SÉCURITÉ, BANQUE ET ENTREPRISES

SÉCURITÉ, BANQUE ET ENTREPRISES
Prévention des risques de fraudes
SECURITÉ, BANQUE ET ENTREPRISES
PRÉVENTION DES RISQUES DE FRAUDES
Les moyens modernes de communication et les systèmes informatiques des
entreprises actuelles permettent une recrudescence des fraudes de toute nature :
escroqueries, abus de confiance, détournement d’actifs.
Les fraudeurs usent d’artifices de plus en plus sophistiqués pour réunir les
informations déterminantes et nécessaires à leur scénario. Leur but est d’émettre
des virements frauduleux, le plus souvent à l’international.
Les banques ont été les premières visées par ce type de fraude et constatent
aujourd’hui un report important de ces tentatives sur les entreprises.
Dans ce contexte, Arkéa Banque Entreprises & Institutionnels a la volonté de
sensibiliser et d’informer ses clients.
P.3/4
P.4/5
P.6
P.7
Les mesures de prévention des fraudes
Scénarios et exemples de fraudes
Les critères d’alerte et les 7 règles d’or de la sécurité
Que faire en cas de tentative réussie ?
Au moindre doute, contactez votre interlocuteur habituel
au sein d’Arkéa Banque Entreprises et Institutionnels.
2
LES MESURES DE PRÉVENTION DES FRAUDES
Sécuriser vos processus et vos outils de sortie de fonds
• Formaliser et automatiser vos processus.
• Sécuriser les connexions aux outils informatiques dédiés.
• Contrôler les accès aux données sensibles.
• Limiter les personnes habilitées à ces outils.
• Séparer les missions de vos collaborateurs en leur affectant des droits distincts
(saisie et validation des virements).
• Effectuer régulièrement des contrôles internes.
Sécuriser les échanges avec votre banque
• Respecter les procédures formalisées par votre partenaire bancaire.
•A
dopter les moyens d’échanges dématérialisés afin de limiter les virements à
haut niveau de risque (papiers et fax).
• Privilégier les échanges avec vos contacts habituels et/ou effectuer des contre
appels.
• Informer votre banque, en face à face, des personnes autorisées à effectuer les
opérations bancaires (modèle de signature, nom, coordonnées…).
• Utiliser les outils de sécurité proposés par votre banque (Virtualis…).
3
Informer vos collaborateurs
• Sensibiliser les collaborateurs sur les différents scénarios possibles
de fraude.
• Systématiser la connaissance des fournisseurs, clients et partenaires.
• Autoriser l’esprit critique de vos collaborateurs.
• Faciliter l’échange avec la hiérarchie.
• Encourager les bonnes initiatives et les acteurs ayant déjoué une tentative.
Limiter la diffusion de l’information
• Interdire la diffusion d’informations sensibles sur les réseaux sociaux par
les collaborateurs.
• Vérifier les informations diffusées sur les sites internet de la société.
• Limiter l’accès aux documents sensibles (modèles de fax, documents
contenant les modèles de signatures des dirigeants…).
• Conserver la confidentialité des signatures manuscrites
des dirigeants.
SCÉNARIOS ET EXEMPLES DE FRAUDES
Zoom sur la fraude par « ingénierie sociale » ou
« fraude au président » : manipulation des
personnes afin de faire exécuter des opérations
Les grandes lignes sont les suivantes :
• Le fraudeur constitue un dossier « social engineering » de la société ciblée
(KBis, endettement, statuts constitutifs, comptes annuels, logo de la société,
effectif, culture de l’entreprise… ) dans le but d’obtenir un maximum
d’informations y compris concernant les dirigeants.
4
•U
ne fois le dossier constitué, le fraudeur lance l’attaque par courriel
(mail-phishing) ou en téléphonant à un collaborateur de la société en charge
des sorties de fonds. Se faisant passer pour un dirigeant de la société, il
explique avec assurance et autorité pouvant même aller jusque l’intimidation,
l’urgence de réaliser un virement à l’étranger dans le cadre d’une affaire
confidentielle.
•U
ne fois cet appel téléphonique passé, l’employé reçoit généralement les
instructions par courriel voire même sur son téléphone portable personnel.
4 autres exemples de fraudes :
•M
ail-phishing : vous recevez un e-mail, dans lequel il vous est demandé
de «mettre à jour» ou de «confirmer suite à un incident technique» des
données, notamment bancaires. Cette demande peut transiter par une
invitation à se connecter en ligne par le biais d’un lien hypertexte sur un site
falsifié ou un formulaire de saisie copie « conforme » du site original.
