Articles

Six conseils pour protéger votre organisation de la fraude aux paiements

La fraude aux paiements a augmenté de 71 % entre 2022 et 2023, avec 96 % des entreprises ciblées par au moins une tentative de fraude aux paiements en 2023. Il est essentiel d’examiner régulièrement votre infrastructure et de vérifier la robustesse des mesures de sécurité appliquées par l’entreprise, en particulier pour garantir la protection contre la fraude aux paiements. Le message est clair : avec des processus forts, appliqués de manière systématique et qui protègent vos paiements de A à Z, vous réduisez de manière significative le risque qu’une fraude aux paiements aboutisse. 

La menace de l’usurpation d’identité

La menace de l’usurpation d’identité est au cœur de nombreuses escroqueries BEC (Business Email Compromise), et de celles de type plus récents comme la fraude aux deepfakes. Les cybercriminels utilisent des stratégies d’ingénierie sociale pour créer des profils basés sur des collaborateurs ou des fournisseurs réguliers d’une entreprise. Ils usurpent ensuite leur identité pour pousser des personnes qui ne se doutent de rien à commettre des fautes graves.

Afin de démasquer un usurpateur d’identité, vous devez reconnaître certains signes qui ne trompent pas. La demande de paiement sera très probablement urgente et se fera dans des circonstances exceptionnelles (lorsque les collaborateurs ne sont pas au bureau par exemple). Si votre organisation effectue de nombreux paiements à des sous-traitants pour un projet, les fraudeurs peuvent s’engouffrer dans cette faille.

Même si les escroqueries BEC peuvent sembler moins sophistiquées que les fraudes de type « deepfakes », elles méritent tout de même qu’on s’y intéresse, comme le montrent ces exemples : 

  • Un promoteur immobilier parisien, Sefri-Cime, a perdu 38 millions d’euros, victime d’une fraude BEC ciblant le directeur financier. Le directeur financier de l’entreprise a reçu un e-mail de personnes se présentant comme des avocats d’un célèbre cabinet comptable français. En seulement quelques jours, l’escroc BEC a établi une relation de confiance avec le directeur financier et a émis avec succès des ordres de virements substantiels et urgents pour un montant total de plusieurs millions d’euros.

  • La municipalité d’Eagle Mountain dans l’Utah (États-Unis), a été victime d’une escroquerie par usurpation d’identité d’un fournisseur, pour un préjudice se chiffrant à 1,13 million de dollars. Au cours d’échanges par e-mail concernant un projet de construction d’envergure, des cybercriminels se faisant passer pour le maître d’œuvre ont infiltré le fil des échanges en utilisant une fausse adresse e-mail similaire à celle de la véritable équipe de maîtrise d’œuvre. Les escrocs ont ensuite convaincu un membre du personnel de leur faire un virement par voie électronique, usurpant l’identité du fournisseur légitime. Le manque de vigilance a pu être un facteur : Dans un contexte de croissance rapide et d’afflux de demandes de paiement émanant de multiples prestataires, la municipalité a peut-être manqué de vigilance face aux escroqueries potentielles. 

Idées reçues concernant les fraudes

Les services finances et trésorerie se croient plus protégés qu’ils ne le sont des fraudes aux paiements. Les entreprises pensent que leurs procédures sont infaillibles ou que tous les fonds perdus seront remboursés. Elles se font rapidement rattraper par la réalité quand une attaque aboutit. Voici quelques idées reçues courantes :

  • « Nous avons un processus d’approbation. » Même les entreprises avec les règles les plus strictes peuvent avoir des failles dans leurs processus. L’ID et le mot de passe d’un collaborateur peuvent être volés. Les centres régionaux de trésorerie/de services partagés peuvent avoir besoin de moins d’approbations, car il y a moins de personnel. Les entreprises avec plusieurs systèmes ERP peuvent avoir différents processus d’approbation, une situation propice aux fraudes.

  • « Ma banque va me couvrir. » Les banques n’ont aucune obligation à couvrir leurs clients s’ils subissent une fraude aux paiements, sauf si la faille vient de la banque elle-même, par exemple causée par une combine venant des employés de banque. La banque peut rembourser ses clients au cas par cas, mais ne comptez pas dessus.

