Catégorie : Fraude

FRAUDE EN ENTREPRISE : LES PATRONS INQUIETS FACE À LA MENACE GRANDISSANTE

Lutter contre la Fraude

Pour six entreprises sur dix, la lutte contre la fraude n’est pas une priorité. Le chiffre peut paraître étonnant quand on imagine l’impact que peut avoir la fraude sur l’activité d’une société. Pour six entreprises sur dix interrogées, la lutte contre la fraude n’est pas une priorité selon une enquête du cabinet Euler-Hermes réalisée pour la DFCG, l’association des directeurs financiers et contrôleurs de gestion. Il s’agit de fraudes à travers la cybercriminalité, l’usurpation d’identité, mais aussi, de plus en plus, la fraude aux faux fournisseurs, aux faux clients et… aux faux présidents. Nous avons entendu parler de plusieurs affaires de ce genre récemment : un escroc qui se fait passer pour le patron d’une société. Il parvient à détourner le mail du vrai patron et envoie un message à son directeur financier pour que celui-ci vire une somme d’argent. En confiance, le salarié, s’exécute… et il est trop tard. Il y a aussi ce que l’on appelle le « ransomware » (ou rançongiciel), c’est à dire une demande de rançon via le blocage de serveurs ou de données. Plus personne n’est à l’abri Selon Euler-Hermes, une entreprise sur cinq a été visée par plus de dix tentatives de fraude l’année dernière. Nous étions à une pour dix en 2017. Plus personne n’est à l’abri, sauf à se protéger. Mais, et c’est le deuxième enseignement de cette étude, les chefs d’entreprises sont inquiets. Ils sont conscients que la menace est de plus en plus grande. Pour autant, ils n’investissent pas pour s’en prémunir puisque six entreprises sur dix n’ont toujours pas engagé de budget alloué à la lutte contre ce fléau. Une entreprise sur deux n’a pas de dispositif d’urgence à déclencher en cas d’attaque. Investir a un coût Il ne suffit pas d’investir systématiquement dans des options très coûteuses. L’entrepreneur peut commencer par un audit de sécurité de ses services informatiques (de plus en plus d’entreprises y recourent), ou alors il peut engager des opérations de sensibilisation et de formation. Et puis, comme l’explique Bruno de Laigue, le président de la DFCG, les entreprises doivent faire preuve de bon sens. Il faut donc être discrets et renforcer la collaboration entre les directeurs des affaires financières et les directeurs des services informatiques. Chacun vit trop dans son monde, tous ne se parlent pas suffisamment. Il faut aussi prendre conscience que « cela n’arrive pas qu’aux autres ». Tous les types d’entreprises sont concernés : TPE, PME, ETI, grands groupes… avec un impact important sur les trésoreries et l’image. Victime d’une telle attaque en 2017, le groupe Saint Gobain a perdu, en quelques heures, 220 millions d’euros. Altran, récemment victime d’une demande de rançon, a vu son cours de bourse affecté. C’est toujours très difficile de remonter la pente ensuite. Source : France TV Info Pour en savoir plus, contactez nos services

LA DÉLINQUANCE ÉCONOMIQUE ET FINANCIÈRE EN PLEIN BOOM

Un duo de députés, Ugo Bernalicis (FI) et Jacques Maire (LREM), vient de présenter un état des lieux de la délinquance économique et financière en France. Au-delà de ses propositions, très pointues, le document présente un état des lieux inédit de la structure et de la dynamique de ce type de délits en France. Instructif. Au pays des arnaques Comme souvent lorsque l’on s’intéresse aux comportements déviants, entre faux, arnaques, contrefaçons, travail clandestin, fraude fiscale et autres abus de bien social, il n’est pas évident de trouver des statistiques fiables. Les deux rapporteurs ont donc pris soin de présenter les sources disponibles. Il y en a trois : le ministère de l’Intérieur, le ministère de la Justice et une enquête de victimation menée par l’Insee. Conclusion : « quelles que soient les sources, la tendance dégagée est un accroissement du phénomène », constate le rapport. Les données les plus faciles à utiliser sont celles du ministère de l’Intérieur : elles montrent un accroissement des actes de délinquance économique et financière de 19,8 % entre 2013 et 2018. Au pays des fraudes, les possibilités sont diverses, mais deux catégories ressortent nettement : les arnaques et les fraudes aux moyens de paiement. Les premières représentent plus de la moitié du total des 409 000 infractions répertoriées en 2018 et les secondes un tiers. Dans le questionnaire de l’Insee sur « Cadre de vie et sécurité », une question a été incluse pour la première fois en 2018 sur les arnaques : 3,3 % des Français ont déclaré en avoir été victimes en 2017 et 15 millions, soit 30 % de la population, au moins une fois au cours de leur vie. Les plus courantes ne correspondent pas à des grandes escroqueries à la Madoff, elles sont bien plus banales que cela. Elles consistent à ne pas fournir les produits ou services achetés (36 %) ou bien à les proposer en qualité ou quantité moindres que promis (16 %) ou bien avec des frais supplémentaires (14 %). Par ailleurs, 4,3 % des ménages disposant d’un compte en banque ont subi une escroquerie bancaire. Le nombre de personnes ayant subi des débits frauduleux sur leur compte bancaire a ainsi été multiplié par 2,5 entre 2010 et 2017. Source : Alternatives Economiques Pour en savoir plus, contactez nos services  

