Suite aux Journées de l’AFTE 2022, les 15 et 16 novembre, Trustpair vous propose de revenir sur certaines conférences de ces journées dans une série de 3 articles. Dans ce compte-rendu, nous nous intéressons aux questions de sensibilité et de maturité en matière de fraude.
Trésorier, pièce maîtresse de la lutte contre la fraude
Lors d’une enquête de 2016 menée par la DFCG sur les fraudes subies par les entreprises, celle-ci avait été déjouée à 53% par une initiative humaine, à 28% grâce à des procédures internes et 19% grâce à dispositifs technologique. En comparaison, la DFCG présentait en 2021 80% pour les réactions humaines, 48% par les procédures internes et 47% pour les dispositifs techniques et sécurité IT.
- Les outils ne sont pas l’alpha et l’omega de la lutte contre la fraude, l’homme et les process demeurent les éléments clé.
- Le trésorier en tant que partie prenante clé dans la conception et la mise en place des process de lutte contre la fraude – Pas une simple vigie ou utilisateur des process
- L’impérieuse nécessité de sensibilisation et de formation
Étaient présent lors de la conférence :
- Baptiste Collot, président et cofondateur, Trustpair
- Vincent Loriot, chef de la division management de la sécurité numérique, ANSSI
- Benoit Rousseau, directeur de la trésorerie et des assurances, BEL
- Marie Moin, Directrice formation continue, EPITA
Le nombre de fraude s’est-il réellement accru ? Les fraudes sont-elles plus sophistiquées qu’avant ?
“Il faut définir la fraude, qui est un terme très large : externe ou interne.” – Baptiste Collot, Trustpair
Il est intéressant de constater que sur les persona Finance et Trésorerie, on parle davantage de la fraude au paiement qui inclue une usurpation d’identité. Les fraudeurs ont embrassé la digitalisation bien avant les Directions financières. Nous sommes passés à une fraude qui est complètement digitalisée. Dans le cadre d’une fraude au faux virement par exemple, dans 80% des cas une cyberattaque est impliquée. Il y a une massification de la fraude mais elle est également plus complexe à identifier.
“Les fraudeurs se battent avec des moyens précis et sournois, et en face les trésoriers ont du mal à contrôler l’information. La fraude au faux fournisseur coûte 20 milliards d’euros par an.” – Baptiste Collot, Trustpair
Les risques de fraude et cyber sont-ils si différents ?
“Les modes opératoires entre une fraude et une cyberattaque sont globalement les mêmes.” – Vincent Loriot, ANSSI
La période Covid a contribué à créer un lien de plus en plus flou entre moyens informationnels professionnel et personnel, et donc contribué à baisser la garde. On parlait alors de fraude à l’identité, que l’on voyait énormément.
Le CPF illustre bien la fraude par usurpation d’identité, c’est un exemple très concret du mode opératoire de cette fraude. L’ANSSI a d’ailleurs travaillé sur des mécanismes de prestation qualifiés de vérification à distance. C’est une tendance de fonds. La cybercriminalité s’est multipliée par 4 depuis 2020. Depuis, la croissance continue, est représente un Retour sur Investissement (ROI) fort pour les cybercriminels. De plus, on constate une hausse des attaques aux chaînes de sous-traitances, afin de passer par un fournisseur fragile pour atteindre quelqu’un de mieux protégé.
“On ne peut pas dissocier la fraude et la cybersécurité.” – Vincent Loriot, ANSSI
Votre groupe a subi plusieurs tentatives, quel est votre constat ? La lutte ne passe-t-elle que par les outils ?
“On est attaqué régulièrement mais ce n’est pas nouveau.” – Benoit Rousseau, Groupe BEL
La fraude au président a tendance à disparaître, car les grands groupes ont des processus très centralisés. Toutefois, ce type de fraude peut encore exister, mais on observe une forte diminution dans les grands groupes.
Inversement, il y a une une explosion des tentatives de fraude sur les paiements fournisseurs. En une année, Benoit Rousseau constate pour la première des fraudes avérées alors qu’il y a beaucoup de procédures et de formations en place. Les fraudeurs ont des méthodologies de plus en plus abouties, avec une connaissance parfaite de l’organisation : de vrais noms, des vraies factures… mais tout est faux, et il faut savoir rester vigilants.
Benoit Rousseau ajoute qu’il ne faut pas sous-estimer les autres fraudes qui perdurent, comme la tentative d’intrusion interne dans le cadre de recrutement intérimaire.
