Lutte contre la fraude aux virements - MEDEF Lyon
Transcription
Lutte contre la fraude aux virements - MEDEF Lyon
Déjouer la fraude aux « faux » virements MEDEF Lyon – Rhône Mardi 28 avril 2015 Typologie de la fraude sur les moyens de paiements – Source BDF Données fraude sur les moyens de paiements en France – Source BDF Les différentes typologies de fraudes • Constat : forte recrudescence des tentatives de fraudes aux faux virements sous différentes formes : • Faux virements papiers • Demande urgente d’un Président de société d’effectuer par téléphone un virement dans le cadre d’une acquisition qui doit rester confidentielle • Demande de modification d’un IBAN par téléphone confirmée par faux mail émanant de la bonne adresse mail ou par courrier fournisseur • Demande urgente de virement avec synthétiseur de voix • Demande de virement pour tester des fichiers après envoi d’un mail pour informer que les services techniques de la banque vont appeler • Demande au service comptable d’exécuter un virement à l’étranger afin de démasquer un escroc en se faisant passer pour le dirigeant ou la brigade financière Les différentes typologies de fraudes • Pour opérer, les escrocs utilisent aujourd’hui des techniques de plus en plus difficiles à contrer en usurpant des identités, des voix avec une force de persuasion impressionnante : • Falsification des courriers électroniques ou papiers en se servant des infos collectées sur internet (logo, signature, fax, mail…) • Modification des informations de la base de donnée des banques par appel téléphonique afin de pouvoir confirmer par mail ou téléphone des virements • Utilisation de techniques faisant apparaitre des numéros d’appels réels français alors que ces appels proviennent de l’étranger • Utilisation de technologies permettant de pirater les adresses e-mail (fournisseurs, dirigeants de l’entreprise) alors qu’elles émanent des escrocs • Utilisation de faux lien inséré dans des mails permettant à l’escroc de prendre la main sur le poste à distance avec une bonne connaissance des outils … Les actions préventives dans les Entreprises • Suppression de tous les virements papier • Suppression des validations disjointes par fax • Vérifier systématiquement par contre-appel téléphonique les changements d’IBAN des fournisseurs (ne pas utiliser le tél du courrier mais celui de l’interlocuteur habituel) • Sécuriser les transactions par des certificats numériques • Nous recommandons une parfaite séparation des tâches dans les processus conduisant à la télétransmission des fichiers de paiement : Consulter, Saisir, Valider • Nous recommandons une double signature électronique : contrôle « quatre yeux » Les actions préventives dans les Entreprises • Renforcer les procédures des opérations « urgentes » : toutes les opérations frauduleuses sont généralement faites dans l’urgence, la confidentialité et l’intimidation • Ne pas partager entre plusieurs collaborateurs les systèmes d’authentification mis à votre disposition • Pensez toujours à déconnecter vos moyens d’authentification du port USB de votre PC lorsque vous avez terminé de traiter vos opérations • Respecter également les consignes de sécurité suivantes : • Ne pas cliquer sur un lien hypertexte ou un fichier joint suite à la réception d’un mail d’une personne inconnue • N’effectuer aucune opération contraire à vos procédures internes habituelles • Sensibiliser les collaborateurs de l’entreprise sur l’usurpation d’identité et se méfier des appels tél. de personnes se faisant passer pour un responsable de l’entreprise et ordonnerait l’exécution d’un virement urgent, confidentiel et atypique Autres conseils de sécurité • Votre banque ne vous demandera jamais : • La communication de vos données confidentielles (ID/MDP, cartes de clés, N° CB, N° de CAB, code PIN, ….) et les noms des personnes habilitées à intervenir sur vos comptes bancaires (vos interlocuteurs habituels les connaissent) • Le téléchargement d’un logiciel de prise en main du poste informatique pour la réalisation de tests • D’effectuer des virements même sous prétexte de tests – Evitez si possible de laisser apparaître sur votre site web des données sensibles (copie de signature, ….) – Redoublez de prudence pendant les périodes de congés En résumé… • COMMUNIQUER • Subir des tentatives de fraudes ne doit pas être un tabou • La capacité des escrocs à usurper les voix et à exercer une pression psychologique est impressionnante • Cela n’arrive pas qu’aux autres • FAIRE PREUVE DE BON SENS • S’agit-il d’une opération habituelle • S’agit-il d’un interlocuteur habituel qui donne des instructions de paiement au quotidien • Savoir dire « Non, je vérifie » • Et vérifier les mouvements des comptes bancaires tous les jours • Si virement frauduleux effectué > vite prévenir la banque – Ne Jamais communiquer des identifiants, mot de passe ou clés personnelles ! – Le coût de la sécurisation est bien inférieur au coût d’une fraude avérée ! Nos préconisations en matière de sécurité Les cas les plus fréquemment rencontrés - Les mêmes personnes s’occupent des tiers, des virements, de leur validation et du rapprochement… - Mots de passes échangés entre collaborateurs ou notés sur le calendrier - Délégation bancaires non pertinentes, - Non mises à jour des personnes présentes dans l’Entreprise - Coordonnées bancaires des tiers modifiables facilement - Multitude de solutions de communications bancaires - Fichiers envoyés en banques « trainant » sur le réseau - Fichier modifiés manuellement car l’ERP ne produit pas exactement le bon format bancaire - Paiements manuels urgents (fax, sites bancaires…) ou autre (internationaux par exemple) Cycle classique d’un paiement