ESCROQUERIES AU “FAUX PRÉSIDENT”… LA PJ DE LILLE EXPLIQUE COMMENT S’EN PRÉMUNIR

Après l’escroquerie à 800 000 euros dont a été victime le département du Nord, la Police judiciaire a lancé une campagne de prévention. Ce n’est pas vraiment leur mission, mais face à l’ampleur des sommes volées, il a fallu agir… et surtout prévenir: la brigade financière de la Police judiciaire de Lille met en garde les entreprises, quelle que soit leur taille, contre les escroqueries aux fausses factures et aux faux ordres de virement. C’est ce dont a été victime le département du Nord au mois d’août : un escroc s’est fait passer, vrais documents et informations crédibles à l’appui, pour le comptable d’une société de BTP chargée du contournement nord de Valenciennes et a établi au fil des appels une relation de confiance avant de se faire payer une fausse facture de 800 000 euros. La supercherie n’a été révélée qu’en septembr,e lorsque la véritable entreprise de BTP a fourni la vraie facture. Mais ces escroqueries peuvent aussi concerner des entreprises de toutes tailles. Selon la PJ, elles « ont généré un préjudice global d‘environ 300 millions d’euros pour les faits commis et 500 millions d’euros pour les faits tentés« , ces dernières années. Souvent basés à l’étranger (en Israël dans le cas du département du Nord), les escrocs se renseignent d’abord par mail et par téléphone pour collecter le plus d’informations possibles sur l’entreprise, puis lancent l’opération sur les personnes capables d’opérer ces vrement en prétextant « une opération d’importance capitale et confidentielle, afin d’abuser l’interlocuteur et obtenir un ou plusieurs virements internationaux« . Les policiers en distinguent plusieurs types : Escroqueries au « faux président » : avec la complicité d’un prétendu cabinet d’avocats ou de notaire, l’escroc se fait passer pour un des dirigeants d’une société L’escroquerie au « changement de RIB » : l’escroc prétend être un représentant du bailleur ou un de ses fournisseurs, indique un changement de coordonnées bancaires et demande à ce que le virement soit réalisé vers un autre pays, en prétextant une délocalisation à l’étranger. L’escroquerie « au virement SEPA, à l’informatique » : l’escroc se fait passer pour un technicien et demande à ce qu’on lui confie l’identifiant et le mot de passe pour effectuer des virements tests. Il peut également envoyer un mail accompagné d’une pièce jointe dans laquelle se trouve un logiciel prenant le contrôle de l’ordinateur pour voler ces informations confidentielles. Comment s’en prémunir ? Plusieurs indices doivent vous mettre la puce à l’oreille. La demande est généralement urgente et confidentielle, et l’escroc se montre souvent très affable, utilise la flatterie ou la menace pour manipuler son interlocuteur. Il multiplie également les détails sur l’entreprise, son personnel et son environnement pour brouiller les pistes. Pour ne pas faciliter le travail des escrocs, la PJ recommande : De ne pas communiquer d’informations qui pourraient leur servir, telles que les noms des managers, des chefs de division, des personnes en charge du paiement des fournisseur,s mais aussi les techniques de règlement, la liste des fournisseurs, etc. De sensibiliser le personnel susceptible d’être contacté, mais aussi les partenaire (banque, cabinet d’avocats, fournisseurs… De se renseigner via la presse, la communication des pouvoirs publics ou les associations professionnelles sur l’évolution des pratiques d’escroquerie De faire preuve de bon sens et de faire attention aux demandes inhabituelles ou illogiques, ainsi que de résister aux tentatives d’intimidation. Si le mal a déjà été fait et si le virement est déjà exécuté, de faire un compte-rendu de l’événement à sa hiérarchie, demander à la banque le retour des fonds et déposer plainte en apportant un maximum d’éléments. Source : https://france3-regions.francetvinfo.fr/hauts-de-france/nord-0/lille/escroqueries-aux-fausses-factures-pj-lille-explique-comment-s-premunir-1552932.html Pour en savoir plus, contactez nos services  

COMMENT ÉVITER LES FAUX ORDRES DE VIREMENTS INTERNATIONAUX (FOVI) ?