  • « Nous avons une assurance contre les cyber-risques. » De nombreuses entreprises pensent qu’en souscrivant une assurance contre les cyber-risques, elles sont couvertes en cas de perte. Cependant, si une organisation ne peut pas prouver qu’elle a pris toutes les mesures nécessaires pour se protéger, il est possible que l’assurance ne couvre pas le préjudice subi

Que pouvez-vous faire pour vous protéger contre les fraudes aux paiements ?

Heureusement, il existe plusieurs façons de protéger vos paiements et vos données. Voici quelques conseils :

  1. Adoptez le Cloud. Les entreprises ont tout intérêt à adopter les technologies Cloud pour sécuriser leurs paiements et systèmes. Les équipes informatiques savent que les données de paiement et la connectivité sont plus sécurisées si elles sont hébergées en externe.

  2. Alignez tous les services. Votre service informatique et tous les départements qui sont impliqués dans le traitement des paiements comme la trésorerie, les comptes fournisseur, les services partagés, etc. doivent respecter la politique de sécurité de votre entreprise. De plus en plus d’entreprises autorisent le télétravail. Elles doivent donc s’assurer que tous les collaborateurs utilisent des moyens de protection efficaces comme des mots de passe robustes, des contrôles de politique, l’authentification multifacteurs, le filtrage des adresses IP, l’authentification unique (SSO) et le chiffrement des données.

  3. Automatisez les processus de paiement et standardisez les contrôles. L’automatisation permet aux organisations de standardiser le processus de traitement des paiements, de la demande initiale à la réception. Les risques surgissent lorsqu’il existe des exceptions au processus de paiement : les paiements effectués hors du cadre standard représentent des opportunités pour les fraudeurs. Il s’agit souvent de paiements uniques et urgents dont le motif peut être lié à une fusion/acquisition, des transactions juridiques, un salaire urgent, etc.

  4. Mettez en place des contrôles, alertes et notifications en temps réel. Avec l’essor des systèmes de paiement le jour même et en temps réel, il est nécessaire de pouvoir contrer instantanément les tentatives de fraude. Les logiciels modernes de détection des fraudes utilisent l’intelligence artificielle (IA) et le Machine Learning pour comparer les paiements aux anciennes données et repérer des anomalies.

  5. Implémentez des workflows de prévention de la fraude. Les modules de protection contre les fraudes aux paiements modernes prennent en charge des workflows de bout en bout entièrement automatisés pour la résolution des paiements suspects. Les utilisateurs peuvent déterminer la manière dont un paiement détecté est géré, imposant de séparer les tâches entre l’initiateur, l’approbateur et le contrôleur.

  6. Apprenez à connaître vos fournisseurs. Les fournisseurs peuvent représenter un risque non-négligeable pour votre entreprise. Parfois, ils ont accès aux informations d’identification réseau de leurs clients. Les fournisseurs qui n’ont pas de protocoles de sécurité suffisant peuvent devenir une faille dans les systèmes de leurs clients. C’est ce qui s’est produit lors du piratage massif du groupe Target en 2013. Il est essentiel de disposer d’un questionnaire détaillé sur la sécurité des informations pour pouvoir faire confiance aux programmes de gouvernance et de risques des fournisseurs. En outre, les organisations doivent vérifier les demandes de modification d’instructions de paiement directement auprès du fournisseur, avant d’effectuer toute transaction.

Pour réduire les risques et protéger leurs paiements, les entreprises ont besoin d’une solution intégrée assurant la connexion entre les ERP, les processus internes et les systèmes externes, afin de garantir une transaction sécurisée de A à Z. S’il y a des exceptions, les protocoles ne doivent pas être négligés, peu importe le degré d’urgence de la demande. Tous les services qui s’occupent des paiements doivent comprendre que le moindre petit écart peut entraîner des conséquences catastrophiques : perte d’argent, perte d’emploi et risque de perte de réputation pour l’ensemble de l’entreprise.

Protégez vos paiements avec Kyriba

Les solutions de Kyriba pour lutter contre la fraude aux paiements offrent aux clients un module sophistiqué de détection et de prévention des fraudes en temps réel, spécialement conçu pour renforcer les contrôles des paiements standard. 

La robustesse des solutions Kyriba s’est illustrée lors d’un incident récent, les outils de protection contre la fraude de la société ayant permis de déjouer une tentative d’arnaque au président. Une demande de virement de 8 millions de dollars émanant d’un escroc se faisant passer pour le PDG a été stoppée grâce à la diligence de l’équipe trésorerie et aux mesures de prévention contre la fraude de Kyriba, exigeant que plusieurs employés traitent les paiements et appliquant des limites d’autorité sur les montants des paiements.

