Quel contexte pour la fraude ?
Situation en France
Les résultats du baromètre DFCG 2020 placent l’usurpation d’identité comme la technique la plus plébiscitée par les fraudeurs. Parmi ses différentes formes, la fraude au faux fournisseur est toujours la plus pratiquée (48% des répondants). Elle est suivie par la fraude au faux président qui a sensiblement progressé (38%), les autres usurpations d’identité (banques, avocats, commissaires au compte – 31%) et la fraude au faux client (24%).
La fraude en chiffres
- 2 entreprises sur 3 ont subi au moins une tentative de fraude en 2021, et 1 entreprise sur 5 a subi plus de 5 attaques
- 33% des entreprises victimes de fraude ont subi un préjudice supérieur à 10 000 euros. 14% ont subi un préjudice supérieur à 100 000 euros
- Près d’une entreprise sur deux a remarqué une augmentation des attaques suite à la généralisation du télétravail (Covid-19)
Les différents types de fraudes en B2B
Fraude au faux fournisseur
La fraude au faux fournisseur est la technique la plus utilisée par les cybercriminels lors des trois dernières années. Selon la dernière étude publiée en 2020 par Euler Hermes et la DFCG, les fraudes au faux fournisseur représentent près de la moitié des fraudes représentées. Cette typologie de fraude consiste à se faire passer pour un fournisseur de l’entreprise afin d’obtenir le paiement d’une ou plusieurs factures. Si la technique peut paraître grossière, elle est pourtant très répandue et largement utilisée par les fraudeurs. Depuis 2017, elle est la fraude préférée des cybercriminels.
Fraude au faux président
L’arnaque dite « au président » a été mise en avant ces dernières années et continue de sévir auprès de tous les types d’entreprise. Elle repose sur l’ingénierie sociale qui consiste à soutirer frauduleusement des informations à des fins d’escroquerie.
Les cas de fraude au président ont été nombreux en France ces dernières années. Elle consiste à usurper l’identité d’un donneur d’ordre pour exiger d’un collaborateur un important virement, généralement en urgence et de façon confidentiel.
Fraude au faux client
La fraude au faux client prend différents visages. En effet, elle vise à mieux extorquer par la ruse des fonds ou des marchandises aux entreprises. Un faux client est un fraudeur usurpant l’identité d’un client ou d’un fournisseur. La fraude vise à détourner des fonds ou des marchandises d’une entreprise, en signalant un changement d’adresse, un changement de coordonnées bancaires, ou bien en réclamant la restitution de fonds versés après la signature d’un devis.
Rançongiciel
Les attaques par rançongiciels sont de plus en plus prégnantes depuis quelques années. Le contexte actuel engendre pour les institutions et les entreprises une digitalisation massive, augmentant ainsi les opportunités pour les hackers. S’ils rechignent à financer la cybercriminalité, certains groupes font malgré tout le choix de céder au chantage des pirates.
#Rançongiciel (#Ransomware) - Vos données sont prises en otage ! 💰
— ANSSI (@ANSSI_FR) January 26, 2018
Une #infographie pour comprendre et se prémunir de ces attaques aux fortes capacités de nuisance, pour les particuliers comme pour les entreprises
➡️ https://t.co/foYhINcBwO pic.twitter.com/zh1mzbih5R
Fraude interne
La fraude interne se définit comme une tromperie ou une dissimulation intentionnelle dans le but d’obtenir un gain financier personnel de la part de salariés malintentionnés. Tous les services de l’entreprise peuvent être concernés : comptabilité et paie, direction financière, achats, vente…
Trois questions à Jean-Marc Mongredin, directeur adjoint de la comptabilité chez Ellisphere
Comment Ellisphere gère-t-elle le risque de fraude au quotidien ?
Tout d’abord, tous les collaborateurs de notre direction financière sont conscients des risques de fraude. Ils sont régulièrement informés et sensibilisés aux différentes techniques de fraude utilisées. Au quotidien, nous nous appuyons sur des procédures écrites et des workflows de validation digitalisés.
