Suite aux Journées de l’AFTE 2022, les 15 et 16 novembre, Trustpair vous propose de revenir sur certaines conférences de ces journées dans une série de 3 articles. Dans ce compte-rendu, nous nous intéressons aux questions de sensibilité et de maturité en matière de fraude.

Trésorier, pièce maîtresse de la lutte contre la fraude

Lors d’une enquête de 2016 menée par la DFCG sur les fraudes subies par les entreprises, celle-ci avait été déjouée à 53% par une initiative humaine, à 28% grâce à des procédures internes et 19% grâce à dispositifs technologique. En comparaison, la DFCG présentait en 2021 80% pour les réactions humaines, 48% par les procédures internes et 47% pour les dispositifs techniques et sécurité IT.

• Les outils ne sont pas l’alpha et l’omega de la lutte contre la fraude, l’homme et les process demeurent les éléments clé.
• Le trésorier en tant que partie prenante clé dans la conception et la mise en place des process de lutte contre la fraude – Pas une simple vigie ou utilisateur des process
• L’impérieuse nécessité de sensibilisation et de formation

Étaient présent lors de la conférence :

• Baptiste Collot, président et cofondateur, Trustpair
• Vincent Loriot, chef de la division management de la sécurité numérique, ANSSI
• Benoit Rousseau, directeur de la trésorerie et des assurances, BEL
• Marie Moin, Directrice formation continue, EPITA

Le nombre de fraude s’est-il réellement accru ? Les fraudes sont-elles plus sophistiquées qu’avant ?

“Il faut définir la fraude, qui est un terme très large : externe ou interne.” – Baptiste Collot, Trustpair

Il est intéressant de constater que sur les persona Finance et Trésorerie, on parle davantage de la fraude au paiement qui inclue une usurpation d’identité. Les fraudeurs ont embrassé la digitalisation bien avant les Directions financières. Nous sommes passés à une fraude qui est complètement digitalisée. Dans le cadre d’une fraude au faux virement par exemple, dans 80% des cas une cyberattaque est impliquée. Il y a une massification de la fraude mais elle est également plus complexe à identifier.

“Les fraudeurs se battent avec des moyens précis et sournois, et en face les trésoriers ont du mal à contrôler l’information. La fraude au faux fournisseur coûte 20 milliards d’euros par an.” – Baptiste Collot, Trustpair

Les risques de fraude et cyber sont-ils si différents ?

“Les modes opératoires entre une fraude et une cyberattaque sont globalement les mêmes.” – Vincent Loriot, ANSSI

La période Covid a contribué à créer un lien de plus en plus flou entre moyens informationnels professionnel et personnel, et donc contribué à baisser la garde. On parlait alors de fraude à l’identité, que l’on voyait énormément.

Le CPF illustre bien la fraude par usurpation d’identité, c’est un exemple très concret du mode opératoire de cette fraude. L’ANSSI a d’ailleurs travaillé sur des mécanismes de prestation qualifiés de vérification à distance. C’est une tendance de fonds. La cybercriminalité s’est multipliée par 4 depuis 2020. Depuis, la croissance continue, est représente un Retour sur Investissement (ROI) fort pour les cybercriminels. De plus, on constate une hausse des attaques aux chaînes de sous-traitances, afin de passer par un fournisseur fragile pour atteindre quelqu’un de mieux protégé.

“On ne peut pas dissocier la fraude et la cybersécurité.” – Vincent Loriot, ANSSI

Votre groupe a subi plusieurs tentatives, quel est votre constat ? La lutte ne passe-t-elle que par les outils ?

“On est attaqué régulièrement mais ce n’est pas nouveau.” – Benoit Rousseau, Groupe BEL

La fraude au président a tendance à disparaître, car les grands groupes ont des processus très centralisés. Toutefois, ce type de fraude peut encore exister, mais on observe une forte diminution dans les grands groupes.

Inversement, il y a une une explosion des tentatives de fraude sur les paiements fournisseurs. En une année, Benoit Rousseau constate pour la première des fraudes avérées alors qu’il y a beaucoup de procédures et de formations en place. Les fraudeurs ont des méthodologies de plus en plus abouties, avec une connaissance parfaite de l’organisation : de vrais noms, des vraies factures… mais tout est faux, et il faut savoir rester vigilants.

