POURQUOI CRÉER UN ÉNIÈME PROGICIEL DE TRÉSORERIE PME ALORS QU’IL EN EXISTE DÉJÀ QUANTITÉ?
Parce que nous avons constaté que les PME françaises sont généralement peu équipées. Non qu’elles ne se sentent pas concernées ou qu’elles ne soient pas conscientes des enjeux, surtout en cette période de crise majeure. Elles sont généralement déjà convaincues qu’il faut : avoir une bonne visibilité sur son cash, être capable d’anticiper pour prendre les bonnes décisions, mais aussi pouvoir sécuriser ses paiements. Or, finalement peu d’offre existantes répondent à leurs besoins… Des progiciels inadaptés, trop chers ou incomplets Les PME vont trouver : des progiciels de trésorerie très pointus, les TMS, peu adaptés et souvent trop chers pour elles ou de toutes petites solutions absolument pas interopérables de suivi manuel de trésorerie. Et dans tous les cas qu’il s’agisse d’une grosse ou d’une petite solution, la sécurité des tiers et des paiements ne fait pas partie de leur périmètre fonctionnel. Alors même que la fraude aux paiements explose en France et dans le monde. C’est sans doute pour cela que les PME font un usage massif d’EXCEL dans lequel elles vont saisir leurs prévisions de trésorerie, associé à des solutions de web banking proposées par les banques. Ces solutions sont peu chères, certes, mais complètement manuelles puisqu’elles imposent la saisie de son prévisionnel, mais aussi des mouvements passés en banque. Automatiser, prévoir et sécuriser : les fondamentaux Or il est fondamental d’ajuster ses prévisions en fonction des encaissements et décaissements constatés sur les comptes chaque jour. Et pour peu qu’on travaille avec 3 ou 4 banques, il va falloir récupérer les mouvements sur chaque site bancaire, avec un mode opératoire et des identifiants forcément différents. Ces saisies et mises à jour peuvent s’avérer très chronophages, et ce temps ne sera plus disponible pour des tâches à meilleure valeur ajoutée, comme les décisions financières oule contrôle des frais. D’autant qu’il va falloir également procéder aux paiements fournisseurs et salariés, avec des flux générés en comptabilité, en paie ou saisis dans un outil dédié. Comment faire en sorte d’automatiser et de sécuriser tous ces flux, provenant d’applications diverses et soumis à des workflows de validation divers et variés? Qui va pouvoir, de manière centralisée, garantir la fiabilité d’un IBAN, qu’il provienne de l’ERP, de la paie ou des moyens de paiement et qui va pouvoir garantir qu’il a été correctement saisi sur le site de la banque? On sait que la non interopérabilité des applications est chronophage, mais elle est également nuisible à la sécurité. Plus on fait de choses manuelles et plus on se met en risque de créer des failles de sécurité. Pourquoi s’astreindre à choisir quand on peut tout avoir : une gestion de trésorerie efficiente et une plateforme de paiement complètement sécurisée? Convaincus depuis longtemps que les PME ont les mêmes besoins de sécurité et de productivité que les grands groupes, nous avons travaillé sur une solution tout en un. Elle associe la trésorerie à la sécurité et traite toutes les problématiques de la chaîne de règlement dans un espace crypté qui va de l’ERP jusqu’à vos banques. Il s’agit d’une offre intégrée qui embarque : La communication bancaire EBICS TS, valable pour toutes les banques. Finies les consultations, envois et clés de signature monobancaires! La vérification des IBAN de vos fournisseurs lors de chaque campagne de règlement Le cryptage de vos fichiers de paiement et des IBAN pour vous protéger en cas d’attaque informatique Une gestion de trésorerie intuitive et dédiée aux PME! Complètement interopérable, elle s’interface à l’ERP ou à la comptabilité pour générer un prévisionnel qui sera mis à jour de manière automatique par intégration des relevés de comptes. Multi-sociétés, multi-banques et multidevises, elle affiche les soldes et positions de manière instantanée et interactive. Devises et cours sont également mis à jour automatiquement par la Banque de France. Collaborative et sécurisée, notre gestion de trésorerie garantit une parfaite étanchéité et séparation des tâches. Pas convaincus qu’une application touffue et compliquée soit une bonne application. Nous avons travaillé au contraire à offrir une simplicité maximale. De notre point de vue, la trésorerie ne doit pas être réservée aux initiés. Même s’il n’est pas le principal utilisateur, le dirigeant d’une PME doit pouvoir comprendre ses positions. Il doit suivre l’évolution de sa trésorerie d’un seul coup d’œil. Et doit pouvoir signer tous ses fichiers de règlement en une seule fois, avec une clé de signature unique. Mais en toute sécurité, et en ayant l’assurance que tous ses fichiers de règlements ont été contrôlés juste avant. C’est pour toutes ces raisons, et surtout parce que nous n’aimons pas choisir, que nous avons finalement développé notre offre de trésorerie PME et nous l’avons appelée SECURE e-LINK.
