Accueil
Envoyer
Imprimer
Partager
La fraude électronique, combien de divisions ? S’il n’est pas souhaitable de céder à la paranoïa, mieux vaut avoir en tête quelques chiffres et faits avérés.
La fraude électronique a principalement pour objectif de détourner de l’argent au profit des pirates. Le mythe du hacker « Robin des Bois » a bien vécu.
Année après année, malgré une communication rassurante des établissements financiers, les statistiques traduisent une hausse constante des montants détournés. Entre 2006 et 2009 par exemple, le Ministère de l’Intérieur français a relevé une augmentation annuelle moyenne de 38% pour l’usage frauduleux des cartes de crédit et de 58% pour la cybercriminalité en général.
Pour cela, les moyens de détournement se diversifient : après les spams nigérians des années 2000, le phishing pour récupérer des données confidentielles, la mode est à l’usurpation d’identité numérique, permettant de réaliser des opérations frauduleuses à la place de la personne ou de l’entreprise légitime. Selon le Credoc, plus de la moitié des personnes usurpées en France, ont fait l’objet de prélèvements de fonds sur leurs comptes bancaires.
- Comme avec les portes blindées de nos appartements, il n’existe pas de protection absolue contre les tentatives d’intrusion.
- Comme avec les portes blindées de nos appartements, il est important de n’être ni la plus facile, ni la plus évidente des victimes
- Plus de 80% des fraudes ont une origine interne, consciente ou pas.
Et pourtant, des parades existent
Face à un tel déluge de chiffres, sans compter les affaires récemment médiatisées de piratage des ordinateurs de Bercy par exemple, il ne faut cependant pas céder à la tentation du découragement. En premier lieu, parce que des solutions techniques existent. Ainsi, il est aujourd’hui possible de contrôler totalement la circulation, l’impression, ou encore la copie sur clés USB, d’une donnée dans le système d’information de l’entreprise. Cette capacité, proposée par les outils dits de DLP (Data Loss Protection), a été développée par des éditeurs spécialistes de la sécurité, qui voulaient répondre aux attentes des entreprises en matière de protection des données personnelles. Elle met en œuvre la surveillance de fichiers, de données (au niveau d’un champ) et parfois même d’informations spécifiées (par exemple un chiffre sensible). Lorsqu’un utilisateur tente de réaliser une opération inadéquate avec ces données, des messages de différents niveaux de gravité l’informent de son erreur, ou bloque carrément l’opération.
Or ces technologies sont assez peu utilisées jusqu’à présent. Ce ne sont pas leurs limites technologiques, ni leurs coûts de mise en œuvre qui posent problème. Mais bien le dialogue inexistant ou incomplet entre les directions informatiques et les directions métiers. En effet, qui, mieux que le trésorier de l’entreprise, peut savoir quelles sont les informations sensibles qui ne doivent pas sortir du périmètre ?
Cette technologie récente procure finalement un bon exemple du statu quo insatisfaisant qui prévaut en matière de sécurité des transactions financières électroniques. A cause de ce dernier adjectif « électronique », en effet, les spécialistes de la finance considèrent souvent que la sécurité des transactions ne les regarde plus. Or, tout bien considéré, les pirates informatiques, qui font tant fantasmer, ne sont jamais que les descendants de Barbe Rouge et consorts. Ils cherchent à intercepter les convoyeurs des richesses. Aujourd’hui, et dans une transaction dématérialisée, ces richesses sont des données. Le transporteur, c’est le réseau. Et l’armateur ? Sans doute la direction informatique (DSI). Mais le propriétaire des données a-t-il le droit de ne pas travailler main dans la main avec l’armateur pour optimiser la sécurité du transport ?
Trésorier et DSI, que mettre en commun ?
Qu’on se rassure, il n’est pas question pour le Trésorier de se mettre à « parler » le jargon de l’informatique et de comprendre les fondements techniques des derniers protocoles de communication. En revanche, il est détenteur de toute une série d’informations que le responsable de la sécurité informatique (RSSI) ignore, tout simplement parce que ce n’est pas son rôle de connaître l’ensemble des contraintes qui pèsent sur chacun des métiers de l’entreprise.