Benoit Rousseau ajoute qu’il ne faut pas sous-estimer les autres fraudes qui perdurent, comme la tentative d’intrusion interne dans le cadre de recrutement intérimaire.

“On a été à deux doigts d’embaucher quelqu’un, qui s’était révélé être affilié à des organisations mafieuses pour récolter de l’information dans les grands groupes.” – Benoit Rousseau, Groupe BEL

“Lorsqu’ils organisent des formations, souvent les clients replacent la sécurité numérique dans un contexte de sécurité globale.” – Marie Moin, EPITA

Selon Benoit Rousseau, une solution serait de rendre le e-learning fraude obligatoire dans les parcours d’intégrations à la fonction Finance, Achat, ou encore SI. “Ce dont on s’aperçoit, c’est que souvent les procédures ne sont pas bien comprises par les utilisateurs. Il faut retravailler les procédures pour qu’elles soient mieux comprises. On arrive à la limite de l’humain et le Big Data doit nous aider à aller plus loin.”

Comment se positionne le Trésorier dans l’écosystème, et comment partage-t-il les responsabilités ?

“Cela fait 5 ans qu’on existe et qu’on est à l’AFTE, et on constate un vrai changement de position pour le Trésorier qui se situe en bout de chaîne.”- Baptiste Collot, Trustpair

Le Trésorier hérite d’une donnée dont il n’a pas la maîtrise. Il a un rôle de prescripteur qui le rend responsable de la sécurité des paiements. En d’autres termes, il est le principal bénéficiaire, mais pas le principal utilisateur. La finalité en terme de responsabilité est bien chez le Directeur Financier qui est comptable de ce point-là. On observe des projets menés par des équipes transverses qui doivent être embrassées par différentes équipes. C’est une vraie évolution du rôle de Trésorier, qui se place comme prescripteur dans la lutte contre la fraude.

“Lorsqu’on essaye de lancer un tel projet, on a du mal à trouver un responsable de la lutte contre la fraude : achat, cyber, contrôle interne, Trésorier. Le Trésorier se retrouve fédérateur de tous ces départements.” – Benoit Rousseau, Groupe BEL

La fraude et le cyber dépassent-ils le RSSI ?

“L’impact de la menace est bien réel sur la santé de l’entreprise et sur les résultats financiers, donc la Direction générale et métier y contribuent.” – Vincent Loriot, ANSSI

Il faut dé-siloter pour intégrer la gestion du risque cyber dans la gestion du risque d’entreprise : financier, réputationnel, juridique. L’ensemble des acteurs de l’organisation doivent être des parties prenantes.

Marie Moin précise que les Trésoriers et autres services s’intéressent au sujet, et viennent solliciter des services de sécurité numérique. La formation à la cybersécurité permet elle aussi de sécuriser son entreprise contre la fraude.

Quel est le degré de maturité de la prise en main de ces process au sein de ces entreprises ? Quelle sensibilité des parties prenantes ?

“Tout ce qui est dit ici illustre la nécessité de former et proposer des sensibilisations à l’ensemble des collaborateurs de l’entreprise” ajoute Marie Moin. Chacun a besoin d’une compétence pour sécuriser l’activité globale de l’entreprise, mais aussi l’adaptée à son activité professionnelle.

Sur ce point, Benoit Rousseau confirme que les rappels réguliers sont les plus durs à mettre en place dans l’entreprise.

“La maturité des entreprises grandit, les produits sont lents mais la législation a fait beaucoup pour favoriser la sécurisation.” – Marie Moin, EPITA

“Toutes les fraudes qu’on a eues viennent de la part de boîtes mails de fournisseurs qui se sont faites hackées. Les fournisseurs sont clés dans les processus de sécurisation de leur entreprise.” – Benoit Rousseau, Groupe BEL

Le besoin de formation est global. Il faut appuyer les dispositifs sur des lettres de missions qui viennent du Top Management pour que ça ne soit pas uniquement dû à des initiatives individuelles.

