Facture Électronique : Un Retard National Coûtant 15 Milliards d’Euros par An
Malentendu ? Manque de préparation ? Nervosité ? La réforme de la facture électronique a été reportée. Tous les acteurs de la facture électronique espèrent que la DGFiP prendra en compte son écosystème partenaire – entreprises, candidats pilotes et PDP -, qui, bien que volontaire, est inquiet du retard dans la mise en œuvre de cette réforme. Cet événement était attendu comme le grand événement de 2024. La dématérialisation, déjà en vigueur dans le secteur public depuis 2020, concernant les 2,5 milliards de factures émises en France chaque année, devait débuter le 1er juillet 2024 pour se conclure deux ans plus tard. Toutefois, ce calendrier a été reporté cet été, le 28 juillet 2023, par la Direction Générale des Finances Publiques (DGFiP), sans préciser les nouvelles échéances. Car, précise la DGFIP : « La date du report sera fixée lors de l’adoption de la loi de finances pour 2024, dans le but d’assurer une transition optimale vers la facturation électronique pour les quatre millions d’entreprises concernées. » Cyrille Sautereau, président du Forum National de la Facture Électronique, n’a pas été surpris par ce retard. Il a noté que cet été, « 27% des entreprises ont déclaré ne pas être prêtes pour la facturation électronique. » Ce qui l’a davantage surpris, c’est l’arrêt soudain du projet. Assurément, pour tous les acteurs du projet, il vaut mieux être pragmatique et repousser d’un an plutôt que de mettre fin au projet, mais en attendant, il ne faut pas rester les bras croisés. » Quelques mois après cette annonce, environ 250 acteurs du secteur se sont réunis pour discuter de l’avenir de cette réforme avec la DGFiP. Certains participants espèrent que cette discussion ne mènera pas à ce qu’ils redoutent le plus : une suspension du projet trop longue qui risque de démobiliser les entreprises qui avaient commencé à préparer leur passage à la facture électronique. La réforme avait pourtant un objectif clair : vérifier la conformité des factures. Mais sa mise en œuvre s’est avérée complexe et multiforme. Le but de cette dématérialisation était de réduire la fraude à la TVA, estimée à 14-15 milliards d’euros pour la France. Mais aussi d’automatiser les process pour réduire les coûts pour les entreprises. Une réforme nécessaire, à l’initiative de l’Administration Fiscale dans laquelle se sont impliqués les candidats pilotes ou PDP (plateforme de dématérialisation partenaire) qui se sont cependant révélés moins nombreux qu’attendu. En effet, les prérequis techniques sont forts et la réforme est complexe, ce qui a pu décourager certains candidats, que le report de la réforme ne va probablement pas rassurer. En conclusion, bien que la facturation électronique présente de nombreux avantages sur le papier, sa mise en œuvre effective se révèle plus difficile que prévu. Il reste à voir comment la DGFiP va poursuivre ce chantier, réussir à remobiliser l’écosystème de la facture électronique pour que cette réforme, indispensable, soit finalement mise en œuvre avec succès. Contactez MATA pour en savoir plus
Prévention des fraudes : Comment les entreprises peuvent-elles se protéger ?
Avec la croissance rapide de la technologie, les entreprises sont confrontées à une augmentation des tentatives de fraude. Pour se défendre, il est essentiel d’adopter une stratégie claire pour identifier les risques et mettre en place des actions concrètes. Prévention des fraudes : Tout type d’entreprise peut être ciblé, qu’elle soit petite ou grande. Les statistiques montrent néanmoins que les entreprises de taille moyenne et les grandes sociétés sont de plus en plus visées, avec une augmentation notable des tentatives de fraudes. Des méthodes de fraude toujours plus raffinées Qu’il s’agisse d’employés malintentionnés ou des cybercriminels externes, les techniques de fraude se diversifient. Parmi elles, la fraude au dirigeant, les cyberattaques, les escroqueries liées à de faux clients ou fournisseurs, et le phishing se démarquent. Les fraudeurs affinent leurs approches, rendant leurs attaques de plus en plus convaincantes. Ils utilisent notamment des informations personnelles pour rendre leurs demandes plus crédibles, allant jusqu’à créer des vidéos falsifiées de dirigeants d’entreprise. Facteurs facilitant la fraude La peur de décevoir ou de désobéir à la hiérarchie est un élément clé qui peut pousser un employé à commettre une erreur. En outre, le manque de séparation des responsabilités et l’insuffisance de formation augmentent les risques. Une organisation floue, un management trop axé sur la performance financière et une stratégie de défense inefficace vont également favoriser les fraudes. Établir une défense solide Pour contrer ces menaces, les entreprises doivent agir à différents niveaux : Formation : Les employés, en première ligne, doivent être formés pour détecter et réagir rapidement. Surveillance : Des équipes et des dispositifs informatiques dédiés doivent s’assurer que les procédures sont suivies. Évaluation : Une équipe d’audit interne va travailler sur l’amélioration des processus. Stratégie en trois étapes : Identifier, Prioriser, Intervenir Identifier : Chaque entreprise doit connaître les risques spécifiques à son secteur et mettre en place une cartographie des risques. Prioriser : Il est essentiel de se concentrer sur les risques les plus importants et de s’assurer que les mesures de contrôle sont efficaces. Intervenir : Une base solide de procédures et des outils informatiques spécialisés doivent être mis en place, combinant prévention, détection et