BNP Paribas Cash Management.indd
Transcription
BNP Paribas Cash Management.indd
PUBLI-RÉDACTIONNEL Contre la fraude : BNP Paribas sensibilise ses clients La fraude n’est pas un vain mot. Organisée, elle est la plaie des entreprises européennes. Pour lutter contre ce fléau, BNP Paribas sensibilise ses clients et déploie les grands moyens. Interview de Marie Laurence Faure, responsable du marketing électronique bancaire de BNP Paribas Cash Management. Un nouveau type de fraude par usurpation d’identité : l’escroquerie au loyer L’escroc contacte le service comptabilité et se présente comme le bailleur de l’entreprise. Il précise que le loyer devra désormais être versé sur le compte bancaire d’une société domiciliée à l’étranger. Il envoie ensuite les nouvelles coordonnées bancaires à la victime en utilisant le logo original et une adresse email très proche de celle du véritable bailleur. PC de leurs victimes et les pousser à réaliser des virements de test. Désormais, ils prétextent plutôt un paramétrage d’outil, des actions de maintenance, un changement de version, un incident … Les escrocs ne sont pas prisonniers des schémas ! Comment expliquez-vous la facilité des fraudeurs à passer en dehors des mailles du filet ? Comment la fraude se manifeste-t-elle de nos jours ? Les fraudeurs ont-ils profité du passage vers le SEPA ? Les entreprises ont toujours subi des tentatives de fraudes diverses et variées : corruption, fraude comptable, détournement de stock et de fonds, via de multiples méthodes (fournisseur ou salarié fictif, achat personnel, falsification de chèques sortants, fraude monétique …). Les faux ordres de virement classiques, supportant la signature usurpée du dirigeant, sont en déclin depuis plusieurs années. Par ailleurs, les canaux électroniques sont de plus en plus sûrs. Certaines équipes de fraudeurs ont donc décidé de s’attaquer au maillon faible : la personne responsable de réaliser les paiements dans l’entreprise. Tout changement réglementaire peut être une opportunité pour des bandes organisées. Le passage au SEPA a fragilisé les procédures de contrôles dans nombre d’entreprises. Par exemple, certaines n’appliquent plus de traitement différencié aux virements SEPA transfrontaliers, par nature plus sensibles que les virements domestiques. L’enjeu est de taille : depuis 2011, ce type de fraude a causé en France environ 300 millions d’euros de préjudice aux entreprises ! Comment agissent ces fraudeurs ? Par usurpation d’identité. En général, l’escroc se fait passer pour un cadre dirigeant de l’entreprise, un technicien bancaire ou un fournisseur, et amène sa victime, de bonne foi, à envoyer un ordre de virement transfrontalier frauduleux. Les escroqueries sont généralement précédées d’une phase « d’ingénierie sociale » qui peut durer plusieurs mois : collecte des statuts, extrait K-bis, organigrammes, spécimens de signature … Les fraudeurs s’adaptent à chaque entreprise et perfectionnent leurs techniques. Par exemple, ils utilisent des outils de prise en main à distance de PC, des plates-formes d’appels dématérialisés, le piratage d’email, le détournement de ligne téléphonique, etc. BNP Paribas Cash Management.indd 2-3 Quelle est la périodicité de ces attaques ? Qui sont les cibles ? Les tentatives sont extrêmement fréquentes, et il ne se passe pas une semaine sans qu’un de nos clients nous informe qu’il a été pris pour cible. Les fraudeurs s’attaquent en majorité aux grandes PME, aux grands groupes et à leurs filiales. Mais aucune entreprise n’est à l’abri si elle détient des capitaux certains. Les filiales de groupes étrangers en France prêtent particulièrement le flanc aux malversations, du fait de l’éloignement de leur maison mère. Comment reconnaître les fraudeurs ? Les équipes d’escrocs sont particulièrement talentueuses : douées d’empathie et d’autorité naturelle, elles peuvent aller jusqu’à imiter la voix d’un président, intimider leur Marie Laurence Faure, Responsable du marketing électronique bancaire, BNP Paribas Cash Management interlocuteur si le dossier n’avance pas assez vite à leur goût, appeler plusieurs fois leur future victime pour se faire connaître avant de passer à l’attaque … Ne cherchez donc pas à les identifier ! Soyez suspicieux dans tous les cas : vérifiez systématiquement toute sollicitation entrante par un contre-appel à votre