Séparer les tâches ERP : - Création d’une facture - Création d’un tiers (salariés, fournisseurs) - Création du paiement associé Banques : - Traitement d’un flux de paiement - Traitement d’un flux de prélèvements Envoi en banque Solution de communication bancaire Banques : - Mise à disposition d’informations sur les flux bancaires Séparer les tâches côté Banque - Pour les clients utilisant la Banque à Distance et le protocole EBICS T par la gestion de délégation et de droits - exemple client CIC : Séparer les tâches côté Banque (définition des droits du délégué) Séparer les tâches côté Banque (habilitation ou non aux comptes présents) Séparer les tâches côté Banque (les plafonds et collèges dans la banque à distance) Séparer les tâches côté Banque (exemple de restitution) Dans le cas ci-dessus, la déléguée Mme Juliette LA…. est habilitée à préparer uniquement le virement de trésorerie. Elle saisit donc le virement, puis ce dernier est en statut « à valider » Le délégué Monsieur Thierry Pa…qui est habilité à valider le virement, n’a plus qu’à le valider directement en ligne (possibilité pour lui de modifier, supprimer, rejet, copier le virement) Sécuriser l’accès à la Banque A Distance en 2015 Solution Safetrans (2ème trimestre 2015) Zoom sur Safetrans Safetrans – 2ème trimestre 2015 Safetrans est une nouvelle solution d’authentification forte, basée sur la détention, par le client d’un boitier lecteur personnel, affecté au Tiers et d’une carte à puce associée • soit la carte bancaire (EMV) du Tiers concerné (toutes les cartes de paiement) • soit une carte dédiée (carte Safetrans) Safetrans est une solution monobancaire CMCIC, permettant • d’authentifier fortement l’utilisateur • de sceller et de signer des opérations sensibles Safetrans s’adresse à tous les marchés, tous les clients CMCIC : particuliers, pros, entreprises, associations… Zoom sur K Sign / CertId K Sign/Cert Id – solution commercialisée K Sign/Cert Id est un certificat simple à utiliser : • Commercialisé sur un support de type clé USB • Véritable pièce d’identité électronique nominative qui contient une clé personnelle permettant de signer électroniquement K Sign/Cert Id est livré prêt à l’emploi K Sign/Cert Id est reconnu par l’ensemble des Banques françaises (Politique d’Acceptation Commune) K Sign/Cert Id est un certificat RGS** (Référentiel Général de Sécurité défini par l’Agence Nationale pour la Sécurité des Systèmes d’Informations) et ne se limite pas à EBICS TS Sécuriser la télétransmission • Sous protocole EBICS T, mettre en place la gestion des délégués, l’activation des plafonds et des collèges (double validation) • Sous protocole EBICS TS, utilisation de la signature électronique basée sur un certificat nominatif • La signature électronique permet de fiabiliser la transaction (authentification auteur et intégrité document) • Le certificat numérique RGS** est supportée par les éditeurs de logiciels de gestion financière pour construire leur offre de protocole sécurisé EBICS-TS aux entreprises La signature électronique GAGNER DU TEMPS ET DE L’ARGENT Pas de frais d’affranchissement Délais de traitements raccourcis PARVENIR AU TRAITEMENT 100% NUMERIQUE Back Office optimisé Pas de traitements de Numérisation / ré-impression MIEUX GERER LES RISQUES Vérification d’authenticité et d’intégrité systématique Horodatage / Gestion de la preuve PERMETTRE DE NOUVEAUX USAGES Les aspects juridiques sont pris en compte dans les processus numériques Supprimer les opérations papiers • Tous les clients de la Banque sont équipés à minima d’une connexion de Banque A Distance (BAD) permettant la dématérialisation et la sécurisation des opérations • Les opérations papiers (virements, saisie d’effets, etc.), comme les validations par fax ou mail des télétransmissions bancaires sont à proscrire dans la mesure du possible, car trop exposées à la fraude Contrôler les coordonnées bancaires des bases tiers • Solution nouvelle pour les GE • Service de messagerie sécurisée proposant plusieurs fonctionnalités destinées à simplifier, dématérialiser et sécuriser les échanges de données • Une des fonctionnalités > service DIAMOND (Direct Identity control for Accounty Management ON Demand) permettant de fiabiliser les coordonnées bancaires données par un titulaire de compte à un donneur d’ordre de virement ou de prélèvement • Usages • Détecter si l’IBAN existe réellement, s’il correspond à un compte ouvert • Vérifier si l’IBAN correspond bien au titulaire présumé du compte Schéma DIAMOND • T En conclusion • La fraude est bien réelle et s’attaque à toutes entreprises • Les techniques de fraude évoluent, il faut anticiper les risques • Certains traitements peuvent demander du temps mais en comparaison avec le coût de la fraude, ce n’est rien • Toutes ces techniques ne sont pas des copier/coller à mettre en place mais doivent être le résultat d’un audit de votre organisation • Sensibiliser les équipes • Mettre en place un process et le respecter quelle que soit la fonction de l’interlocuteur en face ou l’urgence de la situation • Revoir régulièrement ses process • Pensez et exigez à utiliser les moyens mis à disposition par les Banques • Le CIC vous accompagne dans votre réflexion et la stratégie à mener dans la lutte contre la fraude (paramétrage 0 papier, liste blanche ou liste noire pour les VSOT, … ) En conclusion • ET pour la partie système d’information Info via le site de l’ANSSI – Agence Nationale de la sécurité des systèmes d’information http://www.ssi.gouv.fr/fr/menu/actualites/proteger-son-site-internet-descyberattaques.html Liste des certificats numériques acceptés par les banques en signature de fichiers télétransmis http://www.cfonb.org