correction. Prévention des fraudes : Mesures préventives Les entreprises doivent mettre en place des politiques et des procédures adaptées, sensibiliser leur personnel, définir clairement les rôles, mettre en place un système d’alerte rapide, communiquer sur les conséquences pour les fraudeurs, et sécuriser leur système informatique. Mesures détectives Il est essentiel d’identifier les scénarios de fraude propres à chaque entreprise et de mettre en place des mesures pour les détecter rapidement. Cela peut inclure des contrôles comptables, des audits de risque, mais aussi une veille constante grandement facilitée par des logiciels dédiés à la détection des fraudes. Mesures correctives En cas de fraude, il faut réagir rapidement, enquêter sur l’origine, identifier et poursuivre les coupables, récupérer les pertes et renforcer les contrôles. Quatre questions clés Pour évaluer leur niveau de protection, les entreprises doivent se poser les questions suivantes : Comment la direction traite-t-elle le risque de fraude ? Les contrôles sont-ils opérationnels ? Le personnel est-il bien formé ? Ont-elles informatisé leurs procédures de contrôle pour les rendre incontournables ? En conclusion, la meilleure défense contre la fraude est la prévention. Les entreprises doivent être proactives, former continuellement leur personnel, mettre à jour leurs procédures et les informatiser. Seul un effort constant et des logiciels spécialisés, dédiés à la fraude et au contrôle des IBAN vont pouvoir protéger les ressources et la réputation de l’entreprise. Contactez MATA pour en savoir plus
Statistiques sur la fraude aux moyens de paiement en 2022
La Banque de France a récemment annoncé une baisse significative de la fraude aux moyens de paiement en 2022. Cette nouvelle est une lueur d’espoir dans le paysage financier, où la fraude est un fléau persistant qui affecte à la fois les institutions financières et leurs clients. Cependant, malgré cette tendance générale à la baisse, certaines formes de fraude, comme celle liée aux virements, ont connu une augmentation. La fraude aux moyens de paiement a diminué de 4% en 2022 Selon les données fournies par la Banque de France, le nombre de fraudes aux moyens de paiement a diminué de 4% en 2022. Cette statistique est encourageante, car elle indique que les efforts déployés pour lutter contre la fraude commencent à porter leurs fruits. Cependant, il est important de noter que cette diminution ne signifie pas que le problème de la fraude a été éradiqué. Au contraire, il reste un défi majeur pour les institutions financières et les consommateurs. La Banque de France a également révélé que près de 7,2 millions de transactions frauduleuses ont été enregistrées en 2022, représentant un total de 42 578 milliards d’euros. Ces chiffres, bien que toujours préoccupants, sont une amélioration par rapport aux années précédentes. Ils ont été recueillis par l’Observatoire de sécurité des moyens de paiement (OSMP), une entité qui surveille et analyse les tendances en matière de fraude aux moyens de paiement. L’OSMP a souligné l’importance de la sécurité des paiements par carte, un domaine où des progrès significatifs ont été réalisés. François Villeroy de Galhau, le gouverneur de la Banque de France, a déclaré : « Sur la carte, nous constatons le taux de fraude le plus bas jamais enregistré, à 0,053% ». Cette statistique est un témoignage de l’efficacité des mesures de sécurité mises en place par les banques et les fournisseurs de cartes de crédit pour protéger les consommateurs contre la fraude. Cependant, malgré ces progrès, la fraude aux virements a connu une augmentation. Cette forme de fraude est particulièrement préoccupante car elle cible souvent les particuliers et les petits professionnels. Les fraudeurs utilisent une technique connue sous le nom de « spoofing », qui consiste à usurper le numéro d’appel du service client de la banque et à se faire passer pour un conseiller. Le faux conseiller prétend alors qu’il y a eu des cas de fraude sur le compte de la victime et exerce une pression psychologique sur celle-ci. Il lui fait croire qu’il est en train de tester les outils d’authentification de la banque et la pousse à valider des transactions à son insu. Cette forme de fraude est particulièrement insidieuse car elle exploite la confiance que les clients ont envers leur banque. Le préjudice total causé par la fraude aux moyens de paiement en 2022 s’élève à 342 millions d’euros. Ce chiffre, bien que moins élevé que les années précédentes, reste considérable. Il souligne l’importance de la lutte contre la fraude pour les institutions financières et les consommateurs. En réponse à ces chiffres, la Fédération bancaire française (FBF) a déclaré que la sécurité des paiements est une priorité absolue pour les banques françaises. Les banques sont conscientes des défis posés par la fraude et travaillent sans relâche pour renforcer leurs mesures de sécurité. Elles s’efforcent de protéger leurs clients et de leur permettre d’utiliser leurs moyens de paiement de la manière la plus sûre possible. En conclusion, bien que la fraude aux moyens de paiement ait diminué en 2022, elle reste un problème majeur pour les institutions financières et les consommateurs. Les banques et autres institutions financières doivent continuer à investir dans des mesures de sécurité robustes pour protéger leurs clients et lutter contre la fraude. De plus, les consommateurs doivent être vigilants et prendre des mesures pour se protéger contre la fraude. Contactez MATA pour en savoir plus
Ransomwares : Chaque Paiement De Rançon Finance 9 Nouvelles Attaques !
