Le risque de cyberfraude est reconnu comme un risque majeur. S’il a longtemps était du ressort de la Direction technique (DSI), il est aujourd’hui important de s’appuyer sur un responsable polyvalent, entraînant les collaborateurs dans la prise en compte de ces risques. La Direction financière se positionne comme acteur de l’appréhension des risques et de la sécurisation des flux financiers.
Trustpair vous propose de revenir sur la conférence Financium « Le dirigeant financier face aux risques de cyberfraude – Focus sur la sécurisation des flux financiers« , elle-même basée sur le cahier technique homonyme publié par la DFCG, afin d’adresser les enjeux de la cybersécurité, et de partager les bonnes pratiques.
Etaient présents :
- Christian Laveau, Directeur Audit – Risk Management – Compliance & Qualité, ADP INTERNATIONAL (Modérateur)
- José Teixeira, Product Marketing Manager, Sage
- Nicolas Soulié, Responsable contrôle interne et trésorerie groupe, UNIVI
- Catherine Maameri, Responsable contrôle de gestion, Sage
- François-Xavier Cardon, DAF Groupe, Global Concept/ Paritel
1. Identifier le risque de cyberfraude
Cyber menaces et cyber-fraude : de quoi parle-t-on ?
Selon le site du gouvernement français, il existe quatre grandes familles de cyber menaces :
- la cybercriminalité,
- l’atteinte à l’image,
- l’espionnage,
- le sabotage.
Notre groupe d’experts se positionnent sur la dimension « cybercriminalité », et plus particulièrement sur la cyber-fraude.
Les conséquences d’une cyber-fraude varient d’une entreprise à l’autre : les impacts économiques peuvent aller de quelques milliers d’euros à la disparition de l’entreprise, et les répercussions peuvent s’inscrire sur le long-terme.
On observe alors plusieurs risques liés à la cyber-fraude, à savoir les risques : financiers, opérationnels, concurrentiels, réputationnels, de ressources humaines et juridiques.
La cyber-fraude peut avoir différentes typologies : fraude au virement, ransomware, phishing, usage abusif de droits d’accès, cybersquatting, vol de données, typosquatting, fraude au faux clients, chantage.
« Quand on parle de la cyber-fraude, on fait d’abord un focus sur les flux financiers : le DAF est impacté par la qualité des flux de paiements. C’est fondamental d’apporter cette sécurité. La fraude au virement fait partie du top 5 des fraudes, et est l’une des principales sources de revenu pour les fraudeurs. » – José Teixeira, Sage
La Direction financière face aux menaces
« La trésorerie est le poumon de l’organisation : elle inspire, cash-in , et expire, cash-out. Ne pas sécuriser les flux financiers est synonyme d’étouffement. » – Nicolas Soulié, UNIVI
Si la vulnérabilité du SI finance est bien réelle, autant sur les aspect de paiements – order-to-cash – que sur la gestion des processus, 70% des fraudes avérées proviennent d’une vulnérabilité humaine. Il faut sécuriser les SI via des règles métiers comme la ségrégation des tâches ou le principes des 4 yeux.
« Il faut cartographier les risques et les flux par rapport à l’organisation : par où circulent les flux, lesquels sont à risque ? Il faut aussi limiter le nombre de rupture entre l’ajout d’un tiers et l’envoi des fichiers de paiements en banque. » – José Teixeira, Sage
La fraude résulte d’une usurpation d’identité, il est donc important d’identifier les tiers et les flux, et ainsi de monitorer l’ensemble de la chaîne de paiements jusqu’à l’interaction avec la banque.
« Dans l’ERP par exemple, on peut mettre plusieurs workflow pour valider la demande d’achat via la double vérification, la double signature, ou encore la signature électronique. » – Catherine Maameri, Sage
2. Prévenir le risque de cyber-fraude
Sensibilisation des collaborateurs et culture cyber
« L’humain est central en terme de lutte contre la fraude, et sa sensibilisation est essentielle. Peu importe le niveau de sécurité des outils et des processus, c’est par l’humain que passe les fraudes. » – Catherine Maameri, Sage
Catherine Maameri explique que Sage a mis en place des formations ludiques, interactives, et concises sur les risques de cyber-fraude ou encore la RGPD.
« Chaque module de e-learning se finit par un test. La vigilance et permanente, car une erreur humaine peut avoir de lourdes conséquences (…) La formation continue est essentielle. » – Catherine Maameri, Sage
Pour faire face au phishing, Sage a mis en place une icône de « poisson » dans les boites mail, pour appeler à la vigilance. En cas de doute, les collaborateur activent l’icône pour signaler le mail, puis reçoivent une réponse :
- ce n’est pas une menace,
- c’est bien une menace, félicitation,
- ceci était un test, merci pour votre vigilance.
Politique de sécurité : un autre moyen de prévenir
La généralisation du télétravail a eu pour répercussion l’ouverture des systèmes. Les équipes IT doivent être vigilantes, et gérer les ouvertures des systèmes à l’extérieur.
« Dans une ETI, on utilise des outils sécurisés via des comptes et les logiciels de Trésorerie. La première chose est de séparer les pouvoirs : saisie des données, des paiements, pouvoir de signature, distinction des montants, double signatures… C’est de l’humain, c’est contraignant, mais il faut respecter ces règles. » – François-Xavier Cardon, Global Concept/ Paritel
François-Xavier Cardon ajoute que bien qu’il soit contraignant de mettre en place des règles métiers, les escrocs misent tout sur la faiblesse humaine, comme en cas de fraude au président. La séparation des pouvoirs apporte une meilleure visibilité et appréhension des risques.
