in

Cyber-sécurité : la validation des virements par fax va progressivement disparaître pour les entreprises en 2016 et ce n’est qu’une étape !

Le nombre de cyber-attaques recensées dans le monde a progressé de 38% en 2015, selon une étude PwC(1). La France est particulièrement concernée (51% sur la même période). Face au développement de la mobilité, du cloud et de la transformation numérique au sein des entreprises, certains process doivent évoluer, pour les aider à se prémunir contre ce phénomène.

La menace pèse sur l’accès à la trésorerie, le vol de données et l’usurpation d’identité de l’entreprise. Les virements frauduleux sont l’une des attaques les plus coûteuses pour les entreprises. Une faille subsiste : la validation du virement par fax. Ce processus consiste, pour les entreprises, à valider leurs demandes par fax, après avoir transmis électroniquement leurs fichiers de paiement aux banques.

La France est l’un des rares pays européens à disposer de ce système archaïque et aisé à pirater. En 2016, sur décision des banques, la validation du virement par fax va progressivement être remplacée par un dispositif plus sécurisé. Dans la droite ligne du SEPA, cette mesure n’est qu’une étape dans le vaste dispositif qui sera déployé en 2016 autour de l’identité électronique, pour sécuriser les entreprises, face à la recrudescence de la cyber-criminalité. Décryptage et explications deJosé Teixeira, Chef de marché Cash management et Electronic banking chez Sage.

Fraude aux paiements : quelles cibles pour quel coût ?

En France, pour la seule fraude aux paiements, l’Office Central pour la Répression de la Grande Délinquance Financière (l’OCRGDF) a recensé un préjudice global de 300 millions d’euros depuis 2010(1). Une étude PwC sur la criminalité financière(2) indique que celui-ci peut s’élever entre plusieurs dizaines de milliers, voire de millions d’euros, par entreprise.

Les petites et moyennes entreprises (PME) ne sont pas épargnées par la fraude, tout en ayant moins de moyens pour s’équiper en dispositifs de prévention et de détection. Toutes les entreprises, quel que soit leur secteur d’activité ou leur taille, sont susceptibles d’être touchées.

Typologies de fraudes : les tests du service bancaire ou le virement au président

Les tests du service bancaires et « la fraude au président » sont les plus courantes. Elles reposent sur la connaissance parfaite d’informations clés sur les entreprises, de la part des escrocs. Il est très facile pour eux de se procurer des données personnelles sur le dirigeant et l’organisation d’une entreprise, via son site internet et les réseaux sociaux. Aucun détail n’est ignoré, de la personnalité des dirigeants aux signatures officielles.

Dans le cas de la fraude par test bancaire, l’escroc se fait passer pour un interlocuteur de la banque, afin d’obtenir des informations confidentielles (codes d’accès, mots de passe). Il demande ensuite à l’entreprise de réaliser des connexions, des mises à jour ou de faire des virements tests au montant élevé. Le fraudeur confirme la demande par de faux mails ou fax, allant même jusqu’à demander aux opérateurs télécom de rediriger les lignes des standards vers leur numéro, rendant inopérants les contre-appels de vérification.

La fraude au président nécessite une ingénierie sociale encore plus poussée en amont. Pour être crédibles, les cybercriminels ciblent les sociétés travaillant avec des fournisseurs étrangers. La destination finale de ces transferts se situe généralement auprès de banques asiatiques.

L’étape suivante consiste, pour l’escroc, à se faire passer pour le Président Directeur Général ou tout autre cadre dirigeant auprès d’un employé du service comptabilité ou trésorerie de l’entreprise. L’escroc prétend devoir réaliser une opération exceptionnelle, confidentielle et extrêmement pressante, telle qu’une acquisition de parts de marché, une OPA ou éviter un redressement fiscal. L’opération nécessite prétendument de faire un virement vers un compte bancaire étranger dans l’urgence, de préférence avant midi ou un week-end. La requête paraît authentique au comptable, l’escroc étant très sûr de lui, s’exprimant comme le dirigeant. Pour induire en erreur le comptable, l’escroc peut utiliser des numéros de téléphone ayant l’apparence de numéros locaux, alors qu’il téléphone via des plates-formes.

Convaincu, le comptable émet alors l’ordre de virement auprès de la banque, qui demande automatiquement que toute requête soit validée par fax ou par mail. C’est à ce stade que la fraude se concrétise. Il existe même des services comme le « mail to fax », proposant d’envoyer jusqu’à 100 fax à partir d’une boîte mail, facilitant ainsi la duperie des entreprises et des banques(3).

