Cybersécurité du cycle crédit : un angle mort dans la gestion des risques ?

Les entreprises font face à une hausse significative des cyberattaques, notamment des fraudes visant spécifiquement les services financiers. Bien que les systèmes informatiques soient de mieux en mieux protégés, les cybercriminels rivalisent d'imagination pour cibler les services crédit clients. Quelles mesures mettre en place pour y faire face ? Quel rôle joue le crédit manager ? Explications.

Selon les dernières statistiques du site national d'assistance et de prévention en sécurité numérique*, les cyberattaques sont en forte progression, représentant une menace pour toutes les entreprises, indépendamment de leur taille. Une brèche dans la sécurité où une divulgation de données peut engendrer des répercussions graves sur votre activité.

Des fraudes de plus en plus sophistiquées

Dans le détail, les fraudes les plus courantes sont la fraude au RIB (45%), la fraude au président (41%), l'intrusion dans le système informatique (41%), l'usurpation d'identité (30%) et la fraude au faux client (25%). Les techniques de fraude évoluent sans cesse et certaines ont connu une hausse significative en 2023 : les faux ordres de virement ont augmenté de 63%, la défiguration des sites internet de 61% et les attaques par déni de service de 41%. Les conséquences ? Des délais de paiement qui s'allongent, des risques de pertes financières majeures, un accroc à la réputation, sans compter les sanctions réglementaires potentielles en cas de fuite de données. Dans les faits, la cybersécurité du cycle crédit reste encore un angle mort dans les stratégies de gestion des risques.

Identifier des signaux d'alerte en interne

Dans le cas de l'ingénierie sociale, pratique à des fins de manipulation psychologique pour escroquerie, il est crucial de sensibiliser et d'alerter régulièrement les équipes commerciales souvent en première ligne. « L'objectif est de leur fournir les signaux d'alerte nécessaires pour détecter les tentatives de fraude, comme les fausses commandes. Il ne s'agit pas de s'alarmer pour un seul signal isolé, mais plutôt de prêter attention à une accumulation de signaux faibles qui pourraient indiquer une réelle tentative de fraude », indique Nicolas Flouriou, Président de l'AFDCC (Association Française des Crédit Managers et Conseils).

Parmi les signes qui doivent éveiller les soupçons, les offres trop alléchantes doivent alerter. Cependant, il existe d'autres points à vérifier. « Les outils de type "Know Your Customer" (KYC) peuvent être utiles, même s'ils ne résolvent pas tous les problèmes. Par exemple, demander un corpus de documents, tout en respectant le RGPD, ou vérifier les numéros SIREN. Il est également possible de se rendre sur place pour vérifier la réalité de la mission ou d'effectuer des recherches basiques, comme utiliser Google Street View pour vérifier si l'adresse correspond à une zone résidentielle ou à une usine », précise l'expert.

Certains schémas se répètent souvent dans les sociétés frauduleuses qui cherchent à paraître légitimes. « Par exemple, la publication répétée de bilans aux mêmes périodes chaque année peut être un signal d'alerte. Dans ce cas, il est important d'effectuer des recherches approfondies sur les moteurs de recherche. En cas de doute, il est toujours préférable de contacter directement l'entreprise via ses coordonnées officielles », rappelle-t-il.

La facturation électronique, une réponse ?

Avec la réforme prévue en septembre 2026, la standardisation et la dématérialisation de la facturation sont des évolutions positives. « En effet, la transmission électronique des factures dans un format standardisé permet de réduire les erreurs et les fraudes. Cependant, certaines sociétés peuvent encore demander des duplicatas ou fournir des informations erronées en amont, ce qui peut conduire à des paiements frauduleux si le RIB est falsifié », précise Nicolas Flouriou.

Pour se prémunir contre ces risques, il est crucial de mettre en place des mesures de vérification. Par exemple, « en cas de demande d'audit sur les facturations, il est essentiel de confirmer cette demande auprès du client via un second canal de communication ». Cela permet de s'assurer que la demande est légitime et non initiée par un fraudeur cherchant à obtenir une facture pour créer de fausses factures par exemple, analyse l'expert.

