La gestion efficace des risques de fraude et les questions de cyber sécurité arrivent au premier rang des préoccupations des responsables de trésorerie. En France, depuis 2010, les entreprises ont subi plus de 300 M€ de préjudice lié à de faux ordres de virements émis.
Les faux virements internationaux (ou FOVI), une menace multiforme
Ce type de fraude s'est considérablement développé ces dernières années et recouvre des pratiques diverses :
- L’arnaque au président : la plus médiatisée, un acteur contacte le trésorier par téléphone en se faisant passer pour un haut dirigeant de l'entreprise et lui demande de réaliser dans l'urgence un virement de plus d'1M€. Cette prise de contact est toujours précédée d'un long travail d'« ingénierie sociale » durant lequel l'escroc récolte le maximum d'informations sur l'entreprise visée (noms des dirigeants, organigrammes, actualités de l'entreprise, etc.)
- Usurpation de la signature d'un dirigeant dans un courrier ou un fax adressé à la banque
- Imitation de l'identité d’un fournisseur (adresse email, facture, RIB, etc.)
- Appel à un utilisateur de l'outil informatique de trésorerie pour lui demander de réaliser une action sous prétexte de tests ou d'un nouveau paramétrage (SEPA par exemple)
- Envoi d'un email de phishing à un employé contenant un lien qui télécharge sur son poste de travail un virus qui récupère les identifiants d'accès aux comptes bancaires de l'entreprise
Risk management et trésorier
L’explosion des risques financiers a obligé les entreprises à identifier et cartographier l’ensemble des risques financiers et à y associer des degrés d’impact et de criticité. Depuis quelques années, le trésorier travaille de manière très étroite avec le risque management piloté par la Direction Générale. Des reporting réguliers ont été mis en œuvre et des procédures très strictes, notamment en matière d’encaissement et de décaissement, ont été fixées. Ces règles font office de contrôles réguliers afin de s’assurer que les procédures soient correctement appliquées et donnent lieu à des rapports et des actions si cela s’avère nécessaire. Ces moyens de contrôle sont la plupart du temps informatisés et dématérialisés. De ce fait, le trésorier collabore quotidiennement avec la Direction des Systèmes d’Information pour mettre en œuvre de manière sécurisée les différents contrôles et seuils d’alerte.
La DSI doit jouer un rôle moteur dans la mise en place d'outils et l'adoption de procédures de sécurité
Parmi les outils de contrôle apparus récemment, citons l'application Suite Entreprise Watch proposée par La Banque Populaire qui permet aux chefs d’entreprise de valider ou de refuser des virements avec leur montre connectée. Ou encore la solution IBAN Plus proposée par Swift qui permet de vérifier les informations d'un IBAN avant d'exécuter un virement.
Au niveau des procédures organisationnelles, un système de validation "4 yeux" doit être généralisé au niveau des outils informatiques. En outre, une gestion des référentiels doit assurer qu'aucun utilisateur ne puisse à la fois créer un compte bancaire et saisir un virement.
Autre facteur important, les employés doivent être sensibilisés régulièrement sur le fait de ne jamais communiquer d'informations internes à l'entreprise sur les réseaux sociaux (coordonnées personnelles, planning des dirigeants, cachet de l'entreprise, etc.) ainsi que sur la vigilance à avoir dans l'utilisation de leur messagerie professionnelle.
Les entreprises qui mettent l'accent sur ces thématiques parviendront à renforcer significativement leur sécurité informatique et bancaire et à se prémunir efficacement des risques afférents.
Les faux virements internationaux (ou FOVI), une menace multiforme
Ce type de fraude s'est considérablement développé ces dernières années et recouvre des pratiques diverses :
- L’arnaque au président : la plus médiatisée, un acteur contacte le trésorier par téléphone en se faisant passer pour un haut dirigeant de l'entreprise et lui demande de réaliser dans l'urgence un virement de plus d'1M€. Cette prise de contact est toujours précédée d'un long travail d'« ingénierie sociale » durant lequel l'escroc récolte le maximum d'informations sur l'entreprise visée (noms des dirigeants, organigrammes, actualités de l'entreprise, etc.)
- Usurpation de la signature d'un dirigeant dans un courrier ou un fax adressé à la banque
- Imitation de l'identité d’un fournisseur (adresse email, facture, RIB, etc.)