« La question est : jusqu’où l’automatisation est bonne, et à partir de quand devient-elle une faiblesse ? » – François-Xavier Cardon, Global Concept/ Paritel
Quel monitoring efficace pour prévenir des fraudes ?
La prévention des fraudes commence par l’intégrité des données et la qualité du référentiel tiers. En effet, si les flux passent par la trésorerie, il faut vérifier qu’ils ne soient pas altérés et les surveiller en continu. Avoir une base maître saine permet d’évincer les risques d’erreur ou de fraude.
« Au regard des normes européennes, dont l’identité numérique, il faut savoir à qui l’on s’adresse, et si cette personne fait partie du réseau de confiance. Cette double authentification permet de séparer les tâches et de tracer les actions des collaborateurs. » – José Teixeira, Sage
« On manipule des bases avec des données sensibles : flux financiers, RIB, adresses. Si les données doivent circuler, il faut définir : qui peut le faire, par où sa passe, et est-ce que le chemin est sécurisé ? On est détenteur d’information de tiers – clients, salariés – la sécurité est primordiale. » – Catherine Maameri, Sage
Quelles vison pour une bonne gouvernance ?
« La cyberfraude est un risque d’entreprise. La maitrise du risque doit venir de la Direction générale. C’est important de mettre en place une politique de gouvernance en accord avec l’ensemble des parties prenantes : juridique, informatique, financière, opérationnelle. » – Nicolas Soulié, UNIVI
Le financier a une vison transverse et fluide sur l’entreprise, ce qui lui procure une bonne visibilité et une meilleure gestion des risques. Il peut coordonner les différentes actions.
« La cartographie des risques est une obligation. C’est important de connaître ses processus, outils, Business Units, données traitées. Une fois établie, on a un niveau de priorisation des risques et un plan d’action clair (qui, quoi, comment, où, quels objectifs chiffrés). » – Nicolas Soulié, UNIVI
3. Réagir au risque de cyber-fraude
Afin d’avoir une surveillance accrue des risques, José Teixeira dresse la liste des processus pouvant être outillés, à savoir :
- le monitoring des données et l’identification des tiers
- la ségrégation des tâches, la double signature, la signature électronique
- les processus anti-fraude et workflow de validation,
- l’identification des sanctions et la génération de black list
En plus de l’outillage, Catherine Maameri ajoute que de bonnes pratiques sont aussi à mettre en place :
- faire un diagnostique des risques encourus par l’entreprise
- fermer les comptes et communiquer en interne en cas d’usurpation d’identité et de perte de droit d’accès
- Etre vigilance et analyser finement chaque situation de crise
Prenons deux exemples de cas de fraude
Nicolas Soulié partage deux situation :
1. Fraude au faux fournisseur
Dans cet exemple, l’entreprise reçois une demande de changement de RIB de la part d’un fournisseur. Pour savoir si cette demande est vraie, le département comptable a collaboré avec le service achat afin qu’il contacte leur interlocuteur habituel. Cette vérification a confirmé que le fournisseur n’avait pas fait de telle demande : c’était bien une tentative de fraude.
« Cela prouve l’importance d’avoir plusieurs personnes qui interviennent dans un processus. » – Nicolas Soulié, UNIVI
2. Fraude au président
Le patron pays d’une filiale italienne reçoit un mail du nouveau Directeur général, basé aux Etats-Unis, lui demandant de faire un virement « urgent » dans le cadre d’un rachat en Pologne. Etant donné que le patron disposait de tous les pouvoirs, et n’a pas concerté l’équipe. Il a réalisé le paiement de plusieurs milliers d’euros. C’était une fraude avérée.
« Il faut toujours bien être au courant des projets en court dans l’entreprise. » – Nicolas Soulié, UNIVI
Pour conclure :
Quels sont les bons réflexes en cas de cyber attaque ?
« Il faut prévenir tout le monde, même si c’est les montagnes russes. » – François-Xavier Cardon, Global Concept/ Paritel
Plusieurs étapes sont à respecter pour gérer au mieux la situation de crise :
- Communiquer en interne et en externe,
- Déposer plainte auprès de la brigade anti-fraude,
- Assurer la poursuite de l’activité et continuer « à vivre », même dans des conditions dégradées.
Focus sur le circuit des flux et les workflow proposés par Sage
« Le flux sort de l’ERP et de la comptabilité. Si vous vous avez mis en place un contrôle des tiers, ça permet d’avoir des bases référentielles. Il rentre ensuite dans un module qu’on appelle « anti-fraude », qui va le vérifier via la mise en place de workflow. Si vous payez des tiers identifiés, il y a des services connectés, des sociétés pouvant garantir ou scorer l’adéquation entre le RIB et le nom d’une société, qui mettront un tampon sur votre liste blanche. En France, vous pouvez vous appuyer sur des sociétés comme Trustpair pour valider cette adéquation. » – José Teixeira, Sage
Ce module anti-fraude assure des workflows spécifique, permettant même de traiter les cas particuliers comme les faux-négatifs. S’il y a un paiement suspect vers un tiers non identifié, un workflow de validation est mis en place.
D’autre processus peuvent être déployés en plus de ce workflow, comme la signature interne, la signature électronique, les 4 yeux, ou la transfert. Le but est d’empêcher toutes rupture dans la chaîne, pour garantir l’intégrité des fichiers de paiements.