Comment Kyriba a permis d’éviter un paiement frauduleux de 8 millions de dollars

La tentative d’arnaque au président a commencé par un e-mail semblant provenir du PDG. Heureusement, l’équipe trésorerie d’un important promoteur immobilier avait travaillé avec diligence pour mettre en place des processus de paiement efficaces qui réduiraient le risque de paiements frauduleux ou inexacts. Ces politiques comprenaient à la fois des contrôles internes, l’utilisation de technologies de l’information, la culture d’entreprise et la surveillance/conformité.

  • L’escroquerie : le trésorier de l’entreprise étant en congés, le trésorier adjoint a été contacté par e-mail par un imposteur se faisant passer pour le PDG. Ce dernier a demandé qu’un virement de 8 millions de dollars soit émis pour faciliter l’acquisition d’une entreprise basée au Royaume-Uni. Insistant sur la confidentialité de la transaction, l’escroc a exhorté le trésorier adjoint à ne pas divulguer cette demande à qui que ce soit. Malgré la ressemblance convaincante du ton de l’e-mail avec la plume habituelle du PDG, le trésorier adjoint s’est vite rendu compte qu’il serait impossible d’exécuter le virement pour diverses raisons. Lorsque le trésorier adjoint s’est rendu dans le bureau du PDG afin d’évoquer ces points, ils ont tous deux pris conscience que la demande de virement était frauduleuse. 

  • Une fraude stoppée net : l’entreprise a fait confiance à Kyriba pour appliquer ses mesures de prévention contre la fraude aux paiements internes, ce qui a joué un rôle essentiel pour déjouer cette tentative frauduleuse. Grâce aux contrôles mis en place par l’entreprise et appliqués par Kyriba : 
    • Le paiement ne pouvait pas être traité par une seule personne. Cette entreprise avait configuré Kyriba de sorte que chaque paiement implique au moins trois employés distincts avant son traitement. Un employé demande le paiement, un autre employé le traite et un troisième employé l’approuve ou l’exécute.

    • Le montant de 8 millions de dollars dépassait l’autorité du trésorier adjoint dans Kyriba, la plateforme appliquant des limites d’autorité qui donnent à chaque employé un maximum spécifique au montant des paiements qu’il peut approuver. Le trésorier adjoint aurait dû obtenir l’approbation d’une personne ayant une limite plus élevée afin d’exécuter le virement. 

Grâce à la capacité de Kyriba à prendre en charge la séparation des tâches, les limites d’autorisation de paiement et les contrôles bancaires, cet important promoteur immobilier a évité une perte de 8 millions de dollars.

Kyriba peut également contribuer à prévenir les fraudes au sein de votre organisation. Les solutions comme Kyriba Enterprise Security garantissent que les données de trésorerie, de paiements et de risques respectent la politique de sécurité interne et les exigences de sécurité internationales. Elles fournissent en parallèle un support global 24h/24 et 7j/7. Les fonctionnalités de la solution de détection des fraudes aux paiements de Kyriba incluent : 

  • Détection des activités de paiement suspectes via un ensemble de règles de détection prédéfinies, par exemple des virements vers des pays blacklistés, des paiements à de nouveaux fournisseurs ou des montants excédant les limites établies. 

  • Intelligence artificielle et algorithmes de Machine Learning pour comparer les demandes de paiement à l’historique des schémas de paiement, et ainsi identifier efficacement et mettre en quarantaine les transactions suspectes en vue d’un examen plus approfondi. 

  • Workflow de résolution complet, permettant la personnalisation des alertes et la gestion des paiements détectés conformément aux politiques de l’organisation, imposant la séparation des tâches et le blocage des paiements selon un scénario jusqu’à la résolution des problèmes. 

  • Validation du propriétaire du compte bancaire en temps réel et garantie de conformité avec les politiques de paiement de l’entreprise grâce aux plateformes de connectivité basées sur des API, ajoutant une couche supplémentaire de protection contre les escroqueries BEC et autres tentatives de fraude sophistiquées.


Découvrez comment Kyriba aide les clients à protéger et à accélérer les paiements.


Ressources connexes