Risque de fraude : Trésorier et DSI en première ligne !

Article paru le 7 décembre 2015 | Partager sur les réseaux sociaux

Classé dans : Cybersécurité Gestion Tribune

La gestion efficace des risques de fraude et les questions de cyber sécurité arrivent au premier rang des préoccupations des responsables de trésorerie. En France, depuis 2010, les entreprises ont subi plus de 300 M€ de préjudice lié à de faux ordres de virements émis.

Les faux virements internationaux (ou FOVI), une menace multiforme

Ce type de fraude s’est considérablement développé ces dernières années et recouvre des pratiques diverses :

  • L’arnaque au président : la plus médiatisée, un acteur contacte le trésorier par téléphone en se faisant passer pour un haut dirigeant de l’entreprise et lui demande de réaliser dans l’urgence un virement de plus d’1M€. Cette prise de contact est toujours précédée d’un long travail d’« ingénierie sociale » durant lequel l’escroc récolte le maximum d’informations sur l’entreprise visée (noms des dirigeants, organigrammes, actualités de l’entreprise, etc.)
  • Usurpation de la signature d’un dirigeant dans un courrier ou un fax adressé à la banque
  • Imitation de l’identité d’un fournisseur (adresse email, facture, RIB, etc.)
  • Appel à un utilisateur de l’outil informatique de trésorerie pour lui demander de réaliser une action sous prétexte de tests ou d’un nouveau paramétrage (SEPA par exemple)
  • Envoi d’un email de phishing à un employé contenant un lien qui télécharge sur son poste de travail un virus qui récupère les identifiants d’accès aux comptes bancaires de l’entreprise

Risk management et trésorier

L’explosion des risques financiers a obligé les entreprises à identifier et cartographier l’ensemble des risques financiers et à y associer des degrés d’impact et de criticité. Depuis quelques années, le trésorier travaille de manière très étroite avec le risque management piloté par la Direction Générale. Des reporting réguliers ont été mis en œuvre et des procédures très strictes, notamment en matière d’encaissement et de décaissement, ont été fixées. Ces règles font office de contrôles réguliers afin de s’assurer que les procédures soient correctement appliquées et donnent lieu à des rapports et des actions si cela s’avère nécessaire. Ces moyens de contrôle sont la plupart du temps informatisés et dématérialisés. De ce fait, le trésorier collabore quotidiennement avec la Direction des Systèmes d’Information pour mettre en œuvre de manière sécurisée les différents contrôles et seuils d’alerte.

La DSI doit jouer un rôle moteur dans la mise en place d’outils et l’adoption de procédures de sécurité

Parmi les outils de contrôle apparus récemment, citons l’application Suite Entreprise Watch proposée par La Banque Populaire qui permet aux chefs d’entreprise de valider ou de refuser des virements avec leur montre connectée. Ou encore la solution IBAN Plus proposée par Swift qui permet de vérifier les informations d’un IBAN avant d’exécuter un virement.

Au niveau des procédures organisationnelles, un système de validation "4 yeux" doit être généralisé au niveau des outils informatiques. En outre, une gestion des référentiels doit assurer qu’aucun utilisateur ne puisse à la fois créer un compte bancaire et saisir un virement.

Autre facteur important, les employés doivent être sensibilisés régulièrement sur le fait de ne jamais communiquer d’informations internes à l’entreprise sur les réseaux sociaux (coordonnées personnelles, planning des dirigeants, cachet de l’entreprise, etc.) ainsi que sur la vigilance à avoir dans l’utilisation de leur messagerie professionnelle.

Les entreprises qui mettent l’accent sur ces thématiques parviendront à renforcer significativement leur sécurité informatique et bancaire et à se prémunir efficacement des risques afférents.

Tribune de Saïd Hadjem, Consultant mc2i Groupe

Lire la tribune sur le site : FinYear

Partagez cet article sur les réseaux sociaux