Dans son dernier rapport de recherches portant sur le fonctionnement des groupes de rançongiciels et la spirale de financement de leur attaque, Trend Micro révèle qu’il suffit du paiement de seulement 10 % des demandes de rançons pour financer de nouvelles vagues d’attaques. Ce rapport fournit des renseignements stratégiques, tactiques, opérationnels et techniques sur ces actions malveillantes. Il s’appuie sur une collecte de données rassemblées pour répertorier les différents schémas organisationnels des organisations cybercriminelles. Ces informations seront utiles à la communauté pour comparer les différents groupes actifs sur ce marché, estimer les risques et caractériser les comportements des groupes à la manœuvre. Voici ses principaux éléments : Le pourcentage de victimes qui acceptent de payer une rançon (10 %) le font généralement rapidement. En France, un tiers des microenterprises ciblé a déjà payé une rançon. Les victimes de certains secteurs et pays paient plus souvent que d’autres, ce qui signifie que leurs homologues sont plus susceptibles d’être ciblés par la suite. Le paiement d’une rançon a souvent pour seul effet d’augmenter le coût global de l’incident, avec assez peu d’autres bénéfices. Les activités de monétisation des rançongiciels sont au plus bas en début d’année (janvier) ainsi que sur la période estivale. Des périodes qui sont potentiellement propices à la reconstruction des infrastructures et à la préparation des attaques futures. Le rapport indique qu’en renforçant les dispositifs de protection des chaines de production, en poursuivant l’analyse approfondie des écosystèmes de rançongiciels et en concentrant les efforts à l’international sur la réduction du pourcentage de victimes acceptant de payer une rançon et d’entretenir ainsi la mécanique, les entreprises et les gouvernements pourraient contribuer à faire baisser la rentabilité de cette industrie des rançongiciels. « Les rançongiciels constituent aujourd’hui une menace majeure pour la cybersécurité des entreprises, des collectivités et des administrations. Leur mode opératoire est en constante évolution, c’est pourquoi nous avons besoin d’analyser en permanence les données techniques afin d’adapter en continu la modélisation des outils de détection. Notre étude vise à aider les décideurs dans les métiers IT à mieux comprendre leur exposition au risque et à fournir aux comités de direction les informations dont ils ont besoin pour mieux appréhender ce type de menaces », explique Nicolas Arpagian, Director Cybersecurity Strategy de Trend Micro. Des éléments qui peuvent peser dans la balance Le rapport de Trend Micro tend à apporter aux décideurs des informations pour mieux évaluer les risques financiers découlant des rançongiciels et aider : les responsables informatiques à documenter la justification d’un renforcement des budgets en matière de cybersécurité, les gouvernements à chiffrer plus précisément les services de réparation à incident et les modalités d’application de la loi/mise en conformité, les assureurs à concevoir plus précisément les termes et conditions de leurs polices, les organisations internationales à prendre davantage en considération les attaques par rançongiciels, qui sont plus que jamais un risque à l’échelle planétaire. Ce rapport est consultable ici : https://www.trendmicro.com/vinfo/us/security/news/ransomware-spotlight/understanding-ransomware-using-data-science. Source : ITRnews
Mata io est référencé à l’union des groupements d’achats publics (ugap) via le marché scc
Toutes les solutions MATA IO sont maintenant disponibles via l’UGAP, la seule centrale d’achat publique généraliste en France qui facilite la vie des acheteurs. Quels avantages pour les acheteurs publics ? L’UGAP est un établissement public à caractère industriel et commercial, qui au travers d’appels d’offres, sélectionne des solutions destinées aux acheteurs publics et en facilite l’accès. L’UGAP opère en achat pour revente et assure ainsi la relation commerciale tout au long du parcours d’achat, du devis à la facturation. Elle joue un rôle de grossiste qui permet de se passer de tout appel d’offres. Le référencement de MATA IO sur l’UGAP permet donc : D’oublier les contraintes et exigences de certains marchés publics en rendant accessibles les solutions MATA IO directement sur le portail de l’UGAP sans appel d’offres ; D’utiliser un outil de mise en œuvre des politiques publiques simple et sécurisé ; De bénéficier du label « Relations Fournisseurs et Achats Responsables » attribué par l’UGAP, car 83% des marchés comportent