TÉMOIGNAGE CLIENT : UNISTRA
L’UNIVERSITE DE STRASBOURG est un établissement public à caractère scientifique, culturel, et professionnel (EPSCP). Afin de sécuriser sa chaîne de règlements, UNISTRA a décidé de s’équiper de la solution Mata IO Bank Suite pour formaliser, tracer et mettre en place des contrôles de supervision. «Nous ne pouvons que recommander cette application à d’autres établissements, car ces problématiques sont largement partagées par nos confrères. » Monsieur Alexis WARRET, Responsable de l’Agence Comptable. FOCUS [gdlr_core_row] [gdlr_core_column size= »1/2″] ETABLISSEMENT : UNISTRA SECTEUR : PUBLIC – Etablissement public à caractère scientifique, culturel et professionnel (EPSCP) ACTEURS : – Plus de 50 000 étudiants. – 5 300 enseignants chercheurs, personnels. – 18 prix Nobel depuis sa fondation, dont 4 en activité. LOCALISATION : – Strasbourg – 67 – FRANCE ERP – COMPTABILITE : SIFAC [/gdlr_core_column] [gdlr_core_column size= »1/2″] SOLUTION : – Logiciel IO Bank Suite, modules Sécurité Sécurité Plus, et Contrôle. BENEFICES : – Mise à jour et mise en qualité de la Base Tiers. – Encadrement des procédures de création, modification des Tiers/IBAN. – Renforcement de la sécurité des paiements. INTEGRATEUR : MATA – Accompagnement complet, professionnel, réactivité et disponibilité des équipes. [/gdlr_core_column] [/gdlr_core_row] Les enjeux du projet : Le projet d’une solution de « sécurisation des règlements » est devenu prioritaire dans un contexte aigu de fraude à la création et/ou modification de coordonnées bancaires, et au prélèvement automatique sur notre établissement. Pour Monsieur WARRET, « nos objectifs portaient sur la nécessité de formaliser et tracer les contrôles demandés aux gestionnaires, et mettre en place des contrôles de supervision ». Les critères qui nous ont amenés à retenir la solution IO Bank Suite de Mata : Sa compatibilité avec notre ERP SIFAC, Les fonctionnalités présentées et existantes qui répondaient à la majorité de nos besoins. Les références clients, et la garantie d’une solution déjà opérationnelle auprès de nombreux utilisateurs. Une solution recommandée par un des deux cabinets qui certifient nos comptes (Ernst & Young). L’expertise métier de l’éditeur et sa proximité géographique. La Mise en œuvre de la solution : « Ce qui ressort des échanges que nous avons eu avec l’éditeur, c’est avant tout une grande réactivité, ainsi que la volonté de répondre et d’adapter au mieux l’application à nos spécificités (comptabilité publique, flux, échange avec la Trésorerie générale » Messieurs WARRET et SAETTEL. L’audit d’analyse préalable, nous a amené à réfléchir sur notre organisation, nos process, et c’est un point essentiel, incontournable qui s’est avéré très positif lors de la mise en œuvre. L’accompagnement par l’éditeur MATA s’est effectué sur plusieurs jours étagés, qui se sont avérés très pédagogiques. L’exploitation du logiciel : L’UNISTRA utilise la solution IO Bank Suite de MATA pour vérifier les Tiers/IBAN à payer lors des campagnes de règlements (soit deux sessions par semaine), et pour contrôler automatiquement nos prélèvements. Sur ce point, une adaptation du logiciel a été effectuée pour se caler à notre mode de fonctionnement qui est spécifique aux EPSCP. Les apports du logiciel : Les bénéfices obtenus par UNISTRA portent sur : Une mise à jour et mise en qualité de la base Tiers, Des procédures de création et modification de Tiers plus cadrées, Une refonte de nos procédures (suite à une réflexion indispensable au préalable), Formalisation des contrôles demandés aux gestionnaires (qui n’étaient fait que partiellement auparavant), Identification claire des rôles de « gestionnaire » et de « valideur-signataire ». Pour la Direction, le logiciel est apprécié pour le renforcement de la sécurité des paiements, et son caractère structurant. Les contrôles sont formalisés, tracés, supervisés, et