64% des entreprises françaises ont été victime d’au moins une tentative de fraude en 2023. Plus d’une tentative de fraude sur deux était liée à une cyber-attaque. La cyber fraude est partout et menace les entreprises – leurs finances mais aussi leurs données confidentielles. Thomas Frénéhard,
- Pourriez-vous vous présenter, expliquer un peu votre parcours et votre expertise relative à la fraude ?
Je suis Thomas Frénéhard, senior manager chez SAP.
Je fais partie de l’équipe solution management, gouvernance, risque et conformité et cybersécurité. Mon rôle est d’accompagner des entreprises dans l’implémentation des solutions GRC (gouvernance, risk & compliance). Je gère une roadmap pour que nos produits répondent toujours aux besoins de nos clients, y compris les besoins futurs.
Par rapport à la fraude, dans la partie GRC, nous nous occupons de tous les risques opérationnels, ce qui inclue les risques de paiement, les risques cyber, etc. Avec les modules de paiement dans les ERP, le fait de pouvoir identifier les risques et de pouvoir bloquer des transactions directement dans l’ERP est une vraie demande de nos clients.
- La cybersécurité prend-elle de plus en plus de poids dans vos responsabilités ?
Oui c’est vraiment une discussion systématique avec les CFOs maintenant. Même lorsqu’on gère d’autres sujets ou verticales comme l’audit interne, il y a toujours un angle cybersécurité.
- Comment décririez-vous l’état de la fraude aujourd’hui ? A-t-elle évolué dans les dans les 5 dernières années en termes de nature, de fréquence, de dangerosité ? Quels sont vos insights sur le sujet ?
Le risque de fraude a explosé, tout simplement. Je ne connais pas une seule entreprise qui n’ait pas été confrontée à ce phénomène.
Si on se réfère au langage criminel, il faut y avoir un mobile et une opportunité. Le mobile d’une fraude n’a pas évolué, il est financier. Mais l’opportunité en revanche, a vraiment évolué. Aujourd’hui il est beaucoup plus accessible de frauder. Avant, il fallait faire un certain nombre de choses : créer une fausse adresse email, de faux emails, etc. Alors oui ce n’est pas si compliqué mais cela disqualifie tout de même un certain nombre de personnes. Aujourd’hui, l’opportunité est partout. On va sur LinkedIn, on trouve le CFO ou le responsable des paiements et on peut aisément créer une adresse email qui pourrait être la sienne.
L’autre sujet c’est le télétravail. De plus en plus de personnes travaillent de chez elles. Quand on était dans un bureau, quelqu’un qui levait la tête, qui disait “tiens, je viens de recevoir un message du CEO, est-ce que c’est normal ?”, c’était tout de suite alarmant.
Maintenant beaucoup d’entre nous travaillent de chez nous et c’est vrai qu’on est plus isolés et que les fraudeurs en profitent. L’opportunité est partout. Et grâce aux aux nouveaux outils comme ChatGPT, les fraudeurs peuvent créer du contenu et des emails très convaincants en quelques secondes.
Aujourd’hui, tout le monde peut être un fraudeur, envoyer des centaines d’emails rapidement..
Un autre point c’est que les fraudes sont beaucoup plus structurées. C’est à dire que la fraude au président existe toujours, et existera sans doute toujours. En revanche, nous sommes de plus en plus confrontés à des groupes cyber armés de manière incroyable et financés. Ils peuvent être financés soit par des groupes illégaux, soit par des États nations.
Certains de nos clients sont confrontés à ça, et là c’est une fraude à très grande échelle : pas que de la fraude au paiement, mais aussi de la récupération d’informations confidentielles sur les clients, sur les fournisseurs ainsi de suite. Ce genre de scénario, j’en entends parler une fois par semaine au minimum,
Une grande difficulté en plus pour le risque cyber, c’est qu’il y a une méconnaissance des assets et des systèmes. Quand on parle de fraude au paiement, on sait où est le paiement, on sait de quel système il doit partir, on sait de quel compte en banque il part et ainsi de suite.
Mais quand on en vient à la cybersécurité, beaucoup d’entreprises sont dans le noir. Elles ne savent pas ou est la donnée confidentielle – voire ce qu’est la donnée confidentielle -. Finalement, énormément de nos clients, avant même de mettre en place des solutions, ont besoin de mapper la donnée.
- En termes de de maturité, comment jugeriez-vous le niveau de maturité des entreprises aujourd’hui face à ces risques ? Trouvez-vous qu’il y a une prise de conscience suffisante, que les entreprises sont mieux armées ? Ou au contraire, y-a-t-il encore un grand nombre d’entreprises qui sont loin d’avoir les bonnes mesures en place ?
Je vais dissocier attaque externe et attaque interne.
Le fait qu’il y ait un attaquant externe je pense que tout le monde est au courant. En revanche, peu d’entreprises ont conscience des enjeux internes. Par exemple, beaucoup d’entreprises ont implémenté le télétravail, avec les outils de protection qu’il faut (VPN, etc). Mais quand on regarde les statistiques, la fraude est majoritairement faite par des employés en interne. Et ca, les entreprises en ont peu conscience.