aujourd’hui une disposition RSE (Responsabilité sociétale des entreprises*). Quelles solutions MATA IO sont disponibles via l’UGAP ? La suite MATA IO offre des fonctionnalités de contrôle automatisé des paiements en particulier des coordonnées payées, avec des sécurités de blocage des ordres malveillants. Cette suite est aujourd’hui disponible pour toutes les typologies de clients UGAP : collectivités territoriales, administrations et les établissements publics de l’Etat, secteur social ou établissements publics de santé. Elle peut être proposée de manière modulaire pour compléter un existant : MATA IO Bank Suite. Ou de manière intégrée pour offrir un espace sécurisé unique de l’application métier jusqu’aux banques : MATA IO Secure e Link. Le référencement de MATA IO à L’UGAP permet d’accéder à toutes nos solutions à un tarif dédié aux acteurs des marchés publics & public-privé, tout en garantissant d’obtenir le niveau de service attendu, dans un cadre défini et sécurisé. Pourquoi l’UGAP a référencé la solution MATA IO? La Société MATA dispose d’un historique financier et administratif en adéquation avec les attentes de l’UGAP. Nous avons relevé quatre caractéristiques incontournables : MATA est éditeur de la solution MATA IO, La solution MATA IO est originale, Le catalogue produit est étoffé et dynamique, toujours en adéquation avec les réglementations, La société MATA est financièrement fiable, elle s’appuie sur un actionnariat stable et indépendant, et dispose notamment d’une cotation crédit Banque de France Excellente + 1. Visitez le site de l’UGAP : https://www.ugap.fr pour en savoir + ! *RSE c’est la contribution des entreprises aux enjeux du développement durable. En savoir plus sur source (https://www.economie.gouv.fr/entreprises/responsabilite-societale-entreprises-rse) *Cette solution logicielle MATA IO appartient à la bibliothèque d’éditeurs de SCC, titulaire d’un marché avec l’UGAP.
Sécuriser les chaines de paiement, un défi croissant pour les entreprises
Sécuriser les chaines de paiement – La gestion du risque cyber devient pour les entreprises une thématique centrale. Réputation de l’entreprise, atteinte aux données personnelles… Le préjudice causé peut-être conséquent, notamment lorsque la chaîne de paiement est atteinte. Selon l’Agence nationale de sécurité des systèmes d’information (Anssi), les cyberattaques ont été multipliées par quatre en 2020. Un risque accru qui a conduit les entreprises à s’intéresser de plus près à la façon de s’en prémunir. La plateforme d’assistance et de prévention du risque numérique, Cybermalveillance.gouv.fr, a ainsi vu sa fréquentation augmenter de 155% en 2020, avec plus de 1 232 545 visiteurs. 54% des entreprises ont subi une attaque en 2021 L’épidémie de Coronavirus, qui a conduit à la généralisation du télétravail et à l’utilisation d’outils digitaux à distance reposant sur le cloud, a amené les entreprises à prendre toujours plus au sérieux les cyberattaques et cyberfraudes. Pour Pacôme Lesage, Directeur France et Europe du Sud de Sage : « Accompagner le plus grand nombre d’entreprises dans leur usage du Cloud, signifie aussi rassurer chacun sur la gouvernance des données et la cybersécurité, qui sont des sujets sur lesquels aucun compromis n’est possible ». L’accompagnement en matière de cybersécurité est d’autant plus nécessaire que l’explosion des attaques cyber de 2020 s’est poursuivie durant l’année 2021, touchant six entreprises sur dix dans leur business, selon le baromètre de la cybersécurité des entreprises publié par le CESIN et OpinionWay. Alors que la plupart des grandes entreprises ont intégré assez tôt des processus et du personnel pour prévenir la menace, les PME et ETI ont pris en considération la menace plus tardivement, ce qui leur coûte aujourd’hui puisqu’elles sont devenues la principale cible des pirates informatiques. Pour 33% des entreprises, le préjudice financier s’élève à plus de 10 000 € Dans son baromètre fraude et cybercriminalité 2021, Euler Hermes rapporte que deux entreprises sur trois ont subi au moins une tentative de fraude dans l’année et qu’une entreprise sur cinq a quant à elle subi plus de cinq attaques. Pour 33% de ces entreprises, le préjudice financier s’élevait à plus de 10 000 €. Parmi les différentes menaces auxquelles elles peuvent être confrontées, l’atteinte à la chaîne de paiement peut fortement impacter leur business et leur fonctionnement. La fraude au virement ou à la facturation démarre souvent par une demande de modification des coordonnées bancaires d’un bénéficiaire. Dans ce cadre, l’attaquant se