•V
irements SEPA : sous le prétexte d’une mise à jour du paramétrage des
nouveaux protocoles européens, un fraudeur se faisant passer pour un
informaticien parvient à vous convaincre de vous connecter sur un site dédié
dont la page d’accueil affiche le logo de la société ciblée. Cette opération
permet de prendre le contrôle de l’ordinateur à distance et d’émettre des
virements.
•M
alware, spyware : un logiciel malveillant, s’installe à l’insu de l’utilisateur
sur un ordinateur non protégé (ou mal protégé), lors de l’ouverture d’un mail
frauduleux ou par téléchargement lors de la visite d’un site web.
Ce virus permet au fraudeur d’avoir connaissance de (presque) tout ce qui se
passe sur l’ordinateur contaminé.
• De faux ordres de virement ou de fausses factures sont envoyés par fax
ou par courrier aux sociétés ciblées, ou aux banques des sociétés ciblées.
Ces documents sont falsifiés et comportent une copie du logo et des signatures.
Ces types de fraude constituent un danger croissant car la qualité
et la précision de ces contenus tendent à s’améliorer
significativement : moins de fautes d’orthographe, une syntaxe
qui progresse, des arnaques plus pertinentes, une imitation de la
communication des sociétés de plus en plus crédible.
5
LES CRITÈRES D’ALERTE ET LES 7 RÈGLES D’OR
DE LA SÉCURITÉ DE VOS OPÉRATIONS
En cas de contact téléphonique ou par e-mail par une
personne que vous ne connaissez pas mais se présentant
comme étant un collaborateur de votre société et/ou en cas
de doute sur son origine :
• Être sûr de l’identité de votre interlocuteur en vérifiant son authenticité auprès
de vos interlocuteurs habituels.
• Utiliser les adresses habituelles de votre répertoire (mail, fax, téléphone).
• Ne pas cliquer sur les liens internet contenus dans un courriel douteux.
• Vérifier que vous êtes bien sur un site sécurisé «https ».
• Ne pas divulguer vos login ou de mots de passe.
• Ne pas communiquer les noms et coordonnées des collaborateurs ayant
déposé leurs pouvoirs et signatures.
• Ne pas transmettre de données sensibles (mise à jour de données
administratives, vérification des moyens de paiements, déblocage de carte).
CRITÈRES D’ALERTE :
6
• Connaissance pointue de l’entreprise
• Demande de confidentialité
• Opération exceptionnelle
• Aplomb de l’interlocuteur
• Demande urgente
• Usage d’autorité
•N
on-respect des procédures
habituelles
• Pression, intimidation
QUE FAIRE EN CAS DE TENTATIVE RÉUSSIE ?
Si une tentative de fraude s’avère avoir fonctionné, les
mesures de protection à prendre immédiatement sont de :
1
D
emander le blocage des fonds le plus vite possible auprès de votre
banque.
2
Déposer plainte auprès de la police locale.
3
A
viser par téléphone la division économique et financière du Service
Régional de Police Judiciaire et déposer plainte auprès de ce service.
Le SRPJ s’organisera pour contacter la police locale en cas de
virement à l’étranger afin de faciliter le gel des fonds et l’identification
du titulaire du compte destinataire.
Même en cas de tentative non réussie : relever les numéros et heures d’appel du
fraudeur, garder les mails frauduleux, conserver les enregistrements des appels
s’ils existent, demander l’extraction de la source (en-tête) de ces mails, déposer
plainte directement au SRPJ.
Détecter et déjouer les tentatives de fraudes c’est :
• Respecter strictement vos procédures internes.
• Faire preuve d’une vigilance constante.
• Favoriser une communication régulière entre vos salariés.
Au moindre doute, contactez votre interlocuteur habituel
au sein d’Arkéa Banque Entreprises et Institutionnels.
7
AMÉLIORONS ENSEMBLE NOTRE SÉCURITÉ
EN ADOPTANT LES BONNES PRATIQUES !
LA BANQUE À VISAGE HUMAIN
Société anonyme à Directoire et Conseil de surveillance au capital de 530 000 000 euros, banque et courtage d’assurances (N° ORIAS : 07 026 594)
RCS BREST 378 398 911. Siège social : Allée Louis Lichou - 29480 Le Relecq-Kerhuon.
Adresse postale : Immeuble Le Sextant - 255 rue de St Malo - CS 21135 - 35011 Rennes Cedex.
D.I.O.P - mai 2014 - Crédits photos : Fotolia / 123RF
ARKÉA BANQUE ENTREPRISES ET INSTITUTIONNELS