fovi ou arnaque au président

Les FOVI (Faux Ordres de Virement) communément appelés « arnaques au président » sont des attaques très ciblées qui consistent, par de manœuvres frauduleuses, à obtenir de la part d’une entreprise victime un virement bancaire indu sur des comptes étrangers et portant généralement sur des sommes importantes. Les FOVI, qu’est-ce que c’est ? Sous leur forme utilisée de nos jours, les arnaques par FOVI s’effectuent par l’envoi de messages électroniques ou par appels téléphoniques. L’arnaqueur demande à l’entreprise d’effectuer un virement en urgence sur un compte généralement à l’étranger. Et ce, sous prétexte d’une opération confidentielle, mais cruciale pour l’entreprise. Étape 1 : social engineering L’arnaqueur constitue d’abord l’ingénierie sociale de l’entreprise cible. Il achète par internet, auprès d’organismes tels qu’Infogreffe, les informations pertinentes sur l’entreprise (extrait K-bis, procès-verbaux d’assemblée générale, endettement, comptes annuels, etc.). Il effectue ensuite une recherche internet complète sur l’entreprise à savoir l’effectif du personnel, le logo, les dossiers profils sociaux des dirigeants, parfois même « le mot du directeur ». Tout ceci lui donne une vision complète de l’entreprise, son langage et son fonctionnement. Étape 2 : arnaque proprement dite Suffisamment renseigné, l’escroc se fait alors passer pour le président ou l’un des dirigeants de l’entreprise. Dans ses messages électroniques ou appels téléphoniques, il va insister sur le caractère confidentiel et crucial du virement pour l’entreprise. Ainsi faisant, il va presser les assistants de direction et les secrétaires comptables à agir avec promptitude et diligence et à suivre ses instructions. Notez que vous pouvez prévenir ce genre d’arnaque par la mise en place de logiciels antispam, anti-ransomware externalisés tels que Altospam. Il peut aussi procéder en justifiant cette demande inhabituelle par la réalisation d’une opération boursière, l’imminence d’un contrôle fiscal, et utilise des stratagèmes psychologiques tels que la flatterie ou la menace. Le FOVI « classique » Supplanté depuis 2011 par les autres modes de FOVI, il reste toutefois d’actualité. Ces faux ordres de virement, apposés de la signature usurpée du dirigeant d’une entreprise, sont adressés par courrier ou par fax, à la banque de l’entreprise visée. Pour ne pas trop attirer l’attention des banquiers qui les reçoivent, ils portent généralement sur des sommes inférieures à 10 000 €. Dans un premier temps, un individu soi-disant dirigeant de l’entreprise téléphone à la banque pour faire état du changement du numéro de téléphone de sa société. Puis, quelques jours plus tard, il transmet à la banque, un (faux) ordre de virement traditionnel. Le banquier fait généralement un contre-appel, afin de vérifier l’effectivité de la demande de transfert de fonds. Son interlocuteur, qui est en fait l’escroc lui-même ou un complice, lui confirme alors l’ordre de virement. Le taux de réussite de ce type de FOVI est devenu faible. En effet, les banquiers connaissent généralement bien leurs clients et sont sensibilisés régulièrement sur les différents modes opératoires utilisés par les escrocs, par l’Office Central pour la Répression de la Grande Délinquance Financière. Vous pouvez bien sûr en savoir plus sur l’OGRGDF et ses attributions. Le FOVI par « mail-phishing », à la nigériane Dans ce type d’escroquerie, les auteurs, agissant à partir de l’Afrique subsaharienne, interfèrent exclusivement par un courrier électronique (jamais par téléphone), dans une transaction en cours entre une entreprise française et son fournisseur asiatique. Voici deux cas d’escroquerie vécue par des entreprises locales. Cas d’une entreprise spécialisée dans le domaine de la puériculture Le 6 août 2013, une S.A.S. clermontoise recevait un mail à entête de l’un de ses sous-traitants à Taiwan, l’informant que, suite à des dysfonctionnements bancaires, le paiement de la prochaine facture, qui en l’occurrence s’élevait à 94 213 $, devrait s’effectuer au bénéfice d’un nouveau compte bancaire « plus sécurisé », ouvert au nom d’une société britannique, à la Barclay’s Bank en Grande-Bretagne. Dès le lendemain, la facture était réglée par virement vers ce nouveau compte. Douze jours plus tard, le dirigeant de la S.A.S. clermontoise apprenait que son vrai partenaire asiatique n’avait aucunement changé de compte bancaire et qu’il attendait toujours les 94 213 $ qui lui étaient dus. L’auteur de cette escroquerie, qui avaient clairement connaissance des rapports commerciaux habituels entre la société clermontoise et son sous-traitant à Taïwan, avait utilisé une adresse mail identique, à une lettre près, de la véritable adresse de la société asiatique. Par ailleurs, l’entête et la signature électronique du mail frauduleux étaient conformes, mais la police d’écriture utilisée pour le corps du message était différente de celle utilisée habituellement par le fournisseur. Cas d’une entreprise spécialisée dans les semences Le 1er octobre 2013, la comptable de la société anonyme auvergnate recevait sur sa messagerie professionnelle, un courriel dont le texte était le suivant : « Bonjour. Merci d’établir le règlement de la facture ci-jointe immédiatement. Veuillez vous mettre en contact avec Mr Olivier Lefébure, de l’Autorité des Marchés Financiers, pour la remise des coordonnées bancaires. Merci pour votre rapidité dans la transaction financière en cours. Afin de conserver toute discrétion (AMF), merci de ne pas répondre à ce mail. » Coordonnées : lefebure.amf@mail.com. Le PDG. Les trois « ingrédients » des FOVI se retrouvent dans ce mail : L’autorité (en l’occurrence des Marchés Financiers, mais aussi celle du PDG) ; L’urgence ; La confidentialité. S’agissant d’une société régulièrement visée par ce genre d’attaque, la comptable avait été sensibilisée sur le fléau. Elle n’a donc pas donné suite au mail frauduleux et a de suite avisé son service juridique. Le vrai PDG a déposé plainte pour tentative d’escroquerie et pour usurpation de son identité. L’escroquerie « au président » Cette technique est de loin la plus redoutable. Elle est à l’origine de tous les virements frauduleux supérieurs au million d’euros et n’est pas accessible à tous les arnaqueurs. En effet, elle requiert une autorité naturelle, un certain aplomb et, il faut bien le reconnaître, un don pour la comédie. Apparue en 2011, elle a permis à des escrocs d’origine franco-israélienne de faire partir vers différents pays et principalement la Chine, des sommes d’argent comprises entre 50.000 et 14.000.000 €, en fonction de la taille de l’entreprise visée. Très rapidement, ces sommes sont rapatriées en Israël. Dans ce type d’arnaque, l’escroc s’adresse par téléphone, à un employé du service comptabilité ou trésorerie d’une entreprise, généralement en se faisant