“Le cadre législatif a fait évoluer les choses et les mentalités.” – Vincent Loriot, ANSSI

Pour terminer, chez BEL, Benoit Rousseau explique qu’il est souvent dit que le cash, la sécurité et la fraude est l’affaire de tous. “On essaye vraiment aujourd’hui de former nos populations à la fraude et au risque de fraude, et de faire vivre les formations de telles manières à ce qu’elles ne soient pas uniquement une procédure dans un répertoire. On a fait beaucoup en termes de procédures, d’e-learning. N’oubliez pas qu’une fois la fraude avérée il y a aussi des procédures pour récupérer les fonds”. L’humain ne suffit plus, et faire appel à la data aide à réduire la probabilité de ces opérations soient de plus en plus fréquentes.

Pour conclure :

L’humain reste de la clé de voûte du système. Il faut transformer ce maillon faible en maillon fort, ce qui implique de la sensibilisation et de la formation. Les procédures et les outils ne suffisent pas mais sont devenus incontournables. Les outils deviennent cruciaux et le Big Data permet à ce maillon faible d’être plus efficace.

Cet article vous a intéressé ? Découvrez d’autres comptes rendus des conférences de l’AFTE 2022 sur notre blog :

• OK AFTE ai-je encore besoin d’un banquier ?
• Fatigués d’être des super-héros ?

Suite aux Journées de l’AFTE 2022, les 15 et 16 novembre, Trustpair vous propose de revenir sur certaines conférences de ces journées dans une série de 3 articles. Dans ce compte-rendu, nous nous intéressons aux évolutions des marchés financiers et des missions du Trésoriers face à la Finance Décentralisée.

OK AFTE ai-je encore besoin d’un banquier ?

Quels sont les risques auxquels le Trésoriers fait face ? Un monde sans banquier est-il possible ? Où en sont les banques aujourd’hui en matière d’innovation ? Blockchain et Finance Décentralisée (DeFi), où en sommes-nous ? Autant de questions qui ont été traitées lors de ces échanges.

Étaient présent lors de la conférence :

• Hugo Bordet, responsable des affaires réglementaires, Adan – Association pour le développement des actifs numériques
• Thibaut Ilhe, global head of digital and innovation / global treasury and financing, L’Oréal
• Isabelle Martz, crypto intrapreneur au sein du département innovation, Société Générale

DeFi, de quoi parle-t-on ?

La Finance Décentralisée (DeFi) est un écosystème d’application qui sont complémentaires à ce qui est proposé par le secteur bancaire et financier. Les services banquiers sont diffusés via la Blockchain, et cette dernière fait d’ailleurs l’objet d’une installation et d’une utilisation exponentielle ces dernières années.

De manière générale, on compte près de 190 milliards d’actifs placés sous gestion.

La DeFi représente une proposition valeur intéressante pour les différents acteurs financiers à travers le monde. Trois grands avantages se dégagent :

• L’inclusion financière : un enjeu important dans certains territoires comme l’Afrique, où les relations avec les banquiers sont complexes, les frais élevés, et où la monnaie fluctue ;
• La transparence des opérations réalisées ;
• L’opérabilité, étant donné que les opérations de DeFi se branchent à plusieurs protocoles.

Hugo Bordet souligne que la DeFi peut concerner plusieurs cas d’usage.

Premier cas d’usage – Decentralized Exchange

Permet d’échanger des actifs sans passer par un acteur décentralisé. En d’autres termes, un Trésorier d’entreprise peut devenir Liquidity Provider pour gérer la stratégie d’entreprise par exemple.

Deuxième cas d’usage – Leading Boring

Signifie faire des emprunts via des crypto-actifs et de pair à pair. Dans ce cas d’usage, il n’y a pas de profit client réalisé, donc d’emprunt de collatéral, ce qui permet d’apporter de la liquidité et de toucher des crypto-actifs.

Troisième cas d’usage – Staking

Valider des transactions sur des Blockchains sans être propriétaire d’un noeud. Il existe des poules de staking pour toucher des rendements sur les différents réseaux.

Les enjeux réglementaires autour de la DeFi

En Europe, la DeFi fait l’objet d’un cadre légal réglementé. On retrouve par exemple l’AML Package ou le Digital Finance Package.

La DeFi nécessite de revoir les paradigmes admis, donc centralisés, car elle est cross border avec des contributeurs répartis à travers le monde.

“La DeFi fait émerger de nouveaux risques auxquels le Trésorier de demain devra s’intéresser. C’est une révolution technologique et financière qui va finir par s’imposer d’elle-même.” – Hugo Bordet, Adan

Autre que l’Europe, comment se positionnent les autres pays ?

