BNP Paribas Cash Management.indd

PUBLI-RÉDACTIONNEL
Contre la fraude :
BNP Paribas sensibilise ses clients
La fraude n’est pas un vain mot. Organisée, elle est la plaie des
entreprises européennes. Pour lutter contre ce fléau, BNP Paribas
sensibilise ses clients et déploie les grands moyens. Interview de
Marie Laurence Faure, responsable du marketing électronique
bancaire de BNP Paribas Cash Management.
Un nouveau type de fraude par usurpation d’identité : l’escroquerie au loyer
L’escroc contacte le service comptabilité et se présente comme le bailleur de
l’entreprise. Il précise que le loyer devra désormais être versé sur le compte bancaire
d’une société domiciliée à l’étranger. Il envoie ensuite les nouvelles coordonnées
bancaires à la victime en utilisant le logo original et une adresse email très proche de
celle du véritable bailleur.
PC de leurs victimes et les pousser à
réaliser des virements de test. Désormais, ils prétextent plutôt un paramétrage d’outil, des actions de maintenance, un changement de version,
un incident … Les escrocs ne sont pas
prisonniers des schémas !
Comment expliquez-vous la facilité des fraudeurs à passer en
dehors des mailles du filet ?
Comment la fraude se manifeste-t-elle de nos jours ?
Les fraudeurs ont-ils profité du
passage vers le SEPA ?
Les entreprises ont toujours subi des
tentatives de fraudes diverses et variées :
corruption, fraude comptable, détournement de stock et de fonds, via de multiples méthodes (fournisseur ou salarié
fictif, achat personnel, falsification de
chèques sortants, fraude monétique …).
Les faux ordres de virement classiques,
supportant la signature usurpée du
dirigeant, sont en déclin depuis plusieurs années. Par ailleurs, les canaux
électroniques sont de plus en plus sûrs.
Certaines équipes de fraudeurs ont donc
décidé de s’attaquer au maillon faible :
la personne responsable de réaliser les
paiements dans l’entreprise.
Tout changement réglementaire
peut être une opportunité pour des
bandes organisées. Le passage au
SEPA a fragilisé les procédures de
contrôles dans nombre d’entreprises.
Par exemple, certaines n’appliquent
plus de traitement différencié aux virements SEPA transfrontaliers, par nature plus sensibles que les virements
domestiques. L’enjeu est de taille :
depuis 2011, ce type de fraude a causé
en France environ 300 millions d’euros
de préjudice aux entreprises !
Comment agissent ces fraudeurs ?
Par usurpation d’identité. En général, l’escroc se fait passer pour un
cadre dirigeant de l’entreprise, un
technicien bancaire ou un fournisseur, et amène sa victime, de bonne
foi, à envoyer un ordre de virement
transfrontalier frauduleux. Les escroqueries sont généralement précédées
d’une phase « d’ingénierie sociale »
qui peut durer plusieurs mois : collecte des statuts, extrait K-bis, organigrammes, spécimens de signature …
Les fraudeurs s’adaptent à chaque entreprise et perfectionnent leurs techniques. Par exemple, ils utilisent des
outils de prise en main à distance de
PC, des plates-formes d’appels dématérialisés, le piratage d’email, le détournement de ligne téléphonique, etc.
BNP Paribas Cash Management.indd 2-3
Quelle est la périodicité de ces
attaques ? Qui sont les cibles ?
Les tentatives sont extrêmement
fréquentes, et il ne se passe pas une
semaine sans qu’un de nos clients
nous informe qu’il a été pris pour
cible. Les fraudeurs s’attaquent
en majorité aux grandes PME, aux
grands groupes et à leurs filiales.
Mais aucune entreprise n’est à l’abri
si elle détient des capitaux certains.
Les filiales de groupes étrangers en
France prêtent particulièrement le
flanc aux malversations, du fait de
l’éloignement de leur maison mère.
Comment reconnaître les fraudeurs ?
Les équipes d’escrocs sont particulièrement talentueuses : douées
d’empathie et d’autorité naturelle,
elles peuvent aller jusqu’à imiter la
voix d’un président, intimider leur
Marie Laurence Faure, Responsable
du marketing électronique bancaire,
BNP Paribas Cash Management
interlocuteur si le dossier n’avance
pas assez vite à leur goût, appeler
plusieurs fois leur future victime
pour se faire connaître avant de passer à l’attaque …
Ne cherchez donc pas à les identifier !
