de vérification de la fiabilité des données de paiement qu’il doit valider dans son outil
¹ Global Treasury Survey – mai 2021
² OpinionWay – CESIN (Club des Experts de la Sécurité de l’Information et du Numérique) – 2019
³ Conférence des journées de l’AFTE (Association Française des Trésoriers d’Entreprise) : le trésorier, garant de la sécurité cyber – 2020
4 Cahier technique n°35 de la DFCG (Association des Directeurs Financiers et de Contrôle de Gestion) : le dirigeant financier face à la cyberfraude – 2021
5 Publié en 2014, le règlement européen eIDAS instaure un cadre européen en matière d’identification électronique et de services de confiance, afin de faciliter l’émergence du marché unique numérique
6 Treasury Management System, ou solution de gestion de trésorerie