LA FRAUDE INTERNE

Insidieuse et discrète, la fraude interne peut s’installer au sein des processus de manière absolument invisible et durable. Selon Euler Hermès, elle touche 18% des entreprises françaises et plus d’un tiers dépassent les 100.000 euros de pertes. Sylvain KAM, expert en sécurisation des flux financiers chez MATA, nous rappelle ce qu’est la fraude interne et comment elle peut s’insinuer dans les processus de toutes les entreprises. Qu’est-ce que la fraude interne ? Vos collaborateurs ont souvent l’intuition adéquate, ils font preuve d’initiatives personnelles qui permettent d’éviter de nombreuses fraudes. Pourtant, certains d’entre eux vont dévisser et profiter d’une faille dans votre organisation pour détourner des fonds. Cette fraude, mise en place à l’initiative d’un ou plusieurs collaborateur(s) de l’entreprise peut prendre une multitude de formes, mais en règle générale, le fraudeur est plutôt solitaire, une situation qui lui permet de détourner les fonds de l’entreprise en diminuant les risques. La fraude interne touche toutes les sociétés, quels que soient leur taille et leur secteur d’activité. Dans tous les cas la fraude apparaît quand une personne a trop de pouvoir et qu’elle peut agir sans contrôle. La fraude dure souvent depuis plusieurs mois et même plusieurs années… A quel type de fraude interne une entreprise peut-elle devoir faire face ? (fraude documentaire, fraude chronologique, excès de frais…) Tous les services de l’entreprise peuvent être touchés par la fraude. Fausses notes de frais à tous les niveaux de responsabilité, détournements de paiements, fraude informatique… le collaborateur fraudeur est souvent au-dessus de tout soupçon ! Ressources humaines – La fraude sur salaire Les services RH fonctionnent souvent en circuit fermé. Peu de personnes peuvent contrôler les salaires considérés comme données confidentielles sensibles. Les équipes en responsabilité sont donc fréquemment relativement resserrées, il devient dès lors relativement complexe de voir venir la fraude sur paie. Pourtant, il est bel et bien possible de détourner une partie des salaires des autres salariés, soit en prélevant des sommes insignifiantes sur les salaires de nombreux collaborateurs, soit par exemple en créant un faux salarié qui perçoit des émoluments que le fraudeur rapatrie sur un compte dédié… Des risques, des tentations, bien réels si le DRH ou gestionnaire RH a trop de pouvoirs : créer des salariés, générer les salaires et activer le payement des salaires par exemple. Veillez à éviter absolument ces situations quel que soit le moment de l’années (congés), et à mettre en place des contrôles systématiques, comme distinguer celui qui ordonne le paiement de celui qui l’effectue. Informatique – La fraude de détournement Les services IT peuvent avoir accès à la totalité des données de l’entreprise. Les collaborateurs sont notamment habilités à attribuer les droits, écrire, crypter et sauvegarder les données. Ils maîtrisent tout ou partie de la chaîne et peuvent être tentés d’en abuser. Il est facile de créer ou modifier un fichier de règlement sur un serveur avant paiement par exemple. Le fraudeur modifie un numéro de compte entre l’ordre de paiement et le passage du règlement et ainsi peut encaisser des montants indus sur un compte qu’il aura créé au préalable. Le contrôle humain dans ce cas peut être utile mais il a aussi ses limites. Il est préférable d’être appuyé par une solution informatique automatisée. Comptabilité – La fraude au fournisseur Dans le volume des frais d’une entreprise, le suivi comptable peut parfois être flou ou soumis à des urgences et à des délais incompressibles. Le fraudeur peut alors changer le compte de destination d’un ou plusieurs règlement(s), ou encore régler involontairement la facture d’un faux fournisseur dans la masse. Le risque est accru lorsque l’on traite avec des fournisseurs à l’étranger. Le fraudeur peut remplacer le compte d’un fournisseur hors Europe par un compte dédié à la fraude, ouvert sous un prête-nom, qui sera clôturé immédiatement après l’opération. Cette fraude est fréquemment rencontrée lorsqu’une seule et même personne peut générer une facture et la payer elle-même sans contrôle. Il faut absolument déployer le double contrôle, même dans les petites structures, car dans le domaine comptable, les fraudes peuvent être nombreuses : détournement des avoirs clients, réalisation de faux avoir et virement sur un compte personnel… Comment éviter les fraudes & quelle solution MATA propose ? Nous l’avons vu précédemment avec Sylvain, il est fortement recommandé d’instaurer un dispositif de double contrôle systématique et de dissocier les rôles dans la chaîne de paiement. Malgré tout, la fraude interne reste toujours possible, « Mata IO Sécurité » est une solution globale qui s’intercale entre tous vos logiciels (ERP, outils comptables, paie) et les banques, et contrôle toutes les coordonnées payées. Une personne doit valider les comptes systématiquement et une séparation des taches est mise en place par l’outil. Une même personne ne peut donc plus avoir tous les pouvoirs ! Dans le cas de la création d’un nouveau salarié, le nouveau compte doit être validé par une personne différente de celle qui l’a créé. Les comptes sont catégorisés, reliés à certains fichiers de règlements et on vérifie les correspondances entre la raison sociale et le numéro de compte pour bloquer les cas de fraude au faux fournisseur. Toutes les anomalies identifiées par « Mata IO Sécurité » provoquent un blocage automatique et une analyse humaine qui doit valider l’action. La chaîne définie à la mise en place de la solution est non dérogatoire et la cryptographie permet d’éviter les fraudes informatiques. De plus, il existe des contrôles supplémentaires comme la mise en place d’indicateurs sur la chaîne de règlement, qui analysent les dépassements sur plafonds définis à l’installation, sur une période ou sur un même compte bancaire, ou si le même compte existe sur plusieurs règlements (paiement de deux salariés sur un même compte). Un bon processus de contrôle appuyé de la solution Mata I/O garantit un niveau de protection optimal contre la fraude.