Soyez suspicieux dans tous les cas :
vérifiez systématiquement toute sollicitation entrante par un contre-appel à
votre interlocuteur habituel, à ses coordonnées habituelles.
Le faux employé de banque ordonnant un test SEPA est-il toujours usité de nos jours ?
Oui. Les fraudeurs ont longtemps
profité de la migration SEPA, des
changements de format ou de coordonnées fournisseurs. Depuis la
fin de la migration, ils continuent
à usurper l’identité de techniciens
bancaires, pour prendre en main le
Nous constatons principalement
trois raisons. En premier lieu,
l’absence de séparation des rôles
chez l’entreprise. Par exemple,
lorsqu’une personne du service
comptable peut valider seule des virements ; ou lorsque le chef d’entreprise confie sa carte de validation au
service comptable… Cela peut être
pratique pour la gestion au quotidien d’entreprise, mais c’est extrêmement dangereux ! Il n’existe alors
plus de contrôle à quatre yeux !
En deuxième lieu, l’utilisation de
validation par fax (qui est un canal
plus vulnérable).
Enfin, en troisième lieu, l’absence de
sensibilisation régulière des équipes
pouvant réaliser des virements. Sensibilisation indispensable, mais pas
suffisante.
Quelles précautions les entreprises doivent-elles prendre ?
D’abord, appliquer une politique
d’autorisation des ordres avec séparation des rôles, et l’auditer régulièrement.
Ensuite, procéder à un rapprochement bancaire régulier, en veillant
encore à séparer les rôles, afin
d’identifier les virements suspicieux. Pour aller plus loin, l’entre-
prise peut aussi inciter ses équipes
d’accueil à vérifier l’identité de tout
interlocuteur avant de communiquer
des informations. Nous avons aussi
constaté que le blocage des sites
de prise en main à distance des PC
s’avère efficace pour décourager
certaines escroqueries au faux technicien bancaire.
Par où transitent les transactions
illégales ?
Les fraudeurs utilisent des circuits
financiers complexes et mouvants.
Les transactions peuvent passer par
de nombreux comptes de rebond dans
des pays variés dans lesquels le rappel des fonds est souvent difficile.
Quand la banque peut-elle intervenir en cas de fraude ?
La rapidité est cruciale. En cas de
suspicion de fraude, l’entreprise
doit avertir sa banque immédiatement. Cela peut nous permettre de
stopper le virement ou de demander
le retour des fonds.
Comment sensibilisez-vous votre
clientèle devant la fraude ?
Nous communiquons régulièrement à
nos clients pour rappeler les risques
et les principes de base, par le biais
de news, de notre site internet, des
relevés de comptes, de nos outils
bancaires, de nos équipes commerciales …
Nous rappelons par exemple à nos
clients de ne jamais valider de transaction, modifier de compte bénéficiaire, réaliser de test, cliquer sur un
lien ou communiquer d’information à
la demande d’un tiers dont l’identité
n’a pas été formellement vérifiée.
Comment pouvez-vous suppléer aux faiblesses de votre
clientèle ?
Nos back offices et nos équipes
commerciales détectent et stoppent
déjà une très grande majorité des
virements frauduleux. Par ailleurs,
nous développons des solutions globales permettant de renforcer les
contrôles sur l’ensemble de la chaîne
des paiements.
Que proposez-vous pour les dirigeants en déplacement ?
Nous avons développé une application mobile sur smartphone et sur
tablette pour valider les paiements
des chefs d’entreprise en déplacement. Cela permet de conserver le
process de validation dit de « quatre
yeux » et d’éviter ainsi tout agissement suspect !
Comment aidez-vous les clients
à vérifier les points de contrôle
interne sur les différents modes
de paiement ?
Nous voulons mobiliser nos chargés d’affaires pour qu’ils se rapprochent des entreprises de plus en
plus ciblées. Nos équipes commerciales vont mener des rendez-vous
personnalisés pour aider les clients
qui le souhaitent à diagnostiquer
leurs points de faiblesse, à utiliser
au mieux leurs outils, à mettre en
place des procédures sécurisées, à
jouer la carte de la validation dématérialisée, à installer des alertes, à
renforcer les contrôles sur les paiements sensibles … Le tout dans une
réponse personnalisée.
Téléchargez notre nouvelle application BNP Paribas Entreprises & PME sur l’App Store.
Version Android disponible avant la fin de l’année.
Consultez à tout moment les comptes de votre entreprise, et validez vos opérations et fichiers télétransmis
directement sur votre iPhone ou votre iPad en toute sécurité !
24/10/14 11:17