Les fraudes au virement coûtent cher aux entreprises. Selon l’Office central de la répression de la grande délinquance financière, chaque jour des cybercriminels tentent de dérober des milliers voire des millions d’euros en usurpant l’identité des dirigeants, des fournisseurs, ou des contacts des banques de l’entreprise. Face à cette menace, externe ou interne, la surveillance sur les comptes tiers et sur les transactions doit être renforcée et les salariés sensibilisés.
L’ampleur du phénomène
De la petite à la très grande entreprise, personne n’est épargné par ce type de fraude au virement dont la plus répandue est la « fraude au Président ». Son principe est simple. Une personne, usurpant l’identité du dirigeant de l’entreprise, appelle son directeur financier ou son comptable pour qu’il effectue le virement d’une somme conséquente. Sous différents prétextes : la signature d’un gros contrat, l’arrêt d’une procédure administrative… L’essentiel est de le faire immédiatement : l’avenir du groupe est en jeu. Une fois l’opération effectuée (vers une banque étrangère), il est souvent trop tard.
L’autre arnaque tout aussi redoutable consiste à changer le rib d’un vrai fournisseur par celui du cybercriminel. Si jusqu’ici le mécanisme consistait à appeler ou à envoyer un email à l’entreprise, le principe a été renforcé par l’envoi d’un courrier postal avec accusé de réception, donnant ainsi plus de légitimité à l’acte frauduleux.
Enfin reste la fraude dite « du test bancaire », où le faux contact de la banque appelle pour un test bancaire.
D’apparence très simple, ces arnaques reposent sur de l’ingénierie sociale. Avant de s’attaquer à sa cible, l’escroc enquête méthodiquement sur l’entreprise pour récupérer autant d’informations nécessaires pour crédibiliser ses propos qui sont souvent très persuasifs. Résultat, 62 % des entreprises ont été victimes de ce type de fraude selon le « Baromètre Sage 2016 des Directeurs Financiers : sécurité des virements et prévention des fraudes ». Encore plus alarmant : près d’un tiers des escroqueries proviennent de l’intérieur !
Un contrôle strict des accès
Pour limiter les risques au moment de la transaction, les entreprises doivent renforcer leur sécurité sur deux axes. Premièrement, la traçabilité et la détection de toutes les transactions. Elle implique d’instaurer une politique très stricte des accès aux logiciels sensibles (comptabilité, CRM…). La surveillance en temps réel des connexions par métier doit être mise en place afin de repérer au plus tôt une tentative d’infiltration virale (ou à l’inverse d’exfiltration de documents critiques par un salarié), ou des comportements douteux.
Le renforcement de la sécurité des transactions implique également de réaliser tous les six mois un audit de sécurité afin de détecter les failles dans le réseau informatique ou des négligences dans l’analyse des pièces jointes (principal vecteur d’infection virale). Ces vulnérabilités peuvent être exploitées pour s’introduire dans le système d’information et récupérer des informations sensibles (numéros et montants des factures des fournisseurs, organigramme de l’entreprise, agenda des dirigeants, emails…) permettant de préparer ce type d’escroquerie.
Les codes d’accès au service de banque à distance de l’entreprise doivent être strictement confidentiels et uniquement connus des personnes habilitées à s’y connecter. Les mots de passe doivent être « forts », régulièrement modifiés et sauvegardés dans une base de données chiffrée. Le contrôle des tiers véhiculés dans les transactions permettra de lutter contre toute manipulation des identifiants bancaires et le prolongement par l’adoption de la double signature électronique de type EBICS TS est un moyen très efficace pour lutter contre des fraudes de type virement au président.
Sensibiliser les collaborateurs
Le deuxième axe consiste à sensibiliser tous les salariés et en particulier ceux autorisés à faire ce type de transactions ou à modifier une base tiers à la demande de faux salariés ou fournisseurs. Outre l’instauration d’un circuit de validation des opérations par au moins deux personnes, il convient d’organiser régulièrement des formations (en présentant des exemples d’escroqueries ou de tentatives) afin qu’ils aient les bons réflexes et ne tombent pas dans les pièges « psychologiques » des cybercriminels (compliments, menaces, promesse de promotion de la part du faux PDG, du faux fournisseur…).
Enfin, si malgré toutes ces précautions, une escroquerie est avérée, il est indispensable de contacter sa banque au plus vite pour tenter de récupérer les fonds dans le cadre de relations interbancaires. Ensuite, l’entreprise devra déposer plainte auprès de la Police Judiciaire. À noter aussi que des compagnies d’assurance proposent une couverture sur ce type de risque.
Pour en savoir plus : www.sage.fr
Prochaine lecture recommandée
Les trésoriers d’entreprise ont d’abord besoin de sécurité
