Cyber-risques : comment protéger votre entreprise de la fraude aux fournisseurs ?
La fraude aux fournisseurs demeure, encore aujourd’hui, la technique préférée des pirates pour duper les entreprises. Une escroquerie toujours en vogue, qui plus est sur fond de désorganisation des entreprises et le recours massif au télétravail. Nous vous présentons donc les mesures à prendre pour mettre en place des outils de sécurité informatique.
Vous avez dit fraude aux fournisseurs ?
La fraude aux fournisseurs, appelée aussi fraude au changement de RIB ou aux coordonnées bancaires, est, dans son principe, assez simple. Il s’agit pour les escrocs de s’adresser aux services comptabilité d’une entreprise en se faisant passer pour un de ses fournisseurs habituels. Notifiant un changement de compte bancaire, le faux fournisseur demande alors le paiement de ses factures sur un compte bancaire autre que le compte habituel. Le tour est joué !
Principales caractéristiques et risques encourus pour l’entreprise
Cette fraude est redoutable, car elle s’attaque aux processus habituels et récurrents de l’entreprise. Elle est donc difficilement détectable si l’entreprise n’a pas mis en place, au préalable, les bons processus de sécurité fournisseurs ou « Know Your Supplier », notamment de contre-appels. La fraude aux faux fournisseurs peut ainsi durer des mois, sans que personne ne s’en aperçoive, et les montants en jeu peuvent finir par être conséquents.
Les solutions à mettre en œuvre
La procédure de base à mettre en œuvre au sein de votre entreprise est la suivante : authentifier tout changement de compte bénéficiaire.
La plupart des entreprises, ayant conscience de ce type de risques, demandent ainsi à leur comptabilité, ou à leur service achats, de réaliser, dès réception, un contre-appel à l’interlocuteur habituel chez le fournisseur afin de vérifier la véracité du changement de compte.
Bien sûr, ce contre-appel sera réalisé en utilisant des coordonnées différentes de celles indiquées sur la facture ou la notification de modification de compte.
Pour plus de sécurité encore, les procédures de « Know Your Supplier » seront étendues à la gestion des coordonnées servant aux contre-appels ainsi qu’aux adresses mail servant à communiquer avec les fournisseurs.
Des vérifications étendues en cas de changement d’interlocuteur habituel ou de changement de ses coordonnées. Enfin, pour plus de sécurité encore, au sein de votre entreprise, vous limiterez l’accès à la gestion des coordonnées servant aux contre-appels à des personnes habilitées.
Recourir à des outils efficaces
Quelle que soit la taille de votre entreprise, il est indispensable de disposer d’un répertoire « sécurisé » de vos interlocuteurs habituels et de leurs coordonnées.
Un référentiel fournisseurs pourra être mis en œuvre directement dans l’ERP ou un autre outil de gestion informatisé, accessible seulement aux personnes habilitées.
Vous pourrez également mettre en place des listes approuvées de bénéficiaires dans vos outils de paiement ou dans votre ERP. Toute création d’un nouveau compte y sera ainsi immédiatement détectée, et soumis à validation des collaborateurs habilités.
Sensibiliser vos collaborateurs à la culture du risque
Procédures et outils ne sont pas tout. Pour mettre en échec les escrocs, il convient également de s’appuyer sur vos collaborateurs, un maillon essentiel pour contrer les attaques. Pour ce faire :
- sensibilisez-les régulièrement à la fraude aux fournisseurs ;
- informez les nouveaux arrivants et stagiaires des risques encourus et des procédures de sécurité mises en place dans l’entreprise ;
- maintenez à jour le système de sécurité informatique ;
- soyez d’autant plus vigilant durant les périodes exceptionnelles, de crise, les congés scolaires, les jours fériés, ou encore les veilles de week-ends.
Que faire en cas de fraude avérée ?
- Identifiez les virements exécutés, les mandats de paiement ou les demandes de paiement en instance ou à venir utilisant les coordonnées bancaires frauduleuses.
- Demandez immédiatement leur blocage dans vos applications métiers. Et, si le paiement n’a pas encore été effectué, suspendez le mandat de paiement et bloquez sa mise en paiement.
- Déposez plainte, sans tarder, en apportant un maximum d’informations. Plus vous vous y prendrez rapidement en effet, et plus vous aurez de chances de récupérer les fonds escroqués.
Si vous souhaitez étudier votre capacité à vous protéger en matière de facturation et de paiement sur un périmètre plus large que celui de la fraude aux fournisseurs, découvrez notre article dédié.