Quotidien finance innovation, innovation financière journal
Financial Year with Finyear
 
 
 
 
 


              

Cyber-sécurité : la validation des virements par fax va progressivement disparaître pour les entreprises en 2016 et ce n’est qu’une étape !


Le nombre de cyber-attaques recensées dans le monde a progressé de 38% en 2015, selon une étude PwC(1). La France est particulièrement concernée (51% sur la même période). Face au développement de la mobilité, du cloud et de la transformation numérique au sein des entreprises, certains process doivent évoluer, pour les aider à se prémunir contre ce phénomène.




José Teixeira
José Teixeira
La menace pèse sur l’accès à la trésorerie, le vol de données et l’usurpation d’identité de l’entreprise. Les virements frauduleux sont l’une des attaques les plus coûteuses pour les entreprises. Une faille subsiste : la validation du virement par fax. Ce processus consiste, pour les entreprises, à valider leurs demandes par fax, après avoir transmis électroniquement leurs fichiers de paiement aux banques.

La France est l’un des rares pays européens à disposer de ce système archaïque et aisé à pirater. En 2016, sur décision des banques, la validation du virement par fax va progressivement être remplacée par un dispositif plus sécurisé. Dans la droite ligne du SEPA, cette mesure n’est qu’une étape dans le vaste dispositif qui sera déployé en 2016 autour de l’identité électronique, pour sécuriser les entreprises, face à la recrudescence de la cyber-criminalité. Décryptage et explications de José Teixeira, Chef de marché Cash management et Electronic banking chez Sage.

Fraude aux paiements : quelles cibles pour quel coût ?

En France, pour la seule fraude aux paiements, l’Office Central pour la Répression de la Grande Délinquance Financière (l’OCRGDF) a recensé un préjudice global de 300 millions d’euros depuis 2010(1). Une étude PwC sur la criminalité financière(2) indique que celui-ci peut s’élever entre plusieurs dizaines de milliers, voire de millions d’euros, par entreprise.

Les petites et moyennes entreprises (PME) ne sont pas épargnées par la fraude, tout en ayant moins de moyens pour s’équiper en dispositifs de prévention et de détection. Toutes les entreprises, quel que soit leur secteur d’activité ou leur taille, sont susceptibles d’être touchées.

Typologies de fraudes : les tests du service bancaire ou le virement au président

Les tests du service bancaires et « la fraude au président » sont les plus courantes. Elles reposent sur la connaissance parfaite d’informations clés sur les entreprises, de la part des escrocs. Il est très facile pour eux de se procurer des données personnelles sur le dirigeant et l’organisation d’une entreprise, via son site internet et les réseaux sociaux. Aucun détail n’est ignoré, de la personnalité des dirigeants aux signatures officielles.

Dans le cas de la fraude par test bancaire, l’escroc se fait passer pour un interlocuteur de la banque, afin d'obtenir des informations confidentielles (codes d'accès, mots de passe). Il demande ensuite à l'entreprise de réaliser des connexions, des mises à jour ou de faire des virements tests au montant élevé. Le fraudeur confirme la demande par de faux mails ou fax, allant même jusqu’à demander aux opérateurs télécom de rediriger les lignes des standards vers leur numéro, rendant inopérants les contre-appels de vérification.

La fraude au président nécessite une ingénierie sociale encore plus poussée en amont. Pour être crédibles, les cybercriminels ciblent les sociétés travaillant avec des fournisseurs étrangers. La destination finale de ces transferts se situe généralement auprès de banques asiatiques.

L’étape suivante consiste, pour l’escroc, à se faire passer pour le Président Directeur Général ou tout autre cadre dirigeant auprès d’un employé du service comptabilité ou trésorerie de l’entreprise. L’escroc prétend devoir réaliser une opération exceptionnelle, confidentielle et extrêmement pressante, telle qu’une acquisition de parts de marché, une OPA ou éviter un redressement fiscal. L’opération nécessite prétendument de faire un virement vers un compte bancaire étranger dans l'urgence, de préférence avant midi ou un week-end. La requête paraît authentique au comptable, l'escroc étant très sûr de lui, s’exprimant comme le dirigeant. Pour induire en erreur le comptable, l’escroc peut utiliser des numéros de téléphone ayant l'apparence de numéros locaux, alors qu’il téléphone via des plates-formes.

