Fraude aux Paiements en Entreprise :

De multiples solutions de lutte contre la fraude existent, mais sont-elles adaptées à toutes les entreprises ?

70 % des entreprises européennes ont été victimes de tentatives de fraudes (source sepamail.eu) et, lorsque la fraude est avérée, le préjudice dépasse les 100 k€ pour 14 % d’entre elles en France (baromètre DFCG Heuler Hermès 2021). L’actualité montre que tous les types de sorties de fonds sont concernés (virement, crédit, prélèvement, investissement…). Les approches les plus courantes sont les Faux Ordres de Virements (FOVI), le changement de coordonnées bancaires, les fausses factures, les cybers attaques et autres phishing, le tout pouvant être complété par de l’ingénierie sociale.

Une fraude est ainsi le résultat de plusieurs vulnérabilités techniques et/ou humaines qui ont permis aux attaquants de préparer et dérouler leur action.

Si ces pratiques sont bien connues, la force des fraudeurs réside dans la capacité à s’adapter aux dernières évolutions, comme par exemple avec l’Authentification forte des paiements en ligne, et à utiliser des outils de cyberattaques de plus en plus sophistiqués.

À cela s’ajoute une temporalité des attaques sur des périodes propices, lors de baisse d’activité de l’entreprise ou de la banque (congés, jours fériés, heure de fermeture) ou lors de forte activité (fin et début de mois, de trimestre…). Le développement du télétravail a également ouvert une fenêtre supplémentaire d’opportunités par l’isolement de la victime en cas d’ingénierie sociale.

Pour répondre à ces menaces, des solutions ont vu le jour ces dernières années. C’est le cas avec des initiatives de places sur la sécurisation des comptes via les technologies de l’Open Banking (SEPAmail Diamond, Confirmation Of Payee) ou de Fintechs (comme Trustpair, MATA IO, SIS ID,…) qui proposent des solutions digitales complètes.

Ces dernières solutions, de plus en plus intégrées au SI de l’entreprise (Mode intégré par API à l’ERP ou au TMS, mode SaaS ou On Premise), garantissent alors un niveau de sécurité élevé. Elles peuvent s’appuyer sur des plateformes collaboratives avec technologie blockchain pour contrôler les tiers et les comptes, de l’Intelligence artificielle pour détecter des opérations atypiques, une gestion du processus de gestion du tiers et de paiement de bout en bout, en lien parfois avec SEPA Mail Diamond et EBICS TS.

Or 42 % des entreprises ne sont pas équipées de solutions de lutte contre la fraude (d’après l’étude Trustpair 2022). Outre le projet et donc le budget d’autres facteurs peuvent sans doute l’expliquer.

Côté entreprises, une cartographie des risques de tiers doit-être établie préalablement, en fonction de sa spécificité, et une feuille de route définie pour construire un système à plusieurs étages de lutte contre la fraude.

Au niveau des offres de contrôles de tiers et de comptes, les périmètres géographiques couverts sont hétérogènes, les banques participantes non exhaustives et la qualité des sources de validation des tiers clients (KYC et KYS) peut être variable selon les règles pays, pouvant freiner les entreprises qui travaillent spécifiquement sur ces zones.

Côté banques, les solutions proposées sont trop souvent à la carte pour renforcer un élément de la chaîne, sans approche packagée par typologie client. La tarification devrait aussi être adaptée en conséquence selon que le client adhère à un pack ou un service à la carte (package mensuel ou par service, consommation au forfait ou à l’acte).

En somme, des solutions existent et ont démontré leur efficacité en proposant un bouclier plus ou moins complet. Même sans mettre en place un système entièrement digitalisé de bout en bout, de premières mesures simples peuvent s’avérer efficientes (une répartition des pouvoirs avec signatures multiples associée à un contrôle de compte par exemple). L’important étant d’adopter rapidement une approche étagée pour contrer à plusieurs niveaux une attaque.