Les fraudes externes associent souvent différentes techniques, dont l’ingénierie sociale, et s’attaquent aux maillons faibles du workflow des règlements. Kyriba a réuni plusieurs spécialistes dont Euler Hermes lors d’une web-conférence pour faire le point, débattre, et proposer des solutions.

La cyberfraude est en forte augmentation

Qu’il s’agisse d’attaques directes, comme on a vu récemment contre SWIFT, ou d’attaques indirectes via des virus ou des chevaux de Troie, la cyberfraude est en plein essor. Elle est fréquemment associée à la fraude aux règlements, sous forme d’ingénierie sociale préalable à l’attaque du « maillon faible » de l’organisation. C’est ainsi que des entreprises aussi organisées que KPMG, Valéo ou Michelin, ont pu connaître des attaques réussies. Avec comme conséquences des pertes de trésorerie et d’exploitation et d’image.

Surtout, ne pas sous-estimer les fraudeurs

« Nous avons tout connu » déclare d’emblée Bernard Gall, Trésorier d’Arianespace et Président de la commission Lutte contre la fraude financière de l’AFTE. Qui détaille :

  • dans les années 80-90 : le pillage des boîtes aux lettres pour y dérober les chèques et les formulaires bancaires,
  • dans les années 90-2000 : l’explosion des faux fax,
  • et au cours des années 2000-2010 : les détournements de virements électroniques et l’ingénierie sociale.

Des stratégies, de l’audace, de la persévérance

Pour ce professionnel du cash, l’imagination des escrocs est à peu près sans limite. E-mails, téléphones, signatures, voix, « les fraudeurs savent tout imiter. Leurs fax contrefont parfaitement ceux de nos banques. Ils n’hésitent pas à appeler nos interlocuteurs. Nous avons même vu de faux tests SEPA lors de sa mise en place. Mais nous ne nous sommes pas laissés prendre. Un test, pourquoi pas, mais seulement… sur 1 centime ! ».

Il ajoute : « les fraudeurs font preuve d’une connaissance souvent impressionnante de votre entreprise. Ils ont des stratégies, de l’audace, et de la persévérance. »

Le rôle clé de la prévention


Le risque de fraude n’est plus une question de probabilité
, mais simplement d’échéance. Le premier objectif consiste à prévenir autant que possible le succès d’une attaque :

  • sécuriser ses systèmes,
  • revoir ses processus,
  • sensibiliser à tous les niveaux.

Cependant, s’accordent les intervenants, une telle préparation ne s’effectue pas en un jour…

L’assurance fraude, une nouveauté en France

Alors qu’elle est très répandue depuis longtemps en Europe, au même titre que les couvertures en matière de dommages ou de responsabilité civile, l’ assurance fraude reste encore une nouveauté dans notre pays. C’est ainsi qu’en avril 2016, 58% des entreprises françaises en ignoraient toujours l’existence, rappelle Michel Van Swieten, Expert Fraude chez Euler Hermes France.

Pourtant, et malgré son champ d’intervention très complet, l’assurance fraude est un produit simple d’utilisation, dit encore le spécialiste, qui précise : « nous couvrons les différents types de fraude dont peut être victime l’entreprise : interne, externe et cyber. Sur ce dernier volet, nous avons récemment étoffé notre contrat pour couvrir la cyber-extorsion, .L’offre couvre les frais d’un prestataire spécialisé qui pourra débloquer la situation et éviter le paiement d’une rançon. »

Une prévention à tous les niveaux, de la standardiste au président


La fraude n’est pas un sujet nouveau.
Mais alors que la fraude interne peut être assez bien maîtrisée par des procédures adaptées, la fraude externe est plus complexe – parce qu’éminemment protéiforme, précisent les intervenants, qui avancent une série de conseils pour développer son sens critique et réagir avec efficacité :

  • Communiquer !
  • Diffuser les scénarios, les plus classiques comme les plus novateurs.
  • Intégrer dans sa réflexion ses banques, ses collaborateurs, les managers, les dirigeants, la police (qui peut participer à des rencontres de sensibilisation en entreprise).
  • Ne pas rester isolé en cas d’attaque : alerter immédiatement toutes les parties prenantes.

Astuce

Les escrocs visent en particulier les horaires de fermeture des banques, ou les jours fériés ? Vous avez la possibilité de jouer avec les fuseaux horaires pour contacter un bureau situé plus à l’ouest (Royaume-Uni, Etats-Unis, Canada), qui pourra agir dans l’urgence.

Intégrer la prévention de la fraude dans la gestion du cash

La lutte contre les fraudes doit trouver une place naturelle dans la gestion du cash. Autrement dit s’intégrer aux quatre dimensions complémentaires d’un bon process : visibilité, contrôle, productivité, coût maîtrisé.

Attention aux exceptions ! S’il convient de mettre en place un workflow rigoureux… celui-ci doit être aussi suffisamment souple pour qu’il ne risque pas de bloquer l’exploitation ! Car dans ce cas on sera bien obligé de faire des exceptions, qui deviendront autant de failles, ajoute Bernard Gall.

Les solutions techniques existent, parmi lesquelles l’usage de clés de validation, le mot de passe à usage unique (OTP, comme one-time password), ou le suivi en ligne des paiements. Cependant la sécurisation du cash passe d’abord par la mise au point de process de validation collectifs.

L’assurance s’impose pour compléter les dispositifs et les outils mis en place pour lutter efficacement contre la fraude.