Les crédit managers, un rempart anti-fraude ?

Le rôle des crédit managers peut s'avérer essentiel et pallier les risques à la fraude. Ils utilisent régulièrement des données financières, administratives et publiques sur les entreprises. « Leur rôle consistent une solide connaissance de leurs partenaires clients, notamment à travers des processus de type "Know Your Customer" (KYC). Pour ce faire, ils recoupent les informations disponibles en utilisant diverses bases de données publiques », tient à rappeler Nicolas Flouriou. Ce sont des professionnels qui ont également la possibilité d'avoir recours à des outils payants pour vérifier la correspondance entre un RIB, un IBAN et un SIREN. « Ces outils permettent de s'assurer de la cohérence et de la validité des informations financières et administratives fournies par les partenaires clients ». Par exemple, pour les RIB, cela consiste « à vérifier si ce RIB a déjà été impliqué dans des tentatives de fraude par le passé » et « de s'assurer qu'il correspond bien à la société avec laquelle on va travailler. »

Impact de l'IA sur les fraudes

L'implémentation des outils IA dans les directions financières est très récente. Bien que ces outils puissent faciliter la montée en puissance des fraudes massives, comme l'envoi de courriels frauduleux ou le scraping de données, leur développement est encore limité. « Les fraudeurs exploitent ces technologies pour cibler massivement les entreprises, mais l'impact exact sur l'augmentation des risques de fraude reste difficile à évaluer », analyse-t-il.

Comment se prémunir ?

Nicolas Flouriou conseille de mettre en place une cellule interne dédiée à l'audit pour intervenir en cas de fraude ou de tentative de fraude. « Les crédit managers, en tant qu'experts des données financières et administratives des entreprises, devraient en faire partie. Il est également crucial d'impliquer les commerciaux pour comprendre les schémas de fraude. »

Pour éviter les fraudes, il est important d'analyser les tentatives passées. Pour lui, « cela implique de les recenser et d'analyser les impayés pour voir s'ils correspondent à des modèles de fraude connus. Ensuite, il est nécessaire de faire régulièrement le point sur les types de fraudes rencontrées ». Par ailleurs, la mise en place de systèmes d'alerte interne est recommandée, ce qui implique la participation de l'IT. « Ces systèmes d'alerte peuvent être basés sur des critères tels que le montant du capital, la date de création, les méthodes de contact, etc. Lorsque certains de ces critères sont remplis, une alerte peut être déclenchée pour une investigation plus approfondie », explique-t-il.

Piloter le cash, c'est aussi piloter la donnée et la sécurité

Pour les Daf, les fraudes aux fausses commandes ont un impact financier immédiat et incontestable. Elles entraînent soit une sortie d'argent illégale, soit un impayé important, sans compter la perte du bien livré. Cet impact sur la trésorerie est crucial, d'autant plus que préserver le cash est une priorité aujourd'hui. « Au-delà de la perte initiale, il faut considérer l'effort nécessaire pour la compenser. Par exemple, avec une marge commerciale de 10 %, une perte de 1 000 euros nécessite de réaliser 10 000 euros de chiffre d'affaires supplémentaire pour être compensée. Même une petite perte peut donc entraîner des conséquences significatives, surtout pour les structures de taille modeste où la trésorerie est un enjeu vital », met en garde Nicolas Flouriou.

Dans ce contexte, il est essentiel de se positionner sur cette problématique. « Les entreprises qui ne l'ont pas encore fait pourraient subir des conséquences graves, allant jusqu'à la cessation de paiement. Il est donc crucial d'être vigilant face aux signaux d'alerte et d'apprendre à refuser certaines commandes lorsque les risques sont trop élevés », conclut-il.

*Chiffres Cybermalveillance.gouv.fr publiés en mars 2024.