Les éléments réglementaires : par exemple, la loi anti-blanchiment impose des seuils pour les transactions au-delà desquels des vérifications supplémentaires sur l’origine des fonds et l’identité des opérateurs sont exigées. De nombreuses autres « règles » existent et pèsent sur le quotidien du trésorier qui doit évidemment les partager avec la DSI pour obtenir leur mise en œuvre. Il doit aussi, dans la mesure du possible, anticiper les nouveautés réglementaires, que le système d’information devra intégrer. En communicant le plus tôt possible avec la DSI, il facilite son travail, son efficacité et renforce donc la sécurité des transactions.
Les données critiques : le Trésorier sait quelles informations sont clés dans ses processus, et doivent donc être protégées (voire ci-dessus l’alinéa sur le DLP)
Les responsables : pour améliorer leur efficacité, mais aussi pour éviter que des personnes non autorisées n’interviennent sur les processus de la trésorerie, il faut une définition claire des profils et des droits des différents intervenants. L’informatique pourra ensuite choisir les outils adéquats pour sécuriser les processus. Par exemple, des solutions de signature électronique.
On terminera ce tour d’horizon en rappelant deux points essentiels. D’abord qu’en matière de sécurité informatique comme en matière de sécurité routière, la réponse technique ne suffit pas. Il est fondamental de travailler les comportements, donc de former et d’accompagner les collaborateurs de la direction financière. Qui, mieux que le trésorier, saura faire passer les messages sur la sécurité, vue du côté métier ?
Enfin, il est sans doute intéressant de s’interroger aujourd’hui, face à l’évolution rapide des menaces et des contraintes réglementaires, face à l’arsenal mouvant de solutions techniques et bien sûr, face aux évolutions du périmètre de l’entreprise à sécuriser : Pourquoi ne pas considérer les offres de type Saas, qui ont l’avantage d’intégrer rapidement de nouvelles fonctionnalités, souvent à frais constants, toujours sous une forme progicialisée qui facilite le déploiement et la prise en mains ?
www.performancefinancière.com
La fraude électronique a principalement pour objectif de détourner de l’argent au profit des pirates. Le mythe du hacker « Robin des Bois » a bien vécu.
Année après année, malgré une communication rassurante des établissements financiers, les statistiques traduisent une hausse constante des montants détournés. Entre 2006 et 2009 par exemple, le Ministère de l’Intérieur français a relevé une augmentation annuelle moyenne de 38% pour l’usage frauduleux des cartes de crédit et de 58% pour la cybercriminalité en général.
Pour cela, les moyens de détournement se diversifient : après les spams nigérians des années 2000, le phishing pour récupérer des données confidentielles, la mode est à l’usurpation d’identité numérique, permettant de réaliser des opérations frauduleuses à la place de la personne ou de l’entreprise légitime. Selon le Credoc, plus de la moitié des personnes usurpées en France, ont fait l’objet de prélèvements de fonds sur leurs comptes bancaires.
- Comme avec les portes blindées de nos appartements, il n’existe pas de protection absolue contre les tentatives d’intrusion.
- Comme avec les portes blindées de nos appartements, il est important de n’être ni la plus facile, ni la plus évidente des victimes
- Plus de 80% des fraudes ont une origine interne, consciente ou pas.
Et pourtant, des parades existent
Face à un tel déluge de chiffres, sans compter les affaires récemment médiatisées de piratage des ordinateurs de Bercy par exemple, il ne faut cependant pas céder à la tentation du découragement. En premier lieu, parce que des solutions techniques existent. Ainsi, il est aujourd’hui possible de contrôler totalement la circulation, l’impression, ou encore la copie sur clés USB, d’une donnée dans le système d’information de l’entreprise. Cette capacité, proposée par les outils dits de DLP (Data Loss Protection), a été développée par des éditeurs spécialistes de la sécurité, qui voulaient répondre aux attentes des entreprises en matière de protection des données personnelles. Elle met en œuvre la surveillance de fichiers, de données (au niveau d’un champ) et parfois même d’informations spécifiées (par exemple un chiffre sensible). Lorsqu’un utilisateur tente de réaliser une opération inadéquate avec ces données, des messages de différents niveaux de gravité l’informent de son erreur, ou bloque carrément l’opération.