fera passer pour un fournisseur ou un client connu de l’entreprise. Parce qu’elles sont dématérialisées, les données bancaires circulent à l’échelle mondiale très rapidement, ce qui rend l’identification du fraudeur impossible. Autre levier, l’arnaque au président par un piratage d’’email. Les cibles principales de ce type d’attaques sont des entreprises avec une activité internationale. Le but pour le pirate informatique est ici de compromettre des comptes de messageries reconnus ou authentifiés par l’entreprise. Une fois l’adresse mail en sa possession, l’attaque consiste à envoyer un ou plusieurs e-mail factices destinés au service de la comptabilité pour procéder à un paiement. Savoir anticiper les crises en sécurisant les chaines de paiement Être en mesure d’anticiper les cyberattaques est un des prérequis pour maîtriser pleinement sa stratégie de cybersécurité. Le rôle des salariés et collaborateurs est déterminant. Pour Vivien Pertusot, directeur adjoint de Bpifrance Le Lab, « le plus fondamental, c’est la formation. Les collaborateurs sont les premières sources de vulnérabilité dans une entreprise ». L’humain reste la première faille quand il est question de cybersécurité : cliquer sur le mauvais lien, répondre au mauvais mail, ne pas détecter une cyberattaque ou menace… Tous ces faux-pas peuvent être évités si une sensibilisation est menée au préalable. D’après Régis Dubrulle, délégué régional de l’Anssi, la prévention passe par « la paranoïa positive qui incite chacun à faire attention ». Une fois ce travail de sensibilisation effectué, il est important de développer de bons réflexes. Dans le cas précis de la fraude au paiement, il est nécessaire de contrôler la validité des données communiquées (numéro de compte, adresse, identité etc) pour limiter tous détournements frauduleux. Des mécanismes d’alerte peuvent également être mis en place pour cibler des actions ou mouvements suspects (montant d’un transfert irrégulier, motif inhabituel…). Enfin, toutes les demandes urgentes doivent être traitées avec précaution car la plupart des cyberfraudes jouent sur le caractère urgent de la demande pour raccourcir le temps de réaction de la victime. Pour contrer cette technique très appréciée des cyber hackers, les procédures de validation doivent être respectées et/ou revues. Source : Ekonomico
Fraude à l’identité en ligne
La fraude à l’identité en ligne a connu une forte croissance en 2021 ; une tendance qui devrait se confirmer en 2022, explique Michael Ford, d’Onfido. Depuis le début de la pandémie, les entreprises ont été contraintes de déplacer leurs opérations en ligne ; une réelle opportunité pour les pirates, escrocs et autres fraudeurs. On aurait pu penser qu’avec la réouverture du monde « physique », les choses allaient progressivement revenir à la normale. Pourtant, la fraude à l’identité en ligne a connu une forte croissance en 2021 ; une tendance qui devrait se confirmer en 2022, explique Michael Ford, d’Onfido. Fraude à l’identité en ligne : Fuites de données 2021 s’est révélée une année très active en matière de fraude à l’identité. Déjà en 2020, les pertes liées à l’usurpation d’identité avaient augmenté de 42% pour atteindre 712 milliards de dollars, et depuis 2019, la fraude aux documents d’identité a augmenté de 44%. Cette tendance ne devrait pas changer en 2022 : les consommateurs ont pris l’habitude d’effectuer des transactions en ligne, et les fraudeurs vont donc les suivre sur le net. Ce phénomène est difficile à arrêter, car les données récupérées par les pirates informatiques au cours de leurs attaques leur permettent de commettre de nouveaux crimes. Les entreprises, leurs collaborateurs et les consommateurs continueront d’être ciblés de toutes parts : à travers des attaques de type hameçonnage ciblé, de compromission de messagerie d’entreprise ou de piratage de comptes. Compromission de réseaux La compromission de réseaux restera fortement d’actualité en 2022. Alors que les rançongiciels restent l’une des méthodes préférées des fraudeurs, on constate également une prévalence croissante de la récupération de données par des malwares sur mobiles et des attaques de type « homme du milieu » (ou Man-in-the-Middle attack – MITM). Cette technique permet aux hackers de recueillir sur les entreprises des renseignements qu’ils utiliseront pour mieux les attaquer. Il est donc important que les entreprises vérifient régulièrement leurs sites web pour s’assurer que des données sensibles qui pourraient être utilisées contre elles ne soient pas exposées. La fraude aux données synthétiques Les 