- Appel à un utilisateur de l'outil informatique de trésorerie pour lui demander de réaliser une action sous prétexte de tests ou d'un nouveau paramétrage (SEPA par exemple)
- Envoi d'un email de phishing à un employé contenant un lien qui télécharge sur son poste de travail un virus qui récupère les identifiants d'accès aux comptes bancaires de l'entreprise
Risk management et trésorier
L’explosion des risques financiers a obligé les entreprises à identifier et cartographier l’ensemble des risques financiers et à y associer des degrés d’impact et de criticité. Depuis quelques années, le trésorier travaille de manière très étroite avec le risque management piloté par la Direction Générale. Des reporting réguliers ont été mis en œuvre et des procédures très strictes, notamment en matière d’encaissement et de décaissement, ont été fixées. Ces règles font office de contrôles réguliers afin de s’assurer que les procédures soient correctement appliquées et donnent lieu à des rapports et des actions si cela s’avère nécessaire. Ces moyens de contrôle sont la plupart du temps informatisés et dématérialisés. De ce fait, le trésorier collabore quotidiennement avec la Direction des Systèmes d’Information pour mettre en œuvre de manière sécurisée les différents contrôles et seuils d’alerte.
La DSI doit jouer un rôle moteur dans la mise en place d'outils et l'adoption de procédures de sécurité
Parmi les outils de contrôle apparus récemment, citons l'application Suite Entreprise Watch proposée par La Banque Populaire qui permet aux chefs d’entreprise de valider ou de refuser des virements avec leur montre connectée. Ou encore la solution IBAN Plus proposée par Swift qui permet de vérifier les informations d'un IBAN avant d'exécuter un virement.
Au niveau des procédures organisationnelles, un système de validation "4 yeux" doit être généralisé au niveau des outils informatiques. En outre, une gestion des référentiels doit assurer qu'aucun utilisateur ne puisse à la fois créer un compte bancaire et saisir un virement.
Autre facteur important, les employés doivent être sensibilisés régulièrement sur le fait de ne jamais communiquer d'informations internes à l'entreprise sur les réseaux sociaux (coordonnées personnelles, planning des dirigeants, cachet de l'entreprise, etc.) ainsi que sur la vigilance à avoir dans l'utilisation de leur messagerie professionnelle.
Les entreprises qui mettent l'accent sur ces thématiques parviendront à renforcer significativement leur sécurité informatique et bancaire et à se prémunir efficacement des risques afférents.
Les médias du groupe Finyear
Lisez gratuitement :
Le quotidien Finyear :
- Finyear Quotidien
La newsletter quotidienne :
- Finyear Newsletter
Recevez chaque matin par mail la newsletter Finyear, une sélection quotidienne des meilleures infos et expertises de la finance d’entreprise et de la finance d'affaires.
Les 6 lettres mensuelles digitales :
- Le Directeur Financier
- Le Trésorier
- Le Credit Manager
- The FinTecher
- The Blockchainer
- Le Capital Investisseur
Le magazine trimestriel digital :
- Finyear Magazine
Un seul formulaire d'abonnement pour recevoir un avis de publication pour une ou plusieurs lettres
Le quotidien Finyear :
- Finyear Quotidien
La newsletter quotidienne :
- Finyear Newsletter
Recevez chaque matin par mail la newsletter Finyear, une sélection quotidienne des meilleures infos et expertises de la finance d’entreprise et de la finance d'affaires.
Les 6 lettres mensuelles digitales :
- Le Directeur Financier
- Le Trésorier
- Le Credit Manager
- The FinTecher
- The Blockchainer
- Le Capital Investisseur
Le magazine trimestriel digital :
- Finyear Magazine
Un seul formulaire d'abonnement pour recevoir un avis de publication pour une ou plusieurs lettres
Autres articles
-
Mountside Ventures lance le premier accélérateur pour VC en Europe
-
KShuttle, la pépite française spécialiste du reporting financier prend des accents canadiens
-
Caceis va plus loin avec Spiko et met désormais ses wallets à disposition des clients institutionnels
-
De Gaulle Fleurance lance son Observatoire des Transitions Numériques
-
Entretien | Mark Kepeneghian, Kriptown. "J'ai toujours eu comme projet de trouver un moyen d'aider à financer l'économie réelle"