SÉCURITÉ, BANQUE ET ENTREPRISES
Transcription
SÉCURITÉ, BANQUE ET ENTREPRISES
SÉCURITÉ, BANQUE ET ENTREPRISES Prévention des risques de fraudes SECURITÉ, BANQUE ET ENTREPRISES PRÉVENTION DES RISQUES DE FRAUDES Les moyens modernes de communication et les systèmes informatiques des entreprises actuelles permettent une recrudescence des fraudes de toute nature : escroqueries, abus de confiance, détournement d’actifs. Les fraudeurs usent d’artifices de plus en plus sophistiqués pour réunir les informations déterminantes et nécessaires à leur scénario. Leur but est d’émettre des virements frauduleux, le plus souvent à l’international. Les banques ont été les premières visées par ce type de fraude et constatent aujourd’hui un report important de ces tentatives sur les entreprises. Dans ce contexte, Arkéa Banque Entreprises & Institutionnels a la volonté de sensibiliser et d’informer ses clients. P.3/4 P.4/5 P.6 P.7 Les mesures de prévention des fraudes Scénarios et exemples de fraudes Les critères d’alerte et les 7 règles d’or de la sécurité Que faire en cas de tentative réussie ? Au moindre doute, contactez votre interlocuteur habituel au sein d’Arkéa Banque Entreprises et Institutionnels. 2 LES MESURES DE PRÉVENTION DES FRAUDES Sécuriser vos processus et vos outils de sortie de fonds • Formaliser et automatiser vos processus. • Sécuriser les connexions aux outils informatiques dédiés. • Contrôler les accès aux données sensibles. • Limiter les personnes habilitées à ces outils. • Séparer les missions de vos collaborateurs en leur affectant des droits distincts (saisie et validation des virements). • Effectuer régulièrement des contrôles internes. Sécuriser les échanges avec votre banque • Respecter les procédures formalisées par votre partenaire bancaire. •A dopter les moyens d’échanges dématérialisés afin de limiter les virements à haut niveau de risque (papiers et fax). • Privilégier les échanges avec vos contacts habituels et/ou effectuer des contre appels. • Informer votre banque, en face à face, des personnes autorisées à effectuer les opérations bancaires (modèle de signature, nom, coordonnées…). • Utiliser les outils de sécurité proposés par votre banque (Virtualis…). 3 Informer vos collaborateurs • Sensibiliser les collaborateurs sur les différents scénarios possibles de fraude. • Systématiser la connaissance des fournisseurs, clients et partenaires. • Autoriser l’esprit critique de vos collaborateurs. • Faciliter l’échange avec la hiérarchie. • Encourager les bonnes initiatives et les acteurs ayant déjoué une tentative. Limiter la diffusion de l’information • Interdire la diffusion d’informations sensibles sur les réseaux sociaux par les collaborateurs. • Vérifier les informations diffusées sur les sites internet de la société. • Limiter l’accès aux documents sensibles (modèles de fax, documents contenant les modèles de signatures des dirigeants…). • Conserver la confidentialité des signatures manuscrites des dirigeants. SCÉNARIOS ET EXEMPLES DE FRAUDES Zoom sur la fraude par « ingénierie sociale » ou « fraude au président » : manipulation des personnes afin de faire exécuter des opérations Les grandes lignes sont les suivantes : • Le fraudeur constitue un dossier « social engineering » de la société ciblée (KBis, endettement, statuts constitutifs, comptes annuels, logo de la société, effectif, culture de l’entreprise… ) dans le but d’obtenir un maximum d’informations y compris concernant les dirigeants. 4 •U ne fois le dossier constitué, le fraudeur lance l’attaque par courriel (mail-phishing) ou en téléphonant à un collaborateur de la société en charge des sorties de fonds. Se faisant passer pour un dirigeant de la société, il explique avec assurance et autorité pouvant même aller jusque l’intimidation, l’urgence de réaliser un virement à l’étranger dans le cadre d’une affaire confidentielle. •U ne fois cet appel téléphonique passé, l’employé reçoit généralement les instructions par courriel voire même sur son téléphone portable personnel. 