12 derniers mois ont également vu une augmentation de la fraude dite « sophistiquée », comme les attaques de données synthétiques, qui impliquent la fusion d’informations réelles et fausses. Les fraudeurs commencent également à utiliser des « deepfakes », en générant grâce à l’intelligence artificielle de fausses vidéos dans lesquelles le visage ou la voix de la personne d’origine sont remplacés par ceux d’une autre personne ; on parle alors de fraude par vidéo synthétique ou voix synthétique. Ces fausses vidéos peuvent être utilisées pour contourner les systèmes de sécurité par reconnaissance vocale d’une banque, par exemple. La fraude aux cryptomonnaies : Les cryptomonnaies sont amenées à représenter une cible de plus en plus importante. Parmi les méthodes employées régulièrement, le « cryptojacking » consiste pour les fraudeurs à convaincre leurs victimes de cliquer sur un lien malveillant et d’utiliser leur terminal pour miner des crypto-monnaies pour leur compte. Le code de minage est ensuite chargé sur un ordinateur cible, qui peut ainsi voler des cryptomonnaies dans d’autres portefeuilles numériques, ou utiliser l’ordinateur détourné pour miner des cryptos de valeur. Les fraudeurs peuvent aussi cibler directement les personnes par des arnaques aux investissements en cryptomonnaies – une méthode de plus en plus efficace étant donné la popularité croissante d’un grand nombre de cryptos. Les escroqueries par ingénierie sociale ou coercition Les escroqueries par ingénierie sociale resteront l’une des méthodes préférées des fraudeurs, car elles demandent peu de sophistication technologique. Elles constituent souvent la deuxième vague d’une attaque, en utilisant les informations recueillies via un vol de données pour « prouver » leur légitimité. Ce type d’attaque est difficile à détecter car les fraudeurs n’ont pas besoin d’interagir directement avec l’entreprise qu’ils ciblent ; ils convainquent les victimes qu’elles le fassent elles-mêmes. Les outils de détection standard considèrent que les paiements sont légitimes puisqu’ils sont effectués depuis le terminal certifié de l’utilisateur et que les victimes passent toutes les étapes d’authentification. La lutte contre ce phénomène passe par l’éducation des consommateurs. La fraude à l’identité en ligne s’amplifie donc depuis plusieurs années et 2022 ne devrait pas déroger à cette tendance ; les entreprises doivent donc continuer à s’armer. La vérification d’identité en ligne biométrique, combinant vérification de l’authenticité des pièces d’identité et vérification de l’identité du détenteur grâce à des caractéristiques physiques (biométrie, visage, empreinte digitale…), peut constituer une solution pérenne. En effet, elle permet d’augmenter rapidement la sécurité tout en étant capable d’évoluer pour intégrer les nouvelles tendances technologiques en matière de fraude. Source : Zdnet
33 millions d’euros volés : nouveau record pour «l’arnaque au président» en france
Arnaque au président : Un faux PDG a envoyé de vrais ordres de virement à la responsable de la comptabilité d’un promoteur immobilier parisien. Le promoteur y a donné suite avant de se rendre compte de l’arnaque. Une plainte a été déposée. « Toute l’équipe de Sefri-Cime vous souhaite de passer d’agréables fêtes de fin d’années entourés de vos proches ! Qu’elles soient remplies de petits et de grands bonheurs », peut-on lire sur la page Facebook de ce promoteur immobilier parisien. Difficile d’imaginer que derrière les mots sympathiques et les photos de lots immobiliers aguicheurs, l’entreprise vient de se faire délester de 33 millions d’euros par des escrocs ayant utilisé « l’arnaque au président »… Les fraudeurs missionnent un faux avocat Le 2 décembre, relate Le Parisien, la responsable de la comptabilité de cet « acteur historique de l’immobilier résidentiel en France » reçoit un e-mail provenant d’un escroc. L’imposteur se fait passer pour le directeur général de Sefri-Cime et demande la plus grande confidentialité quant aux échanges, expliquant qu’il prépare l’entrée en Bourse de la société. Pour parfaire ce narratif, les malfrats missionnent un faux avocat, qui ordonne à la comptable de procéder à une quarantaine de virements en direction de comptes bancaires à l’étranger. Le 29 décembre, une autre comptable de la société reçoit un mail des escrocs. Elle flaire l’arnaque et alerte sa hiérarchie. La direction dépose une plainte au commissariat du XIVe arrondissement et demande à sa banque de bloquer les transactions en cours, ce qui aurait permis au promoteur de récupérer 3 millions