Les alternatives à la validation de virement par fax : la signature électronique

Au cœur du stratagème des escrocs, la confirmation de virement par fax constitue une faille pour la sécurité financière des entreprises. Les banques ont donc décidé de l’abandonner en 2016 et de la remplacer par la validation par le portail bancaire ou la signature électronique. Cette mesure sera progressive, mais les entreprises ne doivent pas pour autant attendre d’être victime d’un virement frauduleux pouvant mettre en péril leur survie financière.

La signature électronique comporte de nombreux avantages. Supprimant la confirmation manuelle, elle s’inscrit dans un processus de contrôle et de traçabilité de la validation. Si la signature finale est unique pour tous les paiements, l’association du circuit de validation interne et de la signature bancaire érige une barrière solide pour prévenir la fraude.

La suppression du fax, une étape : le dispositif européen eIDAS arrive !

Face au développement de l’économie numérique, la France n’est pas la seule à vouloir mieux protéger les entreprises. En effet, l’Union Européenne prépare, actuellement, une convergence des systèmes de sécurité, avec la réglementation eIDAS qui sera effective au 1er juillet 2016.

Ce dispositif légal sur l’identification et l’authentification électronique prévoit la mise en place de multiples dispositifs. Les pays de l’Union Européenne devront reconnaître les moyens d’identification électronique des usagers venant d’autres Etats membres. eIDAS instaure également la création d’un cadre pour les Prestataires de Services de Confiance européens (« PSCO »). Leur reconnaissance mutuelle dans l’UE sera établie par leurs signatures et cachets électroniques garantissant la traçabilité, ainsi que des services de fourniture électronique et d’authentification de sites Web.

Si, comme constaté lors du passage au SEPA, les dirigeants d’entreprise ne se sentent pas nécessairement concernés par ce type de règlementations jugées contraignantes, elles ont pourtant tout intérêt à s’y plier, pour rester dans la course du numérique et renforcer leur sécurité financière face à la menace de la cyber-criminalité.


Corinne
Corinne

Depuis plus de 25 ans dans le métier de la communication et du marketing, Corinne a démarré sa carrière à la télévision avant de rejoindre une agence événementielle. Curieuse dans l’âme, elle poursuit sa carrière dans l’IT et intègre une société de conseil en éditique puis entre chez un éditeur de logiciels leader sur son marché, SEFAS. Elle est ensuite nommée Directrice Communication chez MGI Digital Graphic, constructeur de matériel d’impression numérique et de finition international coté en bourse. Revenue en 2008 chez SEFAS au poste de Directrice Marketing et Communication groupe, elle gère une équipe répartie sur 3 géographies (France, Etats-Unis et Angleterre), crée le groupe utilisateurs de l’entreprise et lance un projet de certification ISO 9001, ISO 14001 et ISO 26000 couronné de succès. Pendant 7 ans membre du conseil d’administration de l’association professionnelle Xplor France et 2 ans sa Présidente, Corinne a créé dès 2010 TiKibuzz, son agence de marketing et de communication. Elle devient Directrice de la Communication en charge des Relations Presse, du Lobbying et du marketing digital chez DOCAPOST, groupe La Poste, durant 3 ans avant de rejoindre la start-up FINTECH Limonetik, en 2013. C'est cette même année qu'elle crée votre média professionnel, DOCaufutur, l'avenir du document.

Written by Corinne

Depuis plus de 25 ans dans le métier de la communication et du marketing, Corinne a démarré sa carrière à la télévision avant de rejoindre une agence événementielle. Curieuse dans l’âme, elle poursuit sa carrière dans l’IT et intègre une société de conseil en éditique puis entre chez un éditeur de logiciels leader sur son marché, SEFAS. Elle est ensuite nommée Directrice Communication chez MGI Digital Graphic, constructeur de matériel d’impression numérique et de finition international coté en bourse. Revenue en 2008 chez SEFAS au poste de Directrice Marketing et Communication groupe, elle gère une équipe répartie sur 3 géographies (France, Etats-Unis et Angleterre), crée le groupe utilisateurs de l’entreprise et lance un projet de certification ISO 9001, ISO 14001 et ISO 26000 couronné de succès.
Pendant 7 ans membre du conseil d’administration de l’association professionnelle Xplor France et 2 ans sa Présidente, Corinne a créé dès 2010 TiKibuzz, son agence de marketing et de communication.
Elle devient Directrice de la Communication en charge des Relations Presse, du Lobbying et du marketing digital chez DOCAPOST, groupe La Poste, durant 3 ans avant de rejoindre la start-up FINTECH Limonetik, en 2013. C'est cette même année qu'elle crée votre média professionnel, DOCaufutur, l'avenir du document.