automatisés. L’humain et la réflexion restent présents lors de la validation d’un Tiers/IBAN dans le logiciel. A l’heure du bilan : Le bilan est très positif. En plus des contrôles effectués, la mise en œuvre de l’application nous a permis de revoir et de réajuster notre organisation de travail et nos process. Dorénavant, un IBAN-Compte n’est validé par un gestionnaire qu’au 1er règlement. De nouvelles tâches ont vu le jour pour l’agence comptable, et les contrôles sont maintenant systématiques. La formalisation de ces contrôles peut probablement encore être améliorée. Au final, les contrôles manuels que nous effectuons associés aux contrôles automatiques de l’application se « marient » très bien. Un accompagnement plébiscité : L’accompagnement de l’éditeur MATA a été excellent tant au lancement que lors de l’implantation du projet. Aujourd’hui, nous sommes « en régime de croisière » : les contacts sont moins fréquents, c’est normal, et la « preuve d’un outil en fonctionnement fluide au quotidien ». Pour conclure : L’application est appréciée pour son côté structurant. Elle améliore la sécurité, la mise en qualité des paiements et des pièces associées. Le juge des comptes, nos Commissaires aux comptes tels que EY, PWC, Deloitte, KPMG, Mazars, sont très attentifs à ces points. Nous ne pouvons que recommander cette application à d’autres établissements, car ces problématiques sont largement partagées par nos confrères.
NOUVELLE STRATÉGIE POUR POUSSER LE PAIEMENT DU RANSOMWARE BITCOIN
La création de sites spécialement conçus pour filtrer les données volées est une stratégie qui prend de l’ampleur en 2020. Elle commence par l’utilisation de virus informatiques pour détourner les fichiers des entreprises et des grandes entreprises et exiger le paiement d’une rançon, une pratique connue sous le nom de ransomware. La nouveauté dans les nouveaux cas est que, si l’argent n’est pas reçu, les hackers rendent publiques les informations confidentielles des entreprises attaquées sur des sites Web sombres (darknet). L’objectif est de faire pression sur les victimes pour qu’elles soient obligées de payer pour leur rançon de données. Les pirates espèrent que les coûts associés aux violations de données pourraient inciter davantage de victimes à payer le montant requis. En effet, la fuite peut conduire les entreprises à faire face à des sanctions réglementaires, à des atteintes à la réputation et à des poursuites judiciaires pour la divulgation d’informations de tiers. Leur cours de bourse peut également être affecté par la perte de propriété intellectuelle. La pratique de la fuite de données a été lancé en novembre 2019 par les pirates derrière le ransomware Maze, dans une tentative de forcer la reddition de Bitcoin en échange des fichiers. À cette date, ils ont publié près de 700 Mo de données volées à Allied Universal, une société de services de sécurité de Californie, aux États-Unis.Il ne s’agissait que d’une partie de 5 Go de données détournées pour lesquelles ils ont demandé un paiement de 300 bitcoins. Sur ce site, le ransomware Maze a commencé à filtrer les données volées à ses victimes. Source: bleepingcomputer.com Par la suite, ils ont publié les données de nombreuses entreprises via des forums de hackers et, enfin, sur un site dédié spécifiquement aux fuites. En voyant ces exemples, les autres opérateurs de ransomware ont utilisé la même tactique d’extorsion. Ils ont commencé par filtrer les fichiers volés sur les forums ou envoyer des e-mails aux médias. Peu après des sites Web sombres ont émergé dédié uniquement aux fuites. Aujourd’hui, les sites de fuite de données volées se sont multipliés. La société de sécurité Emisisoft estime que, au cours des six premiers mois de 2020, plus de 11% des infections par ransomware impliquaient potentiellement une violation de données. Selon Raj Samani, scientifique en chef de la société de sécurité McAfee et