LES FRAUDES FINANCIÈRES LES PLUS FRÉQUENTES DANS LES TPE, PME ET GRANDES ENTREPRISES

Les 3 moyens de fraudes financières les plus répandus en France et en Europe Les entreprises, quelle que soit leur taille, sont fréquemment vulnérables dans leurs processus de paiement par ignorance ou par excès de confiance. Les fraudeurs s’appuient sur ces faiblesses pour répéter leurs actions. L’information reste le seul moyen de protéger votre talon d’Achille et de mettre en place des solutions durables qui permettent d’éviter les fraudes. Sylvain KAM, expert en sécurisation des flux financiers chez MATA, nous rappelle quelles sont les fraudes les plus fréquemment rencontrées dans nos entreprises. Quels sont les moyens de fraudes les plus fréquents ? La fraude au président, les faux ordres de virement, la fraude aux coordonnées bancaires, le pishing ? Les fraudes les plus courantes sont autant humaines qu’informatiques. Les premières sont généralement le fait d’une personne qui, par opportunisme, détourne en toute discrétion pendant des mois ou des années, des sommes relativement raisonnables, dont le cumul peut représenter des montants absolument significatifs. Les secondes sont plutôt des actions préparées et construites pendant des semaines, voire des mois, en amont par des équipes expertes en fraude. Elles sont mises en place de manière invisible et lorsqu’elles impactent la société, ce sont des montants réellement astronomiques qui sont détournés des fonds de l’entreprise. Les fraudes au faux fournisseur Selon EULER HERMES, la fraude au faux fournisseur est la plus répandue puisqu’elle représente plus de 54% des tentatives de fraude selon leur étude de 2018. Le principe est simple, un faux fournisseur ou une fausse société d’affacturage met en place les éléments nécessaires pour se faire payer le montant d’une ou plusieurs véritable(s) facture(s), émise(s) par un véritable fournisseur. Le fonctionnement est simple pour réaliser ce détournement : une personne de la comptabilité reçoit un courrier à en-tête d’un fournisseur l’informant d’un changement de coordonnées bancaires. Ce courrier porte tous les détails qui le rendent crédible : coordonnées, logos, numéros et signature manuscrite du Directeur. La personne de la comptabilité procède alors à la modification des coordonnées bancaires et la fraude se déroule en toute discrétion, pendant des semaines, jusqu’à ce que le véritable fournisseur impayé se manifeste. A ce moment, les deux sociétés découvrent qu’elles sont victimes d’une fraude au faux fournisseur… et le montant global escroqué. Ces sont fréquemment des actions « one shot », très difficiles à tracer et les montants peuvent être spectaculaires. Souvent les opérations se font de l’étranger, il est impossible de récupérer les fonds car juridiquement l’entreprise n’est pas couverte puisqu’elle a validé le paiement. La banque n’est pas tenue de rembourser. Les cibles privilégiées sont les entreprises qui ont des activités avec des fournisseurs situés géographiquement à l’étranger. La cybercriminalité – Les ransomware La cybercriminalité, c’est 50% des tentatives de fraudes avec une part de 20% pour les ransomware. Cette menace est à prendre au sérieux à tous les niveaux de l’entreprise car c’est le réseau entier qui doit être sécurisé afin de protéger toutes les données, y compris financières, comptables ou humaines. La menace vient de logiciels programmés pour crypter vos outils jusqu’au paiement d’une rançon pour débloquer la situation et relancer votre production. Dans le secteur bancaire, la fraude peut permettre de détourner des transactions financières. Il y a mille façons pour les professionnels de la fraude informatique de mettre en place ces logiciels espions qui ouvrent les portes de votre réseau et le rendent vulnérable : contrôle des postes à distance, modification de fichiers informatiques de règlement, mise en place de fichiers qui récupèrent les mots de passe nécessaires au règlement… leur créativité n’a pas de limite. Les protections informatiques à mettre en place sont nombreuses : firewall, antivirus et surveillance des utilisateurs sont obligatoires. Il est possible de les appuyer par des leviers sur la partie contrôle de logiciel bancaire, notamment avec la mise en place de la cryptographie et d’une chaîne de règlement automatisée pour être inattaquable. La fraude de manipulation – fraude au faux président, au faux banquier Ces escroqueries font de nombreuses victimes, en 2016 leur montant en France avoisinait les 500 millions d’euros*. Leur principe est simple et connu mais fonctionne toujours : une personne se fait passer pour un dirigeant ou un décideur de l’entreprise pour passer un virement exceptionnel dans l’urgence. Même si le compte n’existe pas, l’interlocuteur est mis sous pression et dans une situation d’urgence non négociable pour qu’il/elle effectue l’opération demandée de bout en bout. Le manipulateur ne lâche pas sont interlocuteur jusqu’à ce que l’opération soit terminée et le prive de tout échange avec une autre personne sous couvert de confidentialité absolue. Concernant la fraude au faux banquier, il s’agit d’une personne qui se fait passer pour un banquier qui souhaite ou doit vérifier le bon fonctionnement des opérations entre la banque et la société. Il demande un virement test qu’il va bloquer en théorie, mais en réalité à ce moment précis, il passe via un autre canal qui vient d’autoriser les échanges entre votre entreprise et une structure qui va récupérer vos fonds. Le fraudeur connait parfaitement les noms des acteurs clés de l’entreprise : l’interlocuteur qui va agir, ses collègues, le chargé de clientèle de la véritable banque, les numéros de codes etc. et tous ces détails vont tromper le salarié qui agira sans avoir de doute. Ces situations sont évitables, il faut instaurer des procédures de vérification, crypter les documents bancaires et instaurer un système de signatures multiples, notamment pour les paiements internationaux. Quelles solutions MATA propose pour protéger contre ces fraudes et comment fonctionnent-elles ? La mission de « Mata I/O Sécurité » est de s’intercaler dans la chaîne de règlements client de manière non dérogatoire. Tous les règlements subissent des contrôles de sécurité stricts et toutes les coordonnées payées sont contrôlées. Un système d’alerte spécifique à votre métier est mis en place et si une alerte survient, c’est un contrôle humain qui est effectué, par une personne différente de l’émetteur du règlement. Les valideurs sont toujours et systématiquement des personnes stratégiquement « éloignées » de

