Face à la fraude, quelle réponse apporter ?
Les tentatives de fraude envers les entreprises se sont intensifiées depuis la crise Covid. Des fraudes très souvent suivies d'une cyberattaque. Or, si le Daf n'est pas seul à devoir s'occuper de cette menace, il a très clairement son rôle à jouer.
Faire face au risque de fraude, fait désormais pleinement partie du quotidien des entreprises. Selon un baromètre Allianz Trade, une entreprise française sur quatre a été victime de fraude en 2021, un chiffre en constante hausse depuis la crise du Covid. Le télétravail et la digitalisation massive, conséquence directe de cette crise, sont évidemment deux facteurs qui ont contribué à l'accélération des tentatives de fraude. « Les fraudeurs ont même embrassé cette digitalisation bien avant les directions financières, ce qui a conduit au passage d'une fraude très manuelle, telle que la fraude au faux président, à une fraude qui est complètement digitalisée, » détaille Baptiste Collot, président et co-fondateur de Trustpair, à l'occasion d'une table ronde intitulée « Trésorier, pièce maîtresse de la lutte contre la fraude » organisée lors des dernières Journées AFTE par l'association française des trésoriers d'entreprise.
Des fraudes plus sophistiquées et plus compliquées à détecter se mettent alors en place. « Les fraudeurs se battent avec des moyens très précis, très digitaux et donc très sournois, poursuit Baptiste Collot. De plus, aujourd'hui, dans le cadre d'une fraude à faux virement, dans 90% des cas, il y a une cyberattaque qui est impliquée. Que ce soit dans l'entreprise ciblée par la fraude ou chez son fournisseur par exemple. » Cela aboutit le plus souvent sur du rancongiciel, à savoir le fait de bloquer l'accès à l'ordinateur ou à des fichiers, avec des logiciels malveillants, en les chiffrant et réclamer à la victime le paiement d'une rançon pour en obtenir de nouveau l'accès. « Il y a un gros retour sur investissement pour les cybercriminels », complète Vincent Loriot, chef de la division management de la sécurité numérique à l'ANSSI.
Des fraudes de plus en plus inventives
Le groupe Bel, entreprise de plus de 10.000 collaborateurs dans l'industrie agroalimentaire a été victime de deux fraudes l'année dernière. Son directeur de la trésorerie et des assurances, Benoit Rousseau, témoigne : « nous avons été la cible de deux fraudes avérées, qui nous ont fait perdre d'abord 100.000 puis 200.000 euros, sur des changements de coordonnées fournisseurs. On voit aujourd'hui des fraudes de plus en plus abouties, avec une connaissance parfaite du monde de notre organisation, avec des vraies factures, des vrais noms, sauf que la personne qui initie le changement de coordonnées du fournisseur est frauduleuse. Heureusement, nous avons pu récupérer 100% du montant sur la première et 50% sur la seconde. »
Lire aussi : La fraude : un fléau aux mille visages
Au-delà de ces fraudes aux fournisseurs, les attaquants sont de plus en plus imaginatifs lorsqu'il s'agit de pénétrer au sein d'une entreprise. « Nous avons aussi été la cible d'une tentative de fraude dans le cadre de recrutement d'intérimaires, poursuit Benoit Rousseau. Nous étions sur le point d'embaucher quelqu'un qui s'est révélé être, et nous l'avons appris quelques mois plus tard, affilié à des organisations mafieuses pour récolter de l'information dans les grands groupes. »
Eduquer l'ensemble de l'entreprise
Pour éviter au maximum ces attaques, la formation de l'ensemble des collaborateurs de l'entreprise est nécessaire. Cela peut passer par des formations globales comme du e-learning. « Nous sommes en train de rendre notre e-learning fraude obligatoire dans tous les parcours d'intégration. Nous nous sommes rendu compte que nos procédures n'étaient pas bien comprises par les utilisateurs. Nous avons donc réécrit, reformulé des procédures, nous les avons retravaillées pour qu'elles soient mieux comprises. Elles ont ensuite été partagées avec le département achats, avec le département SI et avec le contrôle interne, » rapporte Benoit Rousseau.
Mais ce genre de formation ne sera efficace que si des rappels réguliers sont effectués. « L'efficacité d'une formation globale est un peu limitée surtout si elle ne se reproduit pas dans le temps. Nous suggérons donc de former des référents dans chaque service afin qu'ils puissent à leur tour faire vivre ces formations et vérifier que les collaborateurs appliquent les réflexes qu'ils sont censés avoir acquis, » décrit Marie Moin, directrice de la formation continue chez EPITA.
Lire aussi : Cybersécurité : les Daf en première ligne
Sensibiliser les fournisseurs
Evidemment, des formations spécifiques à chaque métier sont aussi primordiales, notamment sur le poste achats, afin que les acheteurs soient en mesure de sensibiliser l'ensemble des fournisseurs de l'entreprise. « Il est beaucoup plus compliqué de toucher les plus petites entreprises, donc les plus petits fournisseurs, qui restent aussi très fragiles, » indique Marie Moin. « Le rôle de sensibilisation des acheteurs est aussi extrêmement importante, pour qu'ils véhiculent la bonne parole sur leurs fournisseurs, que ces derniers se rendent bien compte qu'ils sont clé dans le processus de sécurité dans nos organisations, » rebondit Benoit Rousseau. Cela peut aller jusqu'à intégrer dans des contrats des clauses de formation ou de sensibilisation auprès de ces fournisseurs.
Par ailleurs, sensibiliser l'ensemble des collaborateurs aux usages numériques, que ce soit à titre professionnel comme privé est nécessaire, « car in fine, les bons réflexes à titre personnel se retrouvent à titre professionnel également, » note Vincent Loriot.
Lire aussi : La nécessité de sécuriser ses paiements fournisseurs
La fonction finance fédératrice
Vous l'avez compris, ce sujet de la fraude n'est pas un sujet qui touche uniquement la fonction finance, c'est une problématique d'entreprise globale. Mais le Daf, en tant que trésorier et gestionnaire des risques, a évidemment son rôle à jouer. « La fraude est un sujet complètement transverse qui doit être embrassé par les équipes finance, achats, comptabilité. Historiquement, ce n'est pas le cas, étant donné que ces fonctions sont séparées et ne travaillent que très peu ensemble. Mais le fait qu'elles ne communiquent pas, qu'elles ne sachent pas si elles possèdent de la donnée de qualité entraine des brèches de sécurité, » explique Baptiste Collot. Le trésorier va être réunificateur de tous ces métiers. « Il va se retrouver comme le fédérateur de tous ces départements, étant donné que personne ne veut vraiment être le chef de projet sur ce type de sujet, » confirme Benoit Rousseau.
Si l'humain reste évidemment la clé de voûte, il ne suffit plus pour faire face au nombre exponentiel d'attaques. Benoit Rousseau conseille ainsi de s'équiper de solutions pour lutter face à ces fraudes. « Il faut mettre dans nos outils une couche de data pour nous aider à réduire encore plus la probabilité de ces opérations. »
Sur le même thème
Voir tous les articles Cyber & Climat