“On a été à deux doigts d’embaucher quelqu’un, qui s’était révélé être affilié à des organisations mafieuses pour récolter de l’information dans les grands groupes.” – Benoit Rousseau, Groupe BEL
“Lorsqu’ils organisent des formations, souvent les clients replacent la sécurité numérique dans un contexte de sécurité globale.” – Marie Moin, EPITA
Selon Benoit Rousseau, une solution serait de rendre le e-learning fraude obligatoire dans les parcours d’intégrations à la fonction Finance, Achat, ou encore SI. “Ce dont on s’aperçoit, c’est que souvent les procédures ne sont pas bien comprises par les utilisateurs. Il faut retravailler les procédures pour qu’elles soient mieux comprises. On arrive à la limite de l’humain et le Big Data doit nous aider à aller plus loin.”
Comment se positionne le Trésorier dans l’écosystème, et comment partage-t-il les responsabilités ?
“Cela fait 5 ans qu’on existe et qu’on est à l’AFTE, et on constate un vrai changement de position pour le Trésorier qui se situe en bout de chaîne.”- Baptiste Collot, Trustpair
Le Trésorier hérite d’une donnée dont il n’a pas la maîtrise. Il a un rôle de prescripteur qui le rend responsable de la sécurité des paiements. En d’autres termes, il est le principal bénéficiaire, mais pas le principal utilisateur. La finalité en terme de responsabilité est bien chez le Directeur Financier qui est comptable de ce point-là. On observe des projets menés par des équipes transverses qui doivent être embrassées par différentes équipes. C’est une vraie évolution du rôle de Trésorier, qui se place comme prescripteur dans la lutte contre la fraude.
“Lorsqu’on essaye de lancer un tel projet, on a du mal à trouver un responsable de la lutte contre la fraude : achat, cyber, contrôle interne, Trésorier. Le Trésorier se retrouve fédérateur de tous ces départements.” – Benoit Rousseau, Groupe BEL
La fraude et le cyber dépassent-ils le RSSI ?
“L’impact de la menace est bien réel sur la santé de l’entreprise et sur les résultats financiers, donc la Direction générale et métier y contribuent.” – Vincent Loriot, ANSSI
Il faut dé-siloter pour intégrer la gestion du risque cyber dans la gestion du risque d’entreprise : financier, réputationnel, juridique. L’ensemble des acteurs de l’organisation doivent être des parties prenantes.
Marie Moin précise que les Trésoriers et autres services s’intéressent au sujet, et viennent solliciter des services de sécurité numérique. La formation à la cybersécurité permet elle aussi de sécuriser son entreprise contre la fraude.
Quel est le degré de maturité de la prise en main de ces process au sein de ces entreprises ? Quelle sensibilité des parties prenantes ?
“Tout ce qui est dit ici illustre la nécessité de former et proposer des sensibilisations à l’ensemble des collaborateurs de l’entreprise” ajoute Marie Moin. Chacun a besoin d’une compétence pour sécuriser l’activité globale de l’entreprise, mais aussi l’adaptée à son activité professionnelle.
Sur ce point, Benoit Rousseau confirme que les rappels réguliers sont les plus durs à mettre en place dans l’entreprise.
“La maturité des entreprises grandit, les produits sont lents mais la législation a fait beaucoup pour favoriser la sécurisation.” – Marie Moin, EPITA
“Toutes les fraudes qu’on a eues viennent de la part de boîtes mails de fournisseurs qui se sont faites hackées. Les fournisseurs sont clés dans les processus de sécurisation de leur entreprise.” – Benoit Rousseau, Groupe BEL
Le besoin de formation est global. Il faut appuyer les dispositifs sur des lettres de missions qui viennent du Top Management pour que ça ne soit pas uniquement dû à des initiatives individuelles.
“Le cadre législatif a fait évoluer les choses et les mentalités.” – Vincent Loriot, ANSSI
Pour terminer, chez BEL, Benoit Rousseau explique qu’il est souvent dit que le cash, la sécurité et la fraude est l’affaire de tous. “On essaye vraiment aujourd’hui de former nos populations à la fraude et au risque de fraude, et de faire vivre les formations de telles manières à ce qu’elles ne soient pas uniquement une procédure dans un répertoire. On a fait beaucoup en termes de procédures, d’e-learning. N’oubliez pas qu’une fois la fraude avérée il y a aussi des procédures pour récupérer les fonds”. L’humain ne suffit plus, et faire appel à la data aide à réduire la probabilité de ces opérations soient de plus en plus fréquentes.
Pour conclure :
L’humain reste de la clé de voûte du système. Il faut transformer ce maillon faible en maillon fort, ce qui implique de la sensibilisation et de la formation. Les procédures et les outils ne suffisent pas mais sont devenus incontournables. Les outils deviennent cruciaux et le Big Data permet à ce maillon faible d’être plus efficace.
Cet article vous a intéressé ? Découvrez d’autres comptes rendus des conférences de l’AFTE 2022 sur notre blog :