conseiller en cybersécurité chez Europol, l’adoption rapide des sites de violation de données pourrait être due au fait que de moins en moins de victimes choisissent de payer ce que les attaquants exigent. Le nouveau ransomware Avaddon rejoint la liste des fuites Suivant la tendance du vol et de la fuite de données, les opérateurs de ransomware Avaddon ont créé cette semaine un nouveau site de violation de données sur le dark web. Là, ils publieront les fichiers volés des victimes qui décident de ne pas payer la rançon. En annonçant leur nouveau site, identifié comme “Avaddon Info”, le groupe ajoute à la liste ransomware qui utilisent cette stratégie comme un mécanisme pour faire pression sur leurs victimes. L’information, publiée dans le média spécialisé Bleeping Computer le 10 août, a été publiée par la société israélienne de cybersécurité, Kela. Il explique que la ligne d’action d’Avaddon est la même que celle utilisée par Maze et d’autres hackers. Jusqu’à présent, ils ont inclus une seule victime sur le nouveau site, une entreprise de construction dont ils ont divulgué 3,5 Mo de documents prétendument volés. “Ils ont publié un échantillon des données obtenues, avec des informations relatives à l’activité de l’entreprise au Royaume-Uni, au Mexique, aux Philippines, en Malaisie et en Thaïlande”, selon les déclarations de Kela. Un échantillon de données volées à une entreprise de construction a été publié sur le nouveau site de rançongiciel Avaddon. Source: bleepingcomputer.com Avaddon est un ransomware récent. Il est connu depuis juin 2020 et est diffusé via une campagne massive de spam. Les logiciels malveillants s’intègrent dans les e-mails avec un fichier JavaScript malveillant déguisé en fichier image .jpg. Liste des ransomwares avec des sites de fuite de données On estime que les sites de violation de données volés sont actuellement gérés par plus d’une douzaine d’opérateurs de ransomwares. En plus de ceux déjà mentionnés, Avaddon et Maze, certains d’entre eux sont listés ci-dessous. AKO Il a commencé à fonctionner en janvier 2020. Ako exige que les plus grandes entreprises disposant d’informations plus précieuses paient une rançon et une extorsion supplémentaire pour supprimer les données volées. Si le paiement n’est pas effectué, les données de la victime ils sont publiés sur son «Blog de fuite de données». CL0P Il a commencé comme une variante de CryptoMix et est rapidement devenu le ransomware de choix pour un groupe d’APT connu sous le nom de TA505. Ce groupe a attaqué 267 serveurs de l’Université de Maastricht. En mars 2020, CL0P a lancé un site de fuite de données appelé ‘CL0P ^ -LEAKS‘, Où ils publient les données des victimes. DoppelPaymer Connu depuis juillet 2019, DoppelPaymer ou BitPaymer cible ses victimes via des piratages de bureau à distance et l’accès fourni par le cheval de Troie Dridex. En février 2020, a lancé un site de filtrage dédié qu’ils appellent «Dopple Leaks». Nemty Connu depuis janvier 2019 sous le nom de Ransomware-as-a-Service (RaaS) appelé JSWorm, il a été renommé Nemty en août de l’année dernière. En mars 2020, Nemty a créé un site de violation de données pour publier les données des victimes. Nephilim En mars dernier, Nemty a créé une équipe affiliée pour un Ransomware-as-a-Service privé appelé Nephilim. Le ransomware est né en recrutant uniquement des pirates et des distributeurs de logiciels malveillants expérimentés. Peu après, a créé un site intitulé “Corporate Leaks” ils utilisent pour publier les données volées. NetWalker En mai 2020, NetWalker, également connu sous le nom de Mailto, a commencé à recruter des affiliés en proposant des paiements importants et un site d’auto-publication de fuite de données. Utilisez un compte à rebours pour essayer d’effrayer les victimes et les forcer à payer. Pysa (Mespinoza) Il est apparu en octobre 2019. En novembre, il a changé l’extension de cryptage de fichier