Lettres professionnelles

Juin 2018

Cinq actions pour protéger son entreprise contre la fraude

11 Juin 2018

Dans un contexte de professionnalisation et d’intensification de la fraude, les entreprises sont plus que jamais exposées. Heureusement, des mesures de précaution existent face à l’augmentation des risques. Entre prévention et protection, tour d’horizon des actions à mener pour lutter contre la fraude.

Par Euler Hermes France

La transformation digitale de l’économie repose sur l’interconnexion croissante des équipements et des services entre l’entreprise, ses clients, ses fournisseurs et ses partenaires. Si elle favorise la compétitivité et la performance des entreprises, elle constitue également son talon d’Achille. La fraude a toujours existé, mais elle a pris un nouvel essor avec la diffusion des technologies comme le big data ou l’Internet des objets, élargissant ainsi considérablement le terrain de jeu des escrocs. Quels outils et bonnes pratiques mettre en place pour se protéger de manière efficace contre un phénomène qui s’intensifie et se professionnalise ?

1. Mettre en place des procédures solides, acceptées et exécutables par tous

Les fraudeurs cherchent et utilisent les failles dans les organisations et les process. La première mesure de précaution consiste donc à mettre en place des procédures solides et valables pour tout le monde, aussi bien les sédentaires que les travailleurs nomades, comme les commerciaux. Mais attention : les procédures les plus efficaces ne sont pas synonymes de risque zéro et, surtout, ne doivent pas nuire au bon sens, l’un des plus sûrs moyens de se protéger.

Règle de base en matière de sécurité : le donneur d’ordre et l’exécutant d’un paiement doivent être deux personnes différentes, afin de séparer les tâches et dupliquer les contrôles. Par ailleurs, il se révèle indispensable de se doter de procédures de vérification et de signatures multiples, en particulier pour les paiements internationaux et pendant les congés et les absences, des périodes qui nécessitent une vigilance accrue. Tout virement ou changement de coordonnées bancaires d’un client ou d’un fournisseur nécessite une double validation. Des plafonds d’engagement peuvent être définis en fonction des degrés de responsabilité.

De plus, le processus de vérification KYC (Know Your Customer) permet de vérifier l’identité d’un client ou d’un prestataire par différents moyens : extrait de KBIS récent, copie de RIB, statuts de la société certifiés conformes, justificatif d’identité du gérant de la société, etc. Ce n’est toutefois pas suffisant, le processus KYC gagne à s’appuyer sur des vérifications d’authenticité ; il existe aujourd’hui des logiciels de contrôle de cohérence des documents présentés, permettant par exemple de croiser l’information donnée avec d’autres sources, de manière automatique.

Enfin, il arrive parfois que certaines situations ou contraintes empêchent ou compliquent l’application stricte des procédures de sécurité prévues. C’est notamment le cas des collaborateurs nomades, qui peuvent être amenés à se connecter au Wi-Fi d’un hôtel ou à des réseaux publics mal protégés. A ne pas oublier également, les procédures en cas d’absence d’un responsable clé pendant les congés, en cas d’événement exceptionnel… Ces exceptions et ces contraintes opérationnelles doivent être repérées, décrites, et faire l’objet d’un contrôle spécifique.

2. Informer et former

Les fraudeurs s’appuient souvent sur des comportements humains pour opérer. Ce phénomène s’amplifie notamment depuis le développement des smartphones et tablettes, qui rendent de plus en plus poreuses les frontières entre la sphère privée et la sphère professionnelle. L’implication des collaborateurs est d’autant plus importante qu’ils sont encore nombreux à estimer que la question de la fraude est une affaire de spécialistes.

Informer les nouveaux arrivants des règles de base en matière de sécurité antifraude s’avère essentiel. Cela vaut pour les salariés, mais également pour les intérimaires, et aussi pour les prestataires extérieurs. Le guide d’accueil ou l’Intranet de l’entreprise peuvent être des relais importants en ce sens, avec des informations sur l’organisation et les procédures mises en place, les bonnes et les mauvaises pratiques, ou encore des exemples de fraude, si possible pris dans l’entreprise, avec les conséquences et les parades mises en œuvre. Une charte de bonne conduite peut également se révéler très utile.

Pour beaucoup, la lutte contre la fraude est une question de bon sens qu’il convient de cultiver. Mais la force des escrocs réside également dans leur imagination et leur capacité à toujours avoir un coup d’avance sur les dispositifs de sécurité. D’où l’intérêt de sensibiliser régulièrement les collaborateurs en les amenant à se poser les bonnes questions et à développer leur esprit critique et leur capacité d’analyse.

3. Sécuriser les systèmes

Un réseau totalement décloisonné est particulièrement vulnérable. En effet, le moindre incident peut se propager à tous les équipements, jusqu’aux serveurs critiques. Dès la conception de l’architecture du réseau, il faut donc penser à distinguer les postes de travail utilisateurs, ceux des administrateurs, les serveurs métiers, les infrastructures, etc. Internet étant la porte d’entrée des cyberfraudeurs, il faut sécuriser son accès avec une passerelle comprenant au minimum un pare-feu.