Convaincu, le comptable émet alors l’ordre de virement auprès de la banque, qui demande automatiquement que toute requête soit validée par fax ou par mail. C’est à ce stade que la fraude se concrétise. Il existe même des services comme le « mail to fax », proposant d’envoyer jusqu’à 100 fax à partir d’une boîte mail, facilitant ainsi la duperie des entreprises et des banques(3).

Les alternatives à la validation de virement par fax : la signature électronique

Au cœur du stratagème des escrocs, la confirmation de virement par fax constitue une faille pour la sécurité financière des entreprises. Les banques ont donc décidé de l’abandonner en 2016 et de la remplacer par la validation par le portail bancaire ou la signature électronique. Cette mesure sera progressive, mais les entreprises ne doivent pas pour autant attendre d’être victime d’un virement frauduleux pouvant mettre en péril leur survie financière.

La signature électronique comporte de nombreux avantages. Supprimant la confirmation manuelle, elle s’inscrit dans un processus de contrôle et de traçabilité de la validation. Si la signature finale est unique pour tous les paiements, l’association du circuit de validation interne et de la signature bancaire érige une barrière solide pour prévenir la fraude.

La suppression du fax, une étape : le dispositif européen eIDAS arrive !

Face au développement de l’économie numérique, la France n’est pas la seule à vouloir mieux protéger les entreprises. En effet, l’Union Européenne prépare, actuellement, une convergence des systèmes de sécurité, avec la réglementation eIDAS qui sera effective au 1er juillet 2016.

Ce dispositif légal sur l’identification et l’authentification électronique prévoit la mise en place de multiples dispositifs. Les pays de l’Union Européenne devront reconnaître les moyens d’identification électronique des usagers venant d’autres Etats membres. eIDAS instaure également la création d’un cadre pour les Prestataires de Services de Confiance européens (« PSCO »). Leur reconnaissance mutuelle dans l’UE sera établie par leurs signatures et cachets électroniques garantissant la traçabilité, ainsi que des services de fourniture électronique et d'authentification de sites Web.

Si, comme constaté lors du passage au SEPA, les dirigeants d’entreprise ne se sentent pas nécessairement concernés par ce type de règlementations jugées contraignantes, elles ont pourtant tout intérêt à s’y plier, pour rester dans la course du numérique et renforcer leur sécurité financière face à la menace de la cyber-criminalité.

(1) http://www.pwc.fr/cybersecurite-le-nombre-de-cyber-attaques-recensees-a-progresse-de-38-dans-le-monde-en-2015.html
(2) http://www.police-nationale.interieur.gouv.fr/Actualites/Dossiers/L-arnaque-au-president-ou-escroquerie-aux-faux-ordres-de-virement-FOVI
(3) http://direccte.gouv.fr/IMG/pdf/Les_FOVI.pdf

À propos de Sage
Sage, le leader du marché des solutions intégrées de comptabilité et de paie, soutient les ambitions des entrepreneurs à travers le monde. Créé il y a 30 ans, Sage et ses 13 000 collaborateurs présents dans 23 pays accompagnent les millions d’entreprises qui dynamisent l’économie mondiale. Nous réinventons et simplifions la gestion d’entreprise avec des technologies de pointe et en collaborant avec une communauté active de dirigeants de start-ups, de TPE et de PME, de commerçants, de comptables, de partenaires, et de développeurs. En tant qu’entreprise cotée au London Stock Exchange (FTSE 100), Sage a fait du soutien aux associations caritatives locales sa priorité grâce à l’action de la Fondation Sage.
www.sage.com


Les médias du groupe Finyear

Lisez gratuitement :

Le quotidien Finyear :
- Finyear Quotidien

La newsletter quotidienne :
- Finyear Newsletter
Recevez chaque matin par mail la newsletter Finyear, une sélection quotidienne des meilleures infos et expertises de la finance d’entreprise et de la finance d'affaires.

Les 6 lettres mensuelles digitales :
- Le Directeur Financier
- Le Trésorier
- Le Credit Manager
- The FinTecher
- The Blockchainer
- Le Capital Investisseur

Le magazine trimestriel digital :
- Finyear Magazine

Un seul formulaire d'abonnement pour recevoir un avis de publication pour une ou plusieurs lettres

Mercredi 16 Décembre 2015
Notez




Nouveau commentaire :
Twitter

Your email address will not be published. Required fields are marked *
Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *



Recevez la newsletter quotidienne


évènements


Lettres métiers


Livres Blancs




Blockchain Daily News