LES PME ET LA FRAUDE FINANCIÈRE, DIAGNOSTIC ET SOLUTIONS

fraude bancaire

Prévenir les fraudes aux moyens de paiement dans une PME c’est possible et abordable. Après avoir visé dans un premier temps les grands groupes, la fraude financière touche aujourd’hui de manière importante les PME. Les attitudes à adopter face à cette menace sont simples, adaptées aux moyens techniques et humains de chaque entreprise. SYLVAIN KAM, EXPERT EN SÉCURISATION DES FLUX FINANCIERS CHEZ MATA, FAIT LE POINT SUR LES PROBLÉMATIQUES SPÉCIFIQUES AUX PME EN FRANCE ET LES SOLUTIONS SIMPLES À METTRE EN PLACE. QUELS TYPES DE FRAUDE FINANCIÈRE TOUCHENT LE PLUS LES PME ? Quand on prend l’exemple des PME de 50 à 250 salariées, celles-ci ont des services financiers plus légers que les grands groupes, et ne peuvent pas mettre en œuvre des procédures de contrôle aussi poussées. Elles sont particulièrement exposées aux usurpations d’identités de toute nature et aux intrusions informatiques. Sylvain Kam précise « qu’on entend fréquemment parler de la fraude au Président, pourtant elle est en net repli grâce aux campagnes de sensibilisation réalisées sur ce sujet. Mais, en contrepartie, d’autres usurpations d’identités ont pris le relais : la fraude au faux fournisseur représente à elle seule 54% des fraudes en 2018 ! Elle consiste à faire changer frauduleusement les coordonnées bancaires d’un fournisseur par des scénarii très affutés. » Dans le même temps ce qui est en train d’exploser chez les PME, c’est aussi la cybercriminalité. Notre expert en souligne la facilité de mise en œuvre et l’impact de masse qu’elles ont sur leurs cibles. Selon Sylvain Kam, « on est passé de 30% à 50% des fraudes informatiques qui parviennent à leur objectif ». Ces fraudes sont de type « ransomware » pour 20% d’entre elles. La mécanique est simple, il faut pousser le destinataire à ouvrir une pièce jointe infectée qui bloque le poste, se diffuse sur le réseau jusqu’à figer le fonctionnement de l’entreprise et ce, jusqu’au paiement d’une rançon. D’autres techniques sont plus subtiles. Le fameux Dridex Malware est un logiciel malin, un cheval de Troie. Il s’installe directement via le clic sur une pièce jointe et surveille de manière invisible les utilisateurs pendant des mois… Il espionne le fonctionnement de la chaine de règlement, les saisies de mots de passe, pour ensuite prélever de l’argent sur les comptes en toute tranquillité. Le manque de moyens informatiques permet cette explosion de la fraude. En France, en 5 ans 7 entreprises sur 10 ont été victimes de plusieurs tentatives et 1 sur 3 n’ont pas pu les éviter ! QUELS SONT LES RISQUES SPÉCIFIQUES AUX PME ? De fait, la PME ne dispose pas des moyens d’une entreprise cotée au CAC 40 ! Elle est souvent structurée autour de son core-business et peut faire passer en second plan certains processus de contrôle interne, par manque de personnel dans les services comptables. Sylvain Kam précise : « on observe que les PME ne peuvent pas attribuer de ressources supplémentaires afin de séparer les tâches – les services comptables sont compacts et les contrôles informatiques plus légers » – Il n’est pas rare de constater qu’une seule personne peut tout faire, sans aucun contrôle. « Des situations qui ouvrent un boulevard à l’usurpation d’identité. » Les modifications des coordonnées bancaires ne peuvent être vérifiées, elles sont souvent faites dans l’urgence pour régler un fournisseur qui menace – par exemple – de ne pas livrer avant réception du règlement, il faut agir vite et c’est ce que recherchent les manipulateurs : mettre sous pression la personne de contact pour lui faire commettre des erreurs. En observateur privilégié depuis 20 ans, Sylvain Kam peut affirmer que « le levier de la protection optimale contre la fraude se situe en premier sur la partie IT, en comprimant au maximum le temps humain. Il existe des solutions très efficaces, qui offrent une automatisation optimale et permettent d’atteindre un niveau de sécurité suffisant. » Il ajoute « en complément incontournable, il faut sensibiliser les acteurs de la chaîne de règlement à tous les risques liés à la fraude, aux pressions et menaces dont ils peuvent être victimes et enfin, mettre en place des procédures de vérification interne adaptées à l’effectif de la société». QUELS TYPES DE SOLUTIONS SIMPLES DOIVENT-ELLES DÉPLOYER POUR PARER AUX FRAUDEURS ? L’appui incontournable de l’IT ne dispense pas de responsabiliser certains acteurs clés. Toutes les situations du quotidien sont à envisager avec sérieux : saviez-vous que le pire arrive souvent pendant les périodes de congés ou de ponts ? En parallèle de l’approche informatique, il faut d’une part travailler sur la ressource humaine, identifier les acteurs et remplaçants, et d’autre part, trouver des référents dans les équipes de direction et surtout prendre conscience du problème de la fraude afin de mettre en place des procédures de contrôle simples et efficaces. Sans être complétement exhaustif puisque chaque situation est différente, le travail de protection débute souvent de la même façon : il faut changer les mauvaises habitudes ! Pour exemple, beaucoup de PME travaillent avec des sites bancaires où tout est communiqué à la main dans des dossiers non sécurisés qui peuvent être modifiés à la source. Des tâches répétitives et sources d’erreurs. Pourtant, il existe des solutions logicielles pour gagner en sécurisation qui permettent aussi de gagner du temps. Finies les créations de fichiers de règlement, la récupération de ces fichiers par copier/coller et les envois en banque par une énième copie… il est possible et peu couteux d’équiper sa PME d’une solution dédiée qui prend en charge tout le process – de l’acheminement jusqu’à la banque, avec validation avant envoi, canal unique pour toutes les banques utiles et contrôle des coordonnées bancaires. Ces solutions proposent même de la cryptographie qui permet de contrer les malwares, de contrôler les contenus des fichiers des coordonnées bancaires avant paiement, et de les acheminer via un canal sécurisé EBICS TS. Cela permet de gagner du temps en même temps qu’on accroît la sécurité ! CHEZ MATA, QUEL EST LE PRODUIT RÉFÉRENT ET QUELS SONT SES ATOUTS INCONTOURNABLES ?