Concrètement, quelles actions ont été mises en place pour gérer ce risque ?
Le nerf de la guerre, c’est la sensibilisation et le bon sens. Il s’agit avant tout de ne faire aucun changement sans l’avoir préalablement validé, surtout pas si la demande émane d’un simple appel téléphonique, un email ou un courrier postal. Dans ce cas, une procédure s’impose. Il faut appeler le demandeur avec un contact bien identifié en interne (par l’acheteur qui connaît son fournisseur, le commercial qui suit son client, etc.) afin de certifier toute demande paraissant sensible.
Dans le cadre de la fraude au président par exemple, nos process existants rendent quasi-impossible ce risque de fraude. En cas d’appel ou de demande de la sorte, il faut prendre l’initiative de rappeler systématiquement et directement notre présidente afin de lui rappeler nos règles. En cas de fraude avérée, nous ferons une remontée d’incident à notre service juridique.
Notre deuxième axe de lutte contre la fraude se concentre sur un ensemble de procédures avec une séparation stricte des tâches de chaque collaborateur.
- Des procédures et des workflows
Nous avons écrit et mis en place plusieurs modes opératoires qui décrivent les process de validation de chaque grande famille de flux financiers. Tous les acteurs de notre société savent que nous ne pourrons faire aucun transfert (même ceux extrêmement urgents) hors de nos circuits de validation où chaque changement de donnée sensible doit être approuvé.
Nous avons une procédure à respecter pour valider tous les points de contrôle jusqu’à l’exécution d’un virement. Quotidiennement, toute demande de flux comptable et financier doit incorporer nos circuits d’acceptation (pour les achats, les factures clients et les demandes d’avoir, les notes de frais, etc.) avec des workflows de validation digitalisés qui commencent dès la demande initiale jusqu’au règlement final pour un fournisseur ou l’envoi d’une facture ou d’un avoir client après validation d’une commande et dépôt dans une contrathèque.
- Des séparations de fonction
La séparation des fonctions dans notre société fait que les personnes qui effectuent des virements n’ont aucune habilitation à changer des IBAN ou effectuer des achats, ou encore intégrer des pièces autres que les pièces de banques. Prenons l’exemple de nos factures d’achat, toute demande doit faire l’objet d’une commande. Cette demande validée par une personne autorisée sera rapprochée de la facture digitale qui fera elle-même l’objet de vérification (adresse, entité, IBAN) par la comptabilité fournisseur.
Un bon à payer d’un acheteur autorisé permettra d’intégrer le circuit de règlement. Le circuit de règlement est géré par le service trésorerie qui fera également ces vérifications et mettra les factures en paiement. Enfin, le fichier de virement sera confirmé par le système bancaire EBICTS très sécurisé avec deux signataires autorisés qui ont des clés spécialement conçues par une double signature électronique. À noter également que la mise en place de flux dématérialisés, ainsi que la signature électronique, diminuent le risque de fraude avec l’identification forte de la bonne société et du bon interlocuteur.
La crise Covid-19 a-t-elle accentué le risque de fraude chez Ellisphere ?
Dès qu’une crise arrive et s’installe, les cyberattaques ont tendance à s’intensifier. De plus, avec des équipes en distanciel, nous avons vu le nombre d’emails malveillants, type ransomware ou demandes de changement de RIB ou d’entité croître. Toutefois, même si le risque de fraude peut augmenter, il n’y a selon moi pas plus de risque en situation de télétravail qu’en présentiel.
Il faut toujours sensibiliser les acteurs à la fraude. Veiller à s’informer des nouvelles techniques de piratage qui évoluent constamment et surtout bien valider avec qui nous travaillons, approuver les documents qui sont nécessaires à l’exécution de notre fonction et certifier le bon déroulement des opérations.
À l’avenir, il faudra sûrement aller encore plus loin en simulant des cas de fraude pour tester nos modèles et les adapter comme c’est le cas pour notre direction informatique qui envoie de faux emails pour tester la réaction des collaborateurs et mesurer ainsi leur maturité dans la gestion des risque de fraude.