Aux Etats-Unis par exemple, il y a un souhait d’initier une réglementation concernant la DeFi, afin de booster en parallèle la compétitivité du pays.

“La Defi est un marché presque exclusivement en dollars, donc les Etats-Unis sont bien positionnés pour développer cette activité sans trop de contraintes.” – Isabelle Martz, Société Générale

“La DeFi, c’est la conquête de l’ouest”

Il faut que la réglementation aille dans les sens de la technologie et de l’innovation, et l’Europe va devoir s’adapter à ce challenge international.

Thibaut Ilhe, L’Oréal, souligne que les banques sont toujours des acteurs incontournables de la finance, mais depuis l’apparition des crypto-monnaies, une question se pose : si demain les clients demandent d’accepter la crypto comme moyen de paiement, comment fait-on ?

• Comment obtenir des crypto ?
• Doit-on se brancher sur une plateforme de crypto exchange ?
• Comment créer des wallets pour y loger les crypto-actifs de manière sécurisée, via la blockchain ?

“Opérer dans web3 nécessite des crypto-monnaies. Une fois qu’on à la crypto, des questions se posent : quels risques, quels usages, comment les convertir ?” – Thibaut Ilhe, L’Oréal

La crypto-monnaie doit être appréhendée sur plusieurs niveaux :

• Au niveau technique : les wallets sont au coeurs du sujet web3. C’est la plupart du temps des outils prévus pour le B2C, donc ce n’est pas évident de les utiliser d’un point de vue corporate. Cela nécessite d’échanger avec des acteurs FintTech pour l’adapter leur produit à ses besoins.
• Au niveau architecture : les modèles évoluent vite. On ne considère pas la crypto-monnaie comme un objet spéculatif.

“La réglementation n’est pas un ennemi de la technologie.”

“On rentre dans une période de maturité où les acteurs veulent se mettre en conformité.” – Hugo Bordet, Adan

“Le frein n’est pas technologique, mais réglementaire. C’est un marché de pair à pair dans lequel tout le monde peut rentrer.” – Isabelle Martz, Société Générale

Le marché de la crypto-monnaie ne représente actuellement qu’une petite part du marché financier global. En moyenne, on compte 55 milliards de dollars de crypto-actifs. Pour autant, il est tout de même confronté à certains risques :

• Liés aux investisseurs : marché risqué du point de vue du banquier,
• Légaux, car les pratiques du marché ne sont pas toutes encadrées,
• Liés à la dépose d’actifs, pouvant conduire à une sur-colatéralisation.

“Quand on a une sortie massive d’actif (actif qui chute, manque de confiance sur un actif), une spirale infernale se créée. Il n’y a pas de hiérarchie de créanciers, et on ne peut pas arrêter le système. Il faut instaurer des règles.” – Isabelle Martz, Société Générale

Pour conclure : “La Defi va arriver doucement mais sûrement.”

Bien qu’avoir recours à un banquier n’est pas prêt d’être obsolète, le marché et les pratiques évoluent à vue d’oeil.

Le marché pourrait tendre vers la Defi permissionnée. En d’autres termes, donner des permissions afin de réguler les acteurs du marché, et de revoir le cadre légal.

De plus, on observe un movement de tokenisation des marchés financiers. Sur la Blockchain, un token est un actif digital, qui de nos jour peut venir remplacer un titre financier.

“La digitalisation des marchés financiers va potentiellement toucher les marchés classiques. Avec les token, tout est plus rapide : négociation, échange… C’est une révolution sur le marché car il prévient du risque de change par exemple, permettant de faire des économies énormes.” – Isabelle Martz, Société Générale

“La réglementation est un incontournable, devant la sécurité. D’un point de vue adoption mass market, l’enjeu est de faciliter l’accès aux wallets. L’adoption sera simplifiée.” – Thibaut Ilhe, L’Oréal

Cet article vous a intéressé ? Découvrez d’autres comptes rendus des conférences de l’AFTE 2022 sur notre blog :

• Trésorier, pièce maîtresse de la lutte contre la fraude
• Fatigués d’être des super-héros ?

Les chiffres de la cybersécurité en 2022 nous dévoile que les entreprises font face à des cybermenaces toujours plus pressantes, complexes et variées. 