POURQUOI LA FRAUDE FINANCIÈRE TOUCHE 100% DES ENTREPRISES?

Nos infrastructures ne sont pas infaillibles et internet nous rend vulnérables : Pourquoi la fraude financière touche 100% des entreprises ? POURQUOI LES FRAUDEURS PARVIENNENT À PERCER NOS ORGANISATIONS MALGRÉ LES SOLUTIONS DÉPLOYÉES DANS NOS ENTREPRISES POUR SE PROTÉGER ? LEURS ASTUCES SONT CONNUES ET DES DISPOSITIFS EFFICACES EXISTENT. DÉCOUVREZ NOS BEST PRACTICES. INTERNET CET AMI QUI VOUS VEUT DU BIEN Les nombreuses informations récoltées sur internet permettent aux fraudeurs de passer votre entreprise au crible et d’adapter leurs scénarios à chaque situation. En fonction de vos équipes, de votre métier, de vos outils, ils déroulent leur plan d’attaque selon deux grands modes opératoires: L’usurpation d’identité : faux président, faux banquier, faux directeur, faux avocat ou faux fournisseur ou bailleur (modification d’IBAN). Le fraudeur déroule un scénario extrêmement crédible qui contraint un membre de votre équipe à déroger à une règle de sécurité. La « fraude au président » par exemple a fait beaucoup de victimes ces dernières années. Elle a représenté plus de la moitié des cas et touché de manière égalitaire les grandes entreprises comme les TPE et PME. La fraude interne : fichier piraté, marchandise déroutée, détournement de fonds, vol de données sensibles… pernicieuse, elle infiltre vos outils & process internes. Elle est portée par un ou plusieurs salariés de votre société. Elle représente environ 30% des fraudes. Depuis quelques années, les menaces informatiques pures apparaissent. Elles ne concernent pas votre entreprise en particulier mais se répandent de manière virale via internet et vos emails, c’est ce que l’on appelle le phishing. Ces cyberattaques de logiciels de rançon bloquent l’activité de tout ou partie de votre société de manière durable, et ce jusqu’au règlement de la somme exigée. Petya, Wannacry, Cerber, CryptoLocker ou Locky font partie de ces programmes malveillants qualifiés de « ransomware ». Des fraudes moins rémunératrices mais de grande envergure, car elles se répandent de manière autonome, sans moyen humain particulier. LA FRAUDE FINANCIÈRE, INÉVITABLE ? Les fraudeurs s’appuient sur nos failles. Elles résident fréquemment au sein d’un workflow de paiement peu ou pas assez organisé et sécurisé. Se protéger des failles humaines : il faut veiller à déployer un workflow adapté à son activité, son effectif et ses contraintes. Dans tous les cas, la double validation des virements est obligatoire, tout comme la surveillance de certains pays ou le contrôle de la création de nouveaux bénéficiaires. La signature électronique et le « zéro papier » sont aussi des éléments incontournables d’un bon début processus de paiement. Notez qu’il est bien sûr impossible de confier la création de compte tiers, la saisie de virement et la validation à une seule et même personnes. Se protéger pendant la télétransmission de vos flux financiers : il faut sécuriser la chaine de règlement, c’est-à-dire sécuriser les signataires autorisés pour qu’ils soient certains de ce qu’ils approuvent. Pour cela, une vigilance particulière est nécessaire du moment de la création du fichier de règlement jusqu’à son dépôt sur le serveur de la banque. Chez Mata, nous constituons une base de données unique, référente et cryptée, sur laquelle nous effectuons une vérification des coordonnées bancaires avant envoi en banque. Le cryptage des fichiers de règlements est mis en place dès leur génération et durant tout le processus. Il n’y a pas de modification possible… une assurance incontournable d’éviter la fraude. Pour se protéger des failles informatiques : les outils de type antiviraux et firewall sont impératifs. Ils sont complémentaires et souvent groupés dans la solution choisie : Panda, ScanGuard, Norton, Bitdefender… l’antivirus