interlocuteur habituel, à ses coordonnées habituelles. Le faux employé de banque ordonnant un test SEPA est-il toujours usité de nos jours ? Oui. Les fraudeurs ont longtemps profité de la migration SEPA, des changements de format ou de coordonnées fournisseurs. Depuis la fin de la migration, ils continuent à usurper l’identité de techniciens bancaires, pour prendre en main le Nous constatons principalement trois raisons. En premier lieu, l’absence de séparation des rôles chez l’entreprise. Par exemple, lorsqu’une personne du service comptable peut valider seule des virements ; ou lorsque le chef d’entreprise confie sa carte de validation au service comptable… Cela peut être pratique pour la gestion au quotidien d’entreprise, mais c’est extrêmement dangereux ! Il n’existe alors plus de contrôle à quatre yeux ! En deuxième lieu, l’utilisation de validation par fax (qui est un canal plus vulnérable). Enfin, en troisième lieu, l’absence de sensibilisation régulière des équipes pouvant réaliser des virements. Sensibilisation indispensable, mais pas suffisante. Quelles précautions les entreprises doivent-elles prendre ? D’abord, appliquer une politique d’autorisation des ordres avec séparation des rôles, et l’auditer régulièrement. Ensuite, procéder à un rapprochement bancaire régulier, en veillant encore à séparer les rôles, afin d’identifier les virements suspicieux. Pour aller plus loin, l’entre- prise peut aussi inciter ses équipes d’accueil à vérifier l’identité de tout interlocuteur avant de communiquer des informations. Nous avons aussi constaté que le blocage des sites de prise en main à distance des PC s’avère efficace pour décourager certaines escroqueries au faux technicien bancaire. Par où transitent les transactions illégales ? Les fraudeurs utilisent des circuits financiers complexes et mouvants. Les transactions peuvent passer par de nombreux comptes de rebond dans des pays variés dans lesquels le rappel des fonds est souvent difficile. Quand la banque peut-elle intervenir en cas de fraude ? La rapidité est cruciale. En cas de suspicion de fraude, l’entreprise doit avertir sa banque immédiatement. Cela peut nous permettre de stopper le virement ou de demander le retour des fonds. Comment sensibilisez-vous votre clientèle devant la fraude ? Nous communiquons régulièrement à nos clients pour rappeler les risques et les principes de base, par le biais de news, de notre site internet, des relevés de comptes, de nos outils bancaires, de nos équipes commerciales … Nous rappelons par exemple à nos clients de ne jamais valider de transaction, modifier de compte bénéficiaire, réaliser de test, cliquer sur un lien ou communiquer d’information à la demande d’un tiers dont l’identité n’a pas été formellement vérifiée. Comment pouvez-vous suppléer aux faiblesses de votre clientèle ? Nos back offices et nos équipes commerciales détectent et stoppent déjà une très grande majorité des virements frauduleux. Par ailleurs, nous développons des solutions globales permettant de renforcer les contrôles sur l’ensemble de la chaîne des paiements. Que proposez-vous pour les dirigeants en déplacement ? Nous avons développé une application mobile sur smartphone et sur tablette pour valider les paiements des chefs d’entreprise en déplacement. Cela permet de conserver le process de validation dit de « quatre yeux » et d’éviter ainsi tout agissement suspect ! Comment aidez-vous les clients à vérifier les points de contrôle interne sur les différents modes de paiement ? Nous voulons mobiliser nos chargés d’affaires pour qu’ils se rapprochent des entreprises de plus en plus ciblées. Nos équipes commerciales vont mener des rendez-vous personnalisés pour aider les clients qui le souhaitent à diagnostiquer leurs points de faiblesse, à utiliser au mieux leurs outils, à mettre en place des procédures sécurisées, à jouer la carte de la validation dématérialisée, à installer des alertes, à renforcer les contrôles sur les paiements sensibles … Le tout dans une réponse personnalisée. Téléchargez notre nouvelle application BNP Paribas Entreprises & PME sur l’App Store. Version Android disponible avant la fin de l’année. Consultez à tout moment les comptes de votre entreprise, et validez vos opérations et fichiers télétransmis directement sur votre iPhone ou votre iPad en toute sécurité ! 24/10/14 11:17