La complexité demeure d’ailleurs un facteur soulevé par de nombreuses entreprises pour expliquer leurs vulnérabilités face aux attaques informatiques. La typologie des menaces se diversifie en termes d’intensité et de modus operandi, le cumul d’outils et de fournisseurs gêne les contrôles. 

Surtout, le temps passé par les équipes de cybersécurité à lutter contre les attaques quotidiennes nuit à leur capacité à optimiser les outils et processus de l’entreprise. D’autant que les cybermenaces augmentent comme le montre l’état de la cybersécurité en 2022. 

La nette augmentation des ransomware

Les ransomware (ou rançongiciels) sont au cœur de l’état de la cybersécurité en 2022. Ces logiciels malveillants volent les données d’une entreprise puis exigent d’elle une rançon afin de pouvoir les récupérer. 

La méthode est simple : un arnaqueur envoie un email contenant une pièce-jointe où se trouve le ransomware. Quand l’utilisateur clique sur la pièce-jointe, le ransomware s’active, siphonne les données et bloque le terminal en affichant la demande de rançon. 

Dans certains cas, le rançongiciel peut aussi transiter par les chaînes d’approvisionnement (ainsi de Log4Shell et Kaseya). 

Selon une enquête menée par Splunk concernant l’état de la cybersécurité en 2022, près de 80% des entreprises interrogées ont été victimes d’une tentative de ransomware. 

Les ransomware font donc partie des enjeux de cybersécurité en 2022 les plus menaçants, d’autant plus que les recours demeurent limités. Ainsi, seules 33% des entreprises victimes ont pu récupérer leurs données à partir d’une sauvegarde tandis que 66% ont payé la demande de rançon. 

Le malheureux succès des cyberfraudes

Les entreprises sont au cœur de fraudes au virement ayant recours à des intermédiaires numériques. D’après une enquête menée par Trustpair en 2022, « 50% des fraudes en moyenne impliquaient une cyberattaque » l’année dernière. 

Dans cet intervalle, 95% des entreprises interrogées ont subi au moins une tentative de fraude l’année dernière. Et, dans 75% des cas, la fraude fut un succès. 

L’état sur la cybersécurité 2022 montre que la typologie variée des cyberfraudes rend difficile une vigilance de tous les instants dans l’entreprise : 

• Fraude au RIB (64%*) : l’arnaqueur contacte une entreprise afin d’entrer des coordonnées bancaires frauduleuses dans la base tiers.  
• Fraude au faux fournisseur (43%) : il s’agit d’une mise en application de la fraude au RIB. L’arnaqueur se fait passer pour un fournisseur auprès d’une entreprise, puis demande un changement de RIB. Les futurs paiements sont alors effectués vers le compte en banque frauduleux. 
• Phishing (40%) : le phishing consiste le plus souvent en un email frauduleux dont le but est de collecter des données personnelles sensibles (comme des informations ou accès bancaires). Le fraudeur peut se faire passer pour un supérieur de l’entreprise, ou un membre du service des Ressources Humaines par exemple.
• Fraude au faux client (27%) : il s’agit d’une alternative à la fraude au faux fournisseur. L’arnaqueur prétend être un client et signale un changement d’adresse ou de coordonnées bancaires, afin de détourner des fonds (arnaque au faux devis) ou de détourner des marchandises. 
• Fraude au président (25%) : un fraudeur prétend être un dirigeant de l’entreprise et contacte généralement un membre de la Direction financière. Il exige une transaction confidentielle et urgente, comptant sur la pression induite par sa prétendue position dans l’entreprise afin d’amener la victime à agir rapidement et dans la confusion. 
• Intrusion dans les Systèmes d’Information (9%) : le fraudeur parvient à s’introduire dans le réseau interne de l’entreprise, par exemple en exploitant une faille de sécurité. 

*Pourcentage de fraudes les plus observées par les entreprises interrogées dans le cadre de l’enquête Trustpair « Les entreprises face à la fraude au virement en 2022 ». Téléchargez l’étude dès maintenant. 

Le télétravail : une nouvelle porte d’entrée pour les cybermenaces

L’état de la cybersécurité 2022 a été aggravé par la crise sanitaire les années précédentes, qui a amené les autorités à établir des restrictions afin de limiter les contacts sociaux. Les entreprises ont alors dû s’adapter et adopter le télétravail à marche forcée. La mise en place, précipitée par l’urgence, ne s’est pas faite sans faille. La pandémie fut d’ailleurs un contexte propice à une augmentation sensible des cyberattaques. 