Au-delà de la conscience du risque, la question c’est savoir quoi faire, et aujourd’hui les entreprises ne le savent pas. Même si elles sont équipé de systèmes de protection, de pare feux etc, elles recoivent tellement d’alertes au quotidien qu’il est impossible de tout vérifier dans le détail. Et bien sûr au milieu de toutes ces alertes il y en a une qui est réelle. Les entreprises avec lesquelles je travaille sont gigantesques et ont de nombreux systèmes complexes.
- Selon vous, en termes d’outils, quelle est la réponse optimale pour combattre la fraude et combattre les cyberattaques ?
Je pense que la première chose c’est de régler le problème interne.
Revoir les droits d’accès : qui a accès à quoi ? Aujourd’hui dans certains pays comme les US, il y a des lois et réglementations qui imposent par exemple la ségrégation des tâches, pour empêcher la fraude interne. Mais dans les petites entreprises, on n’a pas le choix.
Quand on a une équipe de 10 personnes qui s’occupent de toute la partie admin, il y aura forcément une personne qui aura plusieurs tâches conflictuelles. Il faut mettre en place dans la mesure du possible des contrôles d’accès, des contrôles compensatoires etc.
Pour les attaques externes, il faut commencer par déterminer ce que l’on doit protéger. Encore une fois, rien ne sert d’installer plein de solutions si l’on ne sait pas vraiment ce que l’on doit protéger.
En ce qui concerne les solutions de détection de la fraude, il faut être sûr d’investir dans des solutions qui vont être mises à jour régulièrement pour s’adapter aux nouveaux schémas, signatures de fraude etc. Les attaquants changent très régulièrement de techniques et de méthodes.
Et en ce qui concerne la donnée, il faut aussi bien mesurer les actions. Parce que tout mettre en confidentiel et bloqué en interne ne fonctionne pas non plus. S’il faut demander une validation pour chaque document, ca ne va faire que ralentir les processus. Il faut catégoriser les informations en fonction de leur confidentialité, de leur niveau d’importance etc.
- Est-ce que vous auriez des exemples spécifiques de tentatives de fraude ou de tentatives de cyberattaques finalement, dans ces dernières années ?
Certaines attaques sont ont publiques et d’autres ne le sont pas.
Toyota par exemple. Ils ont eu une attaque cyber sur leur chaîne de production qui a mis HS toute la production pendant plusieurs semaines voire plusieurs mois sur leurs sites au Japon. Tout ca pour une demande d’argent via un ransomware, des systèmes qui sont assez couramment utilisés.
Des exemples, il y en a tous les jours. Il y a des attaques purement pécuniaires avec des ransomwares très ciblées. Et après il y a des attaques de plus grandes envergure, qui proviennent d’un état – la Corée du Nord, la Chine, etc. – pour attaquer les infrastructures d’un autre état. Cela arrive assez fréquemment contre l’Ukraine ou les Etats-Unis par exemple.
- Pensez-vous que la fraude va continuer à augmenter dans les 12 prochains mois ? Quels conseils donneriez-vous aux entreprises pour se prémunir contre ce phénomène ?
La fraude va continuer, ça c’est indéniable.
On voit aujourd’hui des fraudes initiées par l’intelligence artificielle, c’est à dire que le machine learning et l’ordinateur font tout à la place du fraudeur. Il n’a même plus besoin de trouver une cible spécifique, il va donner des consignes à l’IA pour trouver la bonne cible.
Et plus les fraudeurs utilisent l’IA, plus il devient crucial que les entreprises l’utilisent aussi. Aujourd’hui mon conseil pour les entreprises, ce serait d’évoluer avec les fraudeurs et d’investir dans la recherche, dans des solutions innovantes qui évoluent constamment.
Il faut être à l’affut, investir dans des systèmes de détection évolutifs.
C’est évidemment plus compliqué pour les petites entreprises qui n’ont pas nécessairement les moyens et les ressources à disposition.
Mon espoir repose beaucoup sur les législations et les régulations. On entre vraiment dans une économie digitale et il est donc nécessaire d’adapter les législations en vigueur. Et ce sont ces législations qui vont pouvoir aider les entreprises et les protéger.
J’ai bon espoir que les entreprises ne soient plus toutes seules à combattre ce fléau, mais qu’elles puissent se se regrouper, qu’elles puissent s’adosser à des organismes non professionnels, mais étatiques ou supra gouvernementaux qui pourront les aider avec des bonnes pratiques.
A retenir
- La fraude en entreprise est de plus en plus cyber, ce qui la rend plus difficile à détecter et à prévenir.
- La fraude interne est souvent sous-estimée et représente pourtant une part important des évènements de fraude.
- Les fraudeurs utilisent les derniers outils en date – IA, ChatGPT – pour commettre des fraudes rapidement, à une échelle industrielle.
- Les entreprises doivent lutter à armes égales en investissant dans des outils qui utilisent les technologies les plus avancées.
Vous souhaiter bloquer les effets financiers de la cyber fraude, contactez l’un de nos experts !