d’euros. Mais le préjudice colossal s’élève à 33 600 000 euros pour Sefri-Cime, selon les informations du quotidien francilien. Une somme record pour ce type d’arnaque en France. Une arnaque qui continue de se développer Bien qu’existant depuis 2010, cette fraude continue de faire des victimes chaque année, et profite même de l’essor du télétravail pour se développer, comme l’explique le site techtalks. Selon le baromètre 2020 «Etude sur la fraude” du cabinet Euler Hermes, la fraude au président, en hausse notable, est devenue l’une des principales cyberattaques dans le monde (la troisième d’après le cabinet). Pour se prémunir de ces arnaques très lucratives pour la grande criminalité, l’Office central de répression de la grande délinquance financière conseillait en avril 2020 auprès de Franceinfo, de « ne pas céder à l’urgence même si les circonstances peuvent nous y pousser. Rester calme. Parler de la commande avec un autre collègue pour voir quel est son avis. Et dans le moindre doute, contacter sa banque pour essayer de rapatrier les fonds avant de venir éventuellement déposer plainte ». Source : L’Alsace
Attaques par rançongiciel : que négocier avec son assureur ?
Face à la multiplication des attaques par rançongiciel, les entreprises doivent privilégier les contrats multirisques qui proposent des couvertures très larges des dommages et regarder de près la liste des exclusions prévues par leurs assurances. Les rançongiciels sont devenus la menace informatique la plus pesante pour les entreprises. La France serait le troisième pays le plus touché au monde, après l’Inde et l’Australie, par ce type d’attaques. Axa est la première compagnie d’assurance internationale à réagir face à la croissance de ce type de cybermenaces. Elle a annoncé début mai que ses polices d’assurances ne prendraient désormais plus en charges les frais engagés par les entreprises qui ont cédé aux ransomwares et qui ont payé la rançon. D’autres compagnies pourraient suivre le mouvement. Une réaction peu surprenante – les autorités ayant demandé à stopper cette pratique de paiement systématique des rançons- qui oblige les entreprises à vérifier leur politique d’assurance. Selon Marine Hardy, directrice des Pôles Innovations et Sécurité au sein du cabinet Itlaw, les entreprises doivent en premier lieu se renseigner sur la couverture de leur contrat d’assurance. » Certaines polices sont négociées au niveau du groupe et non par filiale, ou pour différents services. Il est donc intéressant d’avoir une cartographie et une analyse globale pour éviter de contracter une assurance que l’on a déjà et surtout de se rendre compte des termes exacts de la couverture et notamment de son étendue. Le marché cyber étant évolutif et inventif, il peut être judicieux de ne pas s’enfermer dans un contrat qui ne couvre que certaines fraudes afin de ne pas devoir négocier des extensions de garanties chaque année. Il est important de clarifier les définitions et les terminologies afin de bénéficier d’une couverture des risques exempte d’ambiguïté », explique-t-elle. Négocier les frais de procédure et les possibles sanctions administratives Les entreprises doivent ainsi privilégier les contrats qui proposent des couvertures très larges des dommages comme les pertes des données et l’ensemble des frais opérationnels, informatiques et juridiques liés à l’attaque (frais d’expertise, de gestion de l’incident et de la crise, frais de reconstitution des données, réparation du système d’information, frais liés à une enquête administrative). » Certains assureurs proposent également la prise en charge des frais de procédure, ce qu’il est intéressant d’anticiper car le volet pénal est une composante du risque cyber « , ajoute Marine Hardy. Il faut par ailleurs regarder de près la liste des exclusions prévues par les contrats d’assurance. Certains prévoient des clauses d’exclusion classiques -si la fraude est déjà connue des assurés par exemple-, qui engendrent la non prise en charge en cas du risque. » Certains assureurs ont adapté leurs exclusions de garantie aux spécificités du risque cyber et refusent depuis peu d’indemniser leurs clients qui n’ont pas oeuvré dans la prévention des sinistres informatiques. Ainsi, de nombreux contrats d’assurance imposent le suivi d’un panel de mesures à mettre en oeuvre tel que par exemple la mise en oeuvre de sauvegardes récurrentes permettant la reconstitution des données, des modalités de changements de mots de passe régulièrement, d’utiliser certains programmes sécurisés, de mener des actions de sensibilisation envers les