filtre 99% des logiciels malveillants sous toutes leurs formes. Le firewall lui, filtre le trafic par paquet dans les réseaux et s’adapte en permanence selon les informations actualisées qu’il reçoit. Activer les deux protège la vie numérique de votre entreprise. Le traitement de ces trois axes doit se faire de manière simple, simultanée et inconditionnelle. L’EXPERTISE INDISPENSABLE DE SPÉCIALISTES Toutes les entreprises touchées par la fraude ont sécurisé leurs process et leurs workflows de manière partielle, incomplète. Souvent la confiance accordée aux outils de type ERP est trop large. Avec 20 années de recul & d’expertise, nos équipes peuvent vous assurer que des outils dédiés à la protection sont indispensables. Nous avons protégé plus de 130 clients des fraudes, avec une mise en œuvre ultra rapide de solutions qui se déploient derrière votre ERP en quelques jours. Ne vous privez pas du plaisir de faire échouer la fraude aux portes de votre entreprise.

FRAUDES ET ESCROQUERIES – NOUVELLES TENDANCES

TRACFIN, l’unité de lutte contre la fraude, dévoile dans son rapport les dernières tendances aux escroqueries financières.  Parmi les dernières innovations dont vous pourriez vous-même être victime : la fraude au Prélèvements bancaires (SEPA) Selon le rapport publié mardi 12 décembre 17 par Tracfin, la cellule anti-blanchiment d’argent de Bercy, de nouvelles formes d’arnaques à grande échelle ont pointé leur nez, en 2016. Certificats d’économie d’énergie, prélèvements bancaires, investissements dans les diamants… Prélèvements bancaires : failles de la réglementation européenne exploitées par les fraudeurs Depuis 2014, la norme SEPA a permis d’instaurer, un standard en ce qui concerne les paiements en euros. Mais elle contient une faille dans laquelle les escrocs n’ont pas manqué d’en profiter. Lors de la mise en place d’un prélèvement, la banque n’a plus à vérifier si le client a donné son autorisation. “La banque du débiteur, lorsqu’elle réceptionne une demande de prélèvement, présume de l’existence d’un mandat et débite son client”, explique Tracfin. Les escrocs en profitent donc pour émettre une “vague de prélèvements transfrontaliers, avant de virer les fonds vers des comptes tiers et de disparaître”. Autre moyen de détournement original : certains fraudeurs jouent sur le remboursement automatique, intervenant jusqu’à 8 semaines après l’émission du débit, en cas de contestation auprès de la banque. Ils paient des factures via des prélèvements SEPA, puis demandent un remboursement alors qu’ils ont réellement profité des services achetés… Source : Article Capital.fr « Escroqueries Financières : Les nouvelles failles exploitées par les fraudeurs » Comme mentionné dans l’article ci-dessus, le rapport TRACFIN dénonce les nouvelles tendances à l’escroquerie financière et entre autres la fraude au prélèvement SEPA. Actuellement pour vous prélever, il suffit de connaître le numéro de votre compte bancaire, car la banque n’a aucun moyen de contrôler une autorisation de prélèvement qu’elle ne détient pas. Elle va pouvoir opérer un contrôle sur la forme, mais pas sur le fond. Pour vous protéger de la fraude au prélèvement, MATA I/O CONTRÔLE avec : Le rapprochement direct de la liste blanche des prélèvements autorisés avec les prélèvements annoncés par vos banques. Une alerte automatique en cas de prélèvement non autorisé. La garantie de la bonne exécution de vos ordres bancaires, par la lecture des comptes rendus bancaires PSR et ARA. MATA I/O Contrôle fonctionne de manière complètement automatique, sous forme de service. Il transmet les alertes aux responsables lors de la détection d’un prélèvement ne figurant pas sur la liste blanche. Découvrez notre solution lors de nos prochaines web sessions : 25 janvier 2018 à 15h00 et 22 février 2018 à 15h00.