Fraudes et cybercriminalité : comment s’en prémunir ?

Points de vue d’expert | 1 mars 2015

Accueil Mag’Expert Fraudes et cybercriminalité : comment s’en prémunir ?

 

Nous observons une progression importante et régulière de la fraude et de la cybercriminalité auprès du grand public et des entreprises. L’essor du numérique (réseaux sociaux, big data, cloud, objets connectés, etc.) couplé aux effets de la crise économique de 2008 (progression de la pauvreté, difficultés des entreprises, pression fiscale, etc.) ne sont certainement pas étrangers à cette tendance. Les tentatives d’escroqueries sont de plus en plus variées et fait nouveau, les PME particulièrement affectées par ce fléau.

A l’image des plus grandes entreprises, ces dernières doivent engager une réflexion globale sur leurs problèmes de sécurité sous peine de devenir de nouvelles victimes, avec des conséquences parfois dramatiques pour leur pérennité. Retour sur quelques unes des nouvelles pratiques en matière de fraude et de cybercriminalité qui ont cours depuis quelques mois, et conseils pratiques afin de limiter tant que faire se peut l’exposition de son entreprise à ces typologies de risques…

 

Actualité de la fraude – Les nouvelles pratiques détectées

Quelques cas de fraudes externes

Les fraudes au Président

Elles consistent à faire pression (avec autorité) sur une personne du service comptable de l’entreprise en se faisant passer pour le Président de la société, et demander à la personne de réaliser un virement confidentiel de toute urgence. En général, les fraudeurs récupèrent toutes les informations (organigramme, signatures, imitation de voix, etc.) via le site internet de la société (d’où la nécessité de d’être vigilant sur les informations disponibles sur les sites, les réseaux sociaux, etc.). A noter : on estime qu’une moyenne de deux grandes entreprises en sont victimes chaque semaine en France actuellement.

Comment s’en prémunir ?

  • En cas de moyens de paiement dématérialisés, imposer systématiquement une double signature électronique 
  • Mettre en place un circuit de validation avec des personnes différentes, tout en évitant une rigidité excessive (collège de validation, fonctionnalités de cryptage, etc.) 
  • Former et informer les services comptables et financiers 

Les fraudes aux prélèvements SEPA

Ces dernières sont très courantes. Elles consistent à récupérer des RIB sur des sites internet, sur des factures fournisseurs ou par tout autre moyen, et de les utiliser pour effectuer des prélèvements frauduleux. De très nombreux RIB sont disponibles sur internet (avec une simple recherche Google et le mot clé « 30003 », on trouve facilement le RIB d’entreprises).

Idem pour nos factures qui comportent nos coordonnées bancaires et peuvent être récupérées par n’importe qui… Avec l’apparition du prélèvement SEPA, qui a remplacé les autorisations de prélèvement, la responsabilité en cas de fraude est désormais du côté de l’entreprise et non plus de l’établissement financier.

Comment se protéger ?

  • Limiter les prélèvements et sécuriser leur traitement administratif 
  • Protéger ses coordonnées bancaires (attention aux informations sur nos factures, aux informations disponibles sur internet, etc.) 
  • Utiliser un service bancaire approprié qui permet de connaître en amont les prélèvements SEPA à venir par une notification automatique, donc de pouvoir contrer d’éventuels prélèvements suspects 
  • Faire en sorte que le RIB soit un fichier crypté et non plus un numéro visible

 

 

Les entreprises ne sont également pas à l’abri de fraudes commises en interne, souvent plus difficiles à détecter rapidement que les fraudes externes…

Parmi les plus courantes, citons : Les fraudes aux faux virements

Ces dernières consistent fréquemment à régler de vraies factures fournisseurs par virement sur un RIB autre que celui du fournisseur.

Comment s’en prémunir ?

  • Contrôler régulièrement la validité de la base fournisseur et des RIB correspondants
  • Pouvoir différencier les RIB nouvellement créés et les RIB historiques
  • Bien séparer les tâches entre la personne qui valide les virements et la comptabilité Utiliser au mieux les nouvelles sécurités mises en place par les banques 

Les modifications des fichiers de paiement 

Ce type de fraude est très courant. Il consiste à modifier le fichier de paiement généré par un logiciel (exemple : l’établissement des paies permet de générer un fichier « txt » de virements qu’il est ensuite possible de modifier manuellement, en modifiant un montant, un numéro de RIB, etc.).

Comment se protéger ?

  • Sécuriser les échanges de fichiers : ne pas laisser télécharger des fichiers de paiement en clair sur les réseaux 
  • Au niveau du système d’information : 

    • Opter pour une solution de cryptage des données 
    • Veiller à la sécurité des outils de gestion de flux entrants et sortants 
    • Empêcher toute rupture de la chaîne du système d’information des fichiers STP (straight to process) vers les banques 

 

Vous êtes victime d’une fraude ? Il convient de contacter rapidement sa banque, ainsi que l’Office Central de la Répression de la Grande Délinquance Financière, qui centralise les informations sur les fraudes aux entreprises liées à des cyberattaques.

A noter : les quatre cas présentés ci-dessus ne constituent que des exemples de cybercriminalité. D’autres cas fréquents de fraudes sont quotidiennement identifiés (fausses factures, collusion entre acheteurs et fournisseurs, fausses demandes de l’administration fiscale, etc.).

S’il faut retenir 3 points pour se prémunir de toute mauvaise surprise, quelle que soit la taille de son entreprise :

  • Mettre en place des circuits de validation qui doivent rester secrets Ne communiquer aucune coordonnée bancaire sans vérifications 
  • Etablir des rapprochements bancaires quotidiennement 
  • Renforcer la séparation des fonctions 

Dans le cadre d’une démarche de prévention, il est également judicieux, au-delà des mesures de précautions citées plus haut, d’obtenir un regard externe sur les pratiques appliquées par la société en matière de contrôle interne de son système d’information.

La démarche de l’auditeur externe pourra prendre la forme suivante : Un audit en deux volets…

  • Vérification de la sécurité des installations physiques 
  • Vérification de l’intégrité du système et des flux d’information … 
  • et en 3 étapes : 
  • Prise de connaissance du système d’information 
  • Revue de l’environnement du contrôle informatique 
  • Revue ciblée des processus et des applicatifs 

Nous nous appuyons sur une équipe dédiée et un savoir-faire pragmatique en matière de sécurisation et d’optimisation des systèmes d’informations.

N’hésitez pas à nous contacter pour toute question ou besoin d’accompagnement.

 

Quelques définitions

  • Fraude : acte intentionnel réalisé par un salarié (fraude interne) ou un tiers extérieur (fraude externe), afin de retirer un avantage en général financier selon des moyens illicites. 

     

  • Détournement d’actifs : transfert illégal d’un bien du patrimoine de l’entreprise à celui d’une personne interne à l’entreprise, ou externe, ou une autre entreprise. 

     

  • Fraude comptable : manipulation intentionnelle des comptes dans le but de donner une image enjolivée de la réalité. Ne génère pas nécessairement pour le fraudeur un gain financier personnel. 

     

  • Corruption : acte d’offrir, donner, recevoir ou solliciter quelque chose de valeur en vue d’influencer une décision ou obtenir un avantage la plupart du temps financier.

     

  • Cybercriminalité (ou criminalité informatique) : matérialisée par la réalisation de délits effectués au moyen d’équipements informatiques et d’Internet. Exemples : diffusion de virus informatiques, téléchargement illégal, actes de phishing, vols d’informations bancaires telles que des données bancaires.