salariés et les clients. Pour être couvertes, les directions financières et informatiques vont donc devoir prouver qu’elles ont mis en oeuvre ces mesures. Il faut donc identifier et lister avec son assureur les dispositifs à mettre en place afin de les insérer dans le contrat d’assurance, et ainsi s’assurer que telle action suffit à obtenir une indemnisation « , analyse l’avocate. Dernier point à négocier avec son assureur : la prise en compte dans sa police d’assurance des sanctions administratives financières par exemple de la CNIL. Toutefois, le sujet de la légalité de telle police d’assurance fait encore débat. » Quand on connaît une attaque cyber, il y a très souvent par la suite des contrôles et des sanctions financières de la part des autorités de contrôle qui infligent des amendes aux entreprises négligentes au regard de leurs obligations de protection des données « , constate Marine Hardy. Source : Daf-Mag Pour en savoir +, contactez-nous
ING : UNE FRAUDE VIA APPLE PAY TRÈS SOPHISTIQUÉE
Votre banque vous appelle pour vous signaler une tentative de fraude via Apple Pay ? Attention ! C’est par ce stratagème que des clients d’ING se sont fait avoir ! Et cette fraude est particulièrement dangereuse puisque faire opposition sur la carte ne suffira pas… Une fraude via Apple Pay « J’ai été, comme de nombreux autres clients d’ING victime d’un phishing très élaboré reposant sur Apple Pay », nous alerte cette semaine un lecteur. En effet, le cas de ce client n’est pas isolé, comme en témoigne la discussion en cours sur le site communautaire d’ING. Un client explique avoir reçu un appel, fin juin, provenant d’un numéro identifié comme étant l’un de ceux utilisés habituellement par ING. La personne malveillante à l’autre bout du fil alerte ce client d’activités suspectes sur son compte courant… avec « tentatives de prélèvements d’argent par le système Apple Pay ». Le fraudeur se montre très persuasif malgré la méfiance du client, et il parvient à le convaincre de modifier ses identifiants ING en ligne, puis à activer Apple Pay via un code reçu sur le smartphone du client. « En rentrant du travail, je me rends compte que je me suis probablement fait avoir et je me connecte sur mon compte. Je constate alors plusieurs prélèvements d’un montant total de 1 343,60 euros », poursuit ce client. S’enclenche alors un cycle d’appels au service client, et des nouveaux prélèvements frauduleux malgré l’opposition immédiate faite par ce client sur sa carte bancaire. Contactée par MoneyVox, la banque confirme avoir été sollicitée « par quelques clients qui ont été victimes de fraudes » : « Ces fraudes commencent le plus souvent par du phishing : les fraudeurs ont récupéré des informations sur les clients sur internet ou en se faisant passer pour des tiers de confiance lors d’appels téléphoniques. Ils utilisent des sites qui proposent de choisir le numéro qui s’affiche quand on appelle, afin que ce soit le numéro d’ING qui apparaisse quand ils appellent. (…) Jamais un conseiller ING ne demandera ses codes personnels à un client, ni de faire un virement pour une quelconque raison. » ING ajoute une précision d’importance concernant l’opposition réalisée sur la carte bancaire du client : « Il faut rappeler qu’Apple Pay n’est pas lié à une carte bancaire en particulier, mais à un “token”, un identifiant unique. Ce token a visiblement été installé sur le téléphone des fraudeurs avec l’aide des informations que les clients leur ont communiquées, car le processus d’activation d’une carte dans Apple Pay est soumis à une double authentification. » Cette subtilité rend cette fraude encore plus piégeuse… La banque affirme lutter « avec la plus grande fermeté » contre toutes les arnaques dont sont victimes ses clients. La complexité de cette fraude et sa résolution hypothétique incitent toutefois plusieurs clients à porter plainte contre leur banque, comme ils l’affirment sur le site communautaire. Suite à cette fraude sophistiquée, se lance donc un feuilleton opposant banque et clients… Fraude : la délicate question de la négligence Qui est responsable ? Et in fine qui doit payer la facture de la fraude ? Ces mêmes questions se posent systématiquement à chaque affaire de phishing. Dans l’absolu, sans présager de l’issue du conflit opposant sur cette affaire ING à plusieurs clients victimes, il faut savoir que la réglementation limite fortement les risques pour les clients bancaires, face à la fraude. Lorsqu’une affaire est portée en justice, c’est à la banque de prouver que le client a été particulièrement négligent. Source : Moneyvox