D’après l’enquête Trustpair précédemment mentionnée, 85% des entreprises interrogées considèrent l’augmentation des cyberattaques comme le plus important facteur de vulnérabilité face à la fraude. 

Une propension confirmée par l’étude Splunk, qui révèle que 65% des répondants ont observé une augmentation « légère ou significative » des cyberattaques.  

Cybersécurité en 2022 : un « ras le bol » qui s’installe

Les équipes dédiées à la cybersécurité sont débordées : d’après l’enquête Splunk sur l’état de la cybersécurité en 2022, 73% des répondants indiquent que des collègues ont démissionné pour cause de burn out. 

Un chiffre qui s’explique par la mise sous tension des équipes de cybersécurité : les menaces quotidiennes nécessitent une réactivité permanente. L’augmentation des menaces et leur complexification procèdent aussi de ce constat inquiétant, avec une charge de travail toujours plus importante. 

Quelques pistes d’amélioration pour votre cybersécurité en 2022

Malgré la complexité et la fréquence des menaces recensées dans l’état de la cybersécurité en 2022, des solutions et processus permettent de de diminuer les risques. Plusieurs actions sont entreprises :

• Augmentation du budget dédié à la cybersécurité
• Evaluation des contrôles de sécurité
• Mise en place de l’authentification forte, etc. 

Il existe néanmoins plusieurs aspects sur lesquels il est nécessaire de se montrer particulièrement vigilant face à la cybercriminalité, à commencer par le facteur humain. 

1. L’importance du facteur humain

Dans le cas de cyberattaques associées à une fraude, la manipulation d’un collaborateur de l’entreprise est au cœur de la stratégie employée par l’arnaqueur afin d’arriver à ses fins. 

Des actions de formation et de prévention doivent donc être menées au sein de l’entreprise, notamment pour les équipes les plus à risque face aux hackers, comme les Directions financières. 

2. Respecter la mise en conformité

Malgré l’importance des bonnes pratiques, il est important de ne pas négliger l’aspect conformité quand on examine l’état de la cybersécurité en 2022. De nombreuses normes IT sont édictées sur le contrôle d’accès et d’identité, le partage de données, la protection contre les malwares ou  les politiques de sécurité. 

Respecter et appliquer ces normes permet ainsi à l’entreprise de se mettre en conformité et de diminuer le risque de cyber-attaques. 

3. Adopter une solution anti-fraude

Enfin, il est nécessaire d’éliminer les contrôles manuels, notamment en ce qui concerne les RIB fournisseurs, qui constituent la porte d’entrée privilégiée des fraudeurs. L’état de la cybersécurité en 2022 démontre l’importance de la fraude dans les cyberattaques. 

Vérifier manuellement un RIB est chronophage : pour 80% des entreprises interrogées par Trustpair, il faut compter en général 30 minutes. Ces contrôles sont de plus faillibles et ne permettent donc pas de se prémunir efficacement de la fraude, notamment pour les grandes entreprises. 

Il est donc essentiel de s’équiper d’une solution anti-fraude. C’est le cas de Trustpair : cette plateforme nouvelle génération basée sur l’IA est votre meilleur allié contre la fraude au virement ! Sa plateforme collaborative et agile facilite le travail des équipes compliance et des Directions financières. Grâce au contrôle automatisé, le risque de fraude au virement est supprimé. 

Etat de la cybersécurité 2022 : à l’épreuve des difficultés de recrutement

Malgré les actions menées, les entreprises font face à de réelles difficultés de recrutement. Dans l’enquête de Splunk sur l’état de la cybersécurité en 2022, plus d’un quart des répondants font face à des problématiques liées à un manque de personnel. 

Les répercussions sur les équipes déjà en place sont bien réelles : les collègues subissent une augmentation de la charge de travail et certains se retrouvent à assumer des responsabilités pour lesquelles ils estiment ne pas être prêts. 

De plus, l’état de la cybersécurité 2022 montre une situation qui semble s’aggraver : pour une large majorité d’entreprises interrogées, « il est devenu plus difficile de recruter et de retenir les talents au cours des 12 derniers mois ».