La sécurité des paiements, un enjeu majeur

2 septembre 2020

A lock is displayed in a cloud of currency signs.

Quels sont les principaux types de fraude menaçant les entreprises ?  Comment se prémunir contre la fraude au virement bancaire ou le phishing ? Notre expert Bertrand Godin vous répond. 

Pour combattre la cybercriminalité, les membres du G7 Finances soulignent l'importance de la coopération de tous les agents économiques. Du fait de leur expertise en sécurité, les acteurs des services financiers ont un rôle d'information à jouer auprès des entreprises.

 

La recrudescence indéniable des tentatives de fraude en ligne pendant le confinement s'inscrit dans une tendance de long terme à la hausse, à l'échelle internationale, observée dans tous les secteurs d'activité. Ainsi, selon PWC, 47 % des entreprises dans le monde ont été victimes d'une fraude au cours des 24 derniers mois. Et d'après le rapport Euler Hermès-DFCG, en France en 2019, plus de 7 entreprises sur 10 ont été victimes d'au moins une tentative de fraude et 27 % des entreprises interrogées ont subi au moins une fraude avérée. Quant au préjudice subi, il était supérieur à 10 000 euros pour un tiers des entreprises et excédait 100 000 euros pour 10 % d'entre elles.

Si la pandémie de Covid-19 a entraîné un recours massif au télétravail dans les entreprises, elle a également forcé certains escrocs à changer de terrain d'exercice au profit d'internet. Mais en réalité, ils ont eu recours à deux sortes de procédés bien connus : les cyberattaques de masse, comme l'hameçonnage (phishing en anglais), le smishing (phishing par SMS) ou le partage de liens malveillants sur les réseaux sociaux ; et par ailleurs, les cyberattaques ciblées, parmi lesquelles les fraudes au virement bancaire, dont on distingue quatre types.

 

Fraudes au virement bancaire : quatre grands classiques

  • L'arnaque à la facture fantôme, la plus courante tout d'abord, consiste à envoyer une facture au service comptabilité de votre société qui, s'il ne l'identifie pas comme frauduleuse, la règle. Elle porte généralement sur des montants de quelques centaines d'euros.
  • La fraude au fournisseur, très répandue d'autre part, revêt l'apparence d'un changement de coordonnées bancaires de fournisseurs et suppose que le fraudeur ait collecté des informations sur les fournisseurs de l'entreprise visée, afin de se faire passer pour un fournisseur officiel. Cette fraude est de l'ordre de quelques milliers d'euros.
  • Ensuite, il existe la fraude au président (ou au dirigeant d'entreprise), transposition dans le monde de l'entreprise de l'escroquerie consistant à se faire passer pour l'un de vos proches en difficulté qui demande un virement immédiat. Elle s'élève souvent à plusieurs centaines de milliers d'euros.
  • Enfin, le malware bancaire, moins courant mais plus risqué, est une fraude sophistiquée portant parfois sur des sommes pouvant atteindre un million d'euros. Ce logiciel malveillant envoyé par e-mail redirige les destinataires du message vers une fausse interface bancaire, afin de transférer des fonds vers des comptes offshore.

Bon sens et low-tech en entreprise

Que ce soit à l'échelle de l'économie mondiale ou d'une entreprise, la sécurité des données et la lutte contre les cyberfraudes requièrent la vigilance de toutes les parties prenantes.

Publiques ou privées, les initiatives pour sensibiliser les entreprises à ces risques bien réels abondent, dont le très documenté site de l'État Cybermalveillance . Pendant le confinement, de nombreux acteurs ont organisé des webinaires pour les entreprises sur la protection contre les cyberattaques, présentant les bonnes pratiques, dont certaines sont assez low-tech ou procèdent du bon sens. Encore faut-il avoir le réflexe de les appliquer ! Créer un tableau Excel répertoriant tous les fournisseurs et les comptes bancaires qui leur sont rattachés permet le cas échéant de vérifier facilement que le contact demandant un paiement est bien celui qu'il prétend être. Rappeler une personne à un numéro de téléphone connu, en cas de suspicion d'usurpation d'identité, suffit parfois à lever le doute.

 

KYC, KYT et innovation dans le secteur financier

Si le bon sens est important, en matière de sécurité l'expertise s'avère déterminante. Celle des banques et établissements de paiement est éprouvée, en raison de la sensibilité des données qu'ils traitent et des exigences de conformité auxquelles ils sont astreints. C'est pourquoi ils peuvent accompagner les entreprises dans ce domaine.

Les institutions financières suivent différentes procédures telles que le KYC (know your customer), qui répond à l'obligation de vérifier l'identité de leurs clients et de détecter d'éventuels risques d'intentions illégales, issue des 4e et 5e directives européennes LCB-FT. Les fintechs apportent de nombreuses innovations dans ce domaine. Certaines ont développé leur propre moteur KYT (know your transaction), système permettant d'assurer une parfaite traçabilité de toutes les transactions, qu'il s'agisse d'envois et de réceptions de fonds ou d'opérations de change. Elles utilisent également l'Intelligence Artificielle pour détecter la fraude.

Si la cybersécurité est l'affaire de tous, le rôle essentiel des institutions financières en matière de lutte contre les cyberfraudes garantit des échanges commerciaux sûrs et favorise les relations de confiance entre les entreprises.

 

Article initialement publié dans le magazine Chef d'entreprise et rédigé par Bertrand Godin, Directeur des opérations chez iBanFirst, qu'il a rejoint il y a six ans. Précédemment responsable de l'architecture de paiement et des questions de conformité bancaire, il a pu observer la fraude sous toutes ses formes et réfléchir aux moyens de s'en prémunir.

 

    Simulateu-frais-cachés