4 autres exemples de fraudes : •M ail-phishing : vous recevez un e-mail, dans lequel il vous est demandé de «mettre à jour» ou de «confirmer suite à un incident technique» des données, notamment bancaires. Cette demande peut transiter par une invitation à se connecter en ligne par le biais d’un lien hypertexte sur un site falsifié ou un formulaire de saisie copie « conforme » du site original. •V irements SEPA : sous le prétexte d’une mise à jour du paramétrage des nouveaux protocoles européens, un fraudeur se faisant passer pour un informaticien parvient à vous convaincre de vous connecter sur un site dédié dont la page d’accueil affiche le logo de la société ciblée. Cette opération permet de prendre le contrôle de l’ordinateur à distance et d’émettre des virements. •M alware, spyware : un logiciel malveillant, s’installe à l’insu de l’utilisateur sur un ordinateur non protégé (ou mal protégé), lors de l’ouverture d’un mail frauduleux ou par téléchargement lors de la visite d’un site web. Ce virus permet au fraudeur d’avoir connaissance de (presque) tout ce qui se passe sur l’ordinateur contaminé. • De faux ordres de virement ou de fausses factures sont envoyés par fax ou par courrier aux sociétés ciblées, ou aux banques des sociétés ciblées. Ces documents sont falsifiés et comportent une copie du logo et des signatures. Ces types de fraude constituent un danger croissant car la qualité et la précision de ces contenus tendent à s’améliorer significativement : moins de fautes d’orthographe, une syntaxe qui progresse, des arnaques plus pertinentes, une imitation de la communication des sociétés de plus en plus crédible. 5 LES CRITÈRES D’ALERTE ET LES 7 RÈGLES D’OR DE LA SÉCURITÉ DE VOS OPÉRATIONS En cas de contact téléphonique ou par e-mail par une personne que vous ne connaissez pas mais se présentant comme étant un collaborateur de votre société et/ou en cas de doute sur son origine : • Être sûr de l’identité de votre interlocuteur en vérifiant son authenticité auprès de vos interlocuteurs habituels. • Utiliser les adresses habituelles de votre répertoire (mail, fax, téléphone). • Ne pas cliquer sur les liens internet contenus dans un courriel douteux. • Vérifier que vous êtes bien sur un site sécurisé «https ». • Ne pas divulguer vos login ou de mots de passe. • Ne pas communiquer les noms et coordonnées des collaborateurs ayant déposé leurs pouvoirs et signatures. • Ne pas transmettre de données sensibles (mise à jour de données administratives, vérification des moyens de paiements, déblocage de carte). CRITÈRES D’ALERTE : 6 • Connaissance pointue de l’entreprise • Demande de confidentialité • Opération exceptionnelle • Aplomb de l’interlocuteur • Demande urgente • Usage d’autorité •N on-respect des procédures habituelles • Pression, intimidation QUE FAIRE EN CAS DE TENTATIVE RÉUSSIE ? Si une tentative de fraude s’avère avoir fonctionné, les mesures de protection à prendre immédiatement sont de : 1 D emander le blocage des fonds le plus vite possible auprès de votre banque. 2 Déposer plainte auprès de la police locale. 3 A viser par téléphone la division économique et financière du Service Régional de Police Judiciaire et déposer plainte auprès de ce service. Le SRPJ s’organisera pour contacter la police locale en cas de virement à l’étranger afin de faciliter le gel des fonds et l’identification du titulaire du compte destinataire. Même en cas de tentative non réussie : relever les numéros et heures d’appel du fraudeur, garder les mails frauduleux, conserver les enregistrements des appels s’ils existent, demander l’extraction de la source (en-tête) de ces mails, déposer plainte directement au SRPJ. Détecter et déjouer les tentatives de fraudes c’est : • Respecter strictement vos procédures internes. • Faire preuve d’une vigilance constante. • Favoriser une communication régulière entre vos salariés. Au moindre doute, contactez votre interlocuteur habituel au sein d’Arkéa Banque Entreprises et Institutionnels. 7 AMÉLIORONS ENSEMBLE NOTRE SÉCURITÉ EN ADOPTANT LES BONNES PRATIQUES ! LA BANQUE À VISAGE HUMAIN Société anonyme à Directoire et Conseil de surveillance au capital de 530 000 000 euros, banque et courtage d’assurances (N° ORIAS : 07 026 594) RCS BREST 378 398 911. Siège social : Allée Louis Lichou - 29480 Le Relecq-Kerhuon. Adresse postale : Immeuble Le Sextant - 255 rue de St Malo - CS 21135 - 35011 Rennes Cedex. D.I.O.P - mai 2014 - Crédits photos : Fotolia / 123RF ARKÉA BANQUE ENTREPRISES ET INSTITUTIONNELS