Or ces technologies sont assez peu utilisées jusqu’à présent. Ce ne sont pas leurs limites technologiques, ni leurs coûts de mise en œuvre qui posent problème. Mais bien le dialogue inexistant ou incomplet entre les directions informatiques et les directions métiers. En effet, qui, mieux que le trésorier de l’entreprise, peut savoir quelles sont les informations sensibles qui ne doivent pas sortir du périmètre ?
Cette technologie récente procure finalement un bon exemple du statu quo insatisfaisant qui prévaut en matière de sécurité des transactions financières électroniques. A cause de ce dernier adjectif « électronique », en effet, les spécialistes de la finance considèrent souvent que la sécurité des transactions ne les regarde plus. Or, tout bien considéré, les pirates informatiques, qui font tant fantasmer, ne sont jamais que les descendants de Barbe Rouge et consorts. Ils cherchent à intercepter les convoyeurs des richesses. Aujourd’hui, et dans une transaction dématérialisée, ces richesses sont des données. Le transporteur, c’est le réseau. Et l’armateur ? Sans doute la direction informatique (DSI). Mais le propriétaire des données a-t-il le droit de ne pas travailler main dans la main avec l’armateur pour optimiser la sécurité du transport ?
Trésorier et DSI, que mettre en commun ?
Qu’on se rassure, il n’est pas question pour le Trésorier de se mettre à « parler » le jargon de l’informatique et de comprendre les fondements techniques des derniers protocoles de communication. En revanche, il est détenteur de toute une série d’informations que le responsable de la sécurité informatique (RSSI) ignore, tout simplement parce que ce n’est pas son rôle de connaître l’ensemble des contraintes qui pèsent sur chacun des métiers de l’entreprise.
Les éléments réglementaires : par exemple, la loi anti-blanchiment impose des seuils pour les transactions au-delà desquels des vérifications supplémentaires sur l’origine des fonds et l’identité des opérateurs sont exigées. De nombreuses autres « règles » existent et pèsent sur le quotidien du trésorier qui doit évidemment les partager avec la DSI pour obtenir leur mise en œuvre. Il doit aussi, dans la mesure du possible, anticiper les nouveautés réglementaires, que le système d’information devra intégrer. En communicant le plus tôt possible avec la DSI, il facilite son travail, son efficacité et renforce donc la sécurité des transactions.
Les données critiques : le Trésorier sait quelles informations sont clés dans ses processus, et doivent donc être protégées (voire ci-dessus l’alinéa sur le DLP)
Les responsables : pour améliorer leur efficacité, mais aussi pour éviter que des personnes non autorisées n’interviennent sur les processus de la trésorerie, il faut une définition claire des profils et des droits des différents intervenants. L’informatique pourra ensuite choisir les outils adéquats pour sécuriser les processus. Par exemple, des solutions de signature électronique.
On terminera ce tour d’horizon en rappelant deux points essentiels. D’abord qu’en matière de sécurité informatique comme en matière de sécurité routière, la réponse technique ne suffit pas. Il est fondamental de travailler les comportements, donc de former et d’accompagner les collaborateurs de la direction financière. Qui, mieux que le trésorier, saura faire passer les messages sur la sécurité, vue du côté métier ?
Enfin, il est sans doute intéressant de s’interroger aujourd’hui, face à l’évolution rapide des menaces et des contraintes réglementaires, face à l’arsenal mouvant de solutions techniques et bien sûr, face aux évolutions du périmètre de l’entreprise à sécuriser : Pourquoi ne pas considérer les offres de type Saas, qui ont l’avantage d’intégrer rapidement de nouvelles fonctionnalités, souvent à frais constants, toujours sous une forme progicialisée qui facilite le déploiement et la prise en mains ?
www.performancefinancière.com