Certaines PME sont contraintes d’interrompre leur activité suite à une attaque qui leur a fait perdre l’ensemble de leurs données. Une conséquence terrible quand on sait qu’une simple sauvegarde aurait suffi pour éviter cette mésaventure. Une procédure spécifique permet de définir les données considérées comme critiques, le nombre de sauvegardes, leur fréquence, leur localisation externe et sécurisée, les autorisations d’accès, etc. Au moins une fois par an, il est conseillé de réaliser un exercice de restauration des données et de conserver une trace technique des résultats.

Par ailleurs, l’audit régulier du système d’information est nécessaire pour évaluer si les mesures prises pour assurer la sécurité sont efficaces, et si cette efficacité se maintient dans le temps. Il permet également de mesurer les écarts entre la théorie et la pratique. Réalisés en interne ou par une société spécialisée, ces audits peuvent être obligatoires pour des entreprises qui doivent se conformer à des réglementations. Tout audit débouche sur des pistes d’amélioration, mais un audit réussi ne veut pas dire que le risque a disparu…

Le plan de reprise d’activité (PRA) recense l’ensemble des dispositifs et infrastructures à mettre en place, ainsi que les démarches à entreprendre pour restaurer un système informatique en cas de sinistre : incendie, panne, dégât des eaux, cyberattaque… Il prévoit notamment une bascule du système endommagé vers un autre, la mobilisation des collaborateurs, les délais d’intervention, etc. Ce plan doit être testé régulièrement pour s’assurer qu’il reste toujours efficace malgré les changements intervenus dans l’organisation ou le parc informatique.

4. Dématérialiser les procédures

La fraude documentaire a été largement facilitée par la démocratisation des outils bureautiques – avec comme conséquence la production de pièces crédibles en apparence : bulletins de paie, bons de commande, bons de livraison, RIB, etc. Pour lutter contre cette fraude et sécuriser les données échangées, administrations d’abord, compagnies d’aviation, et aujourd’hui la plupart des grands facturiers ont choisi d’insérer dans le document un code à barres 2D qui comprend les informations clés du document (le type de document, le nom et le prénom de l’émetteur, la civilité, l’adresse, le numéro de facture) et la date d’émission du document ou du code à barres. Toutes ces informations sont verrouillées par une signature électronique qui garantit l’identification de l’organisme émetteur et l’intégrité du document. Cette solution permet de sécuriser tout type de document, aussi bien papier que numérique, en particulier les justificatifs (factures d’eau, de téléphone, EDF, quittances d’assurance et de loyer, RIB, revenus…) utilisés par les professionnels dans leurs relations avec les entreprises et les services de l’administration.

Différents outils existent contre la fraude documentaire. Certains donnent un score de conformité au document, par exemple sur la base de contrôles logarithmiques, d’autres réalisent des contrôles de cohérence par rapport à des bases de données externes. A chacun de comparer et choisir sa solution.

Le big data et l’analyse prédictive ont ouvert la voie vers une modélisation affinée des comportements anormaux. Ils permettent aussi de réduire considérablement la durée de traitement des opérations de détection et de contrôle, un point clé pour éviter les transgressions «pour raisons de productivité». L’intelligence artificielle et le machine learning ont vocation à renforcer les technologies existantes.

5. Souscrire une assurance fraude

L’assurance fraude permet d’indemniser l’entreprise en cas de sinistre : fraude externe, interne ou cyberattaque. L’indemnisation limite les pertes financières directes et certains frais induits : restauration et/ou décontamination des données, frais de prestataire en cas de cyberextorsion, frais de téléphonie. Ce qui permet de préserver sa trésorerie.

Avant la signature, un simple questionnaire permet de faire le point sur l’organisation et les mesures élémentaires de prévention, les points clés de sécurité informatique et les antécédents. Ce questionnaire permet à l’entreprise de passer en revue les points clés de sa sécurité vis-à-vis des fraudes. Par exemple, Euler Hermes fournit un kit de prévention et propose son assistance pour :

– rappeler les bonnes pratiques en matière de procédures internes ;
– sensibiliser les collaborateurs ;
– mettre à jour les consignes de prévention ;
– être alerté sur les nouvelles menaces au fur et à mesure de leur apparition.

En cas de sinistre, Euler Hermes propose un accompagnement personnalisé et vous indemnise rapidement.

Euler Hermes propose aux entreprises deux solutions d’assurance contre le risque de fraude !

EH Fraud Cover est une solution d’assurance qui couvre l’entreprise contre les pertes consécutives aux fraudes internes, externes et cyberfraudes, ainsi que certains frais induits. Elle garantit un accompagnement personnalisé dès la découverte du sinistre et une indemnisation dans les 30 jours après accord sur son montant. Enfin, elle offre une couverture de votre entreprise et de vos filiales et succursales situées en France et à l’étranger. Pour toute demande d’information, contactez le 01 84 11 50 54.

EH Fraud Reflex est la première solution d’assurance fraude globale, 100 % digitalisée et à destination des entreprises dont le chiffre d’affaires est inférieur à 10 millions d’euros. EH Fraud Reflex protège contre les conséquences de :

  • la fraude externe (commise par un tiers) : notamment en cas d’usurpation d’identité ou d’escroquerie ;
  • la fraude interne (commise par un salarié) : détournement de fonds ou de marchandise ;
  • la cyberfraude par tiers : fonds détournés par un virement bancaire électronique frauduleux suite à une malveillance informatique.


Pour plus d’informations, rendez-vous sur www.ehfraudreflex.fr

Les dernières Lettres du Risque Clients

Toutes les Lettres du Risque Clients