Lutte contre la fraude aux virements - MEDEF Lyon

Déjouer la fraude aux « faux » virements
MEDEF Lyon – Rhône
Mardi 28 avril 2015
Typologie de la fraude sur les moyens de paiements – Source BDF
Données fraude sur les moyens de paiements en France – Source BDF
Les différentes typologies de fraudes
• Constat : forte recrudescence des tentatives de fraudes aux faux virements sous
différentes formes :
• Faux virements papiers
• Demande urgente d’un Président de société d’effectuer par téléphone un
virement dans le cadre d’une acquisition qui doit rester confidentielle
• Demande de modification d’un IBAN par téléphone confirmée par faux
mail émanant de la bonne adresse mail ou par courrier fournisseur
• Demande urgente de virement avec synthétiseur de voix
• Demande de virement pour tester des fichiers après envoi d’un mail pour
informer que les services techniques de la banque vont appeler
• Demande au service comptable d’exécuter un virement à l’étranger afin
de démasquer un escroc en se faisant passer pour le dirigeant ou la brigade
financière
Les différentes typologies de fraudes
• Pour opérer, les escrocs utilisent aujourd’hui des techniques de plus en plus
difficiles à contrer en usurpant des identités, des voix avec une force de
persuasion impressionnante :
• Falsification des courriers électroniques ou papiers en se servant des infos
collectées sur internet (logo, signature, fax, mail…)
• Modification des informations de la base de donnée des banques par
appel téléphonique afin de pouvoir confirmer par mail ou téléphone des
virements
• Utilisation de techniques faisant apparaitre des numéros d’appels réels
français alors que ces appels proviennent de l’étranger
• Utilisation de technologies permettant de pirater les adresses e-mail
(fournisseurs, dirigeants de l’entreprise) alors qu’elles émanent des escrocs
• Utilisation de faux lien inséré dans des mails permettant à l’escroc de
prendre la main sur le poste à distance avec une bonne connaissance des
outils …
Les actions préventives dans les Entreprises
• Suppression de tous les virements papier
• Suppression des validations disjointes par fax
• Vérifier systématiquement par contre-appel téléphonique les changements
d’IBAN des fournisseurs (ne pas utiliser le tél du courrier mais celui de
l’interlocuteur habituel)
• Sécuriser les transactions par des certificats numériques
• Nous recommandons une parfaite séparation des tâches dans les processus
conduisant à la télétransmission des fichiers de paiement : Consulter, Saisir,
Valider
• Nous recommandons une double signature électronique : contrôle « quatre
yeux »
Les actions préventives dans les Entreprises
• Renforcer les procédures des opérations « urgentes » : toutes les opérations
frauduleuses sont généralement faites dans l’urgence, la confidentialité et
l’intimidation
• Ne pas partager entre plusieurs collaborateurs les systèmes d’authentification mis à
votre disposition
• Pensez toujours à déconnecter vos moyens d’authentification du port USB de votre
PC lorsque vous avez terminé de traiter vos opérations
• Respecter également les consignes de sécurité suivantes :
• Ne pas cliquer sur un lien hypertexte ou un fichier joint suite à la
réception d’un mail d’une personne inconnue
• N’effectuer aucune opération contraire à vos procédures internes
habituelles
• Sensibiliser les collaborateurs de l’entreprise sur l’usurpation d’identité et
se méfier des appels tél. de personnes se faisant passer pour un
responsable de l’entreprise et ordonnerait l’exécution d’un virement
urgent, confidentiel et atypique
Autres conseils de sécurité
• Votre banque ne vous demandera jamais :
• La communication de vos données confidentielles (ID/MDP, cartes de clés,
N° CB, N° de CAB, code PIN, ….) et les noms des personnes habilitées à
intervenir sur vos comptes bancaires (vos interlocuteurs habituels les
connaissent)
• Le téléchargement d’un logiciel de prise en main du poste informatique
pour la réalisation de tests
• D’effectuer des virements même sous prétexte de tests
– Evitez si possible de laisser apparaître sur votre site web des données
sensibles (copie de signature, ….)
– Redoublez de prudence pendant les périodes de congés
En résumé…
• COMMUNIQUER
• Subir des tentatives de fraudes ne doit pas être un tabou
• La capacité des escrocs à usurper les voix et à exercer une pression
psychologique est impressionnante
• Cela n’arrive pas qu’aux autres
• FAIRE PREUVE DE BON SENS
• S’agit-il d’une opération habituelle
• S’agit-il d’un interlocuteur habituel qui donne des instructions de paiement
au quotidien
• Savoir dire « Non, je vérifie »
• Et vérifier les mouvements des comptes bancaires tous les jours
• Si virement frauduleux effectué > vite prévenir la banque
– Ne Jamais communiquer des identifiants, mot de passe ou clés
personnelles !
– Le coût de la sécurisation est bien inférieur au coût d’une fraude avérée !
Nos préconisations en matière de sécurité
Les cas les plus fréquemment rencontrés
- Les mêmes personnes s’occupent des tiers, des virements, de leur
validation et du rapprochement…
- Mots de passes échangés entre collaborateurs ou notés sur le calendrier
- Délégation bancaires non pertinentes,
- Non mises à jour des personnes présentes dans l’Entreprise
- Coordonnées bancaires des tiers modifiables facilement
- Multitude de solutions de communications bancaires
- Fichiers envoyés en banques « trainant » sur le réseau
- Fichier modifiés manuellement car l’ERP ne produit pas exactement le bon
format bancaire
- Paiements manuels urgents (fax, sites bancaires…) ou autre (internationaux
par exemple)
Cycle classique d’un
paiement
Séparer les tâches
ERP :
- Création d’une facture
- Création d’un tiers (salariés,
fournisseurs)
- Création du paiement associé
Banques :
- Traitement d’un flux de
paiement
- Traitement d’un flux de
prélèvements
Envoi en banque
Solution de
communication
bancaire
Banques :
- Mise à disposition d’informations sur les flux
bancaires
Séparer les tâches côté Banque
- Pour les clients utilisant la Banque à Distance et le protocole EBICS T par la
gestion de délégation et de droits - exemple client CIC :
Séparer les tâches côté Banque (définition des droits du délégué)
Séparer les tâches côté Banque (habilitation ou non aux comptes présents)
Séparer les tâches côté Banque (les plafonds et collèges dans la banque à distance)
Séparer les tâches côté Banque (exemple de restitution)
Dans le cas ci-dessus, la déléguée Mme Juliette LA…. est habilitée à préparer uniquement le virement de trésorerie. Elle saisit
donc le virement, puis ce dernier est en statut « à valider »
Le délégué Monsieur Thierry Pa…qui est habilité à valider le virement, n’a plus qu’à le valider directement en ligne (possibilité pour
lui de modifier, supprimer, rejet, copier le virement)
Sécuriser l’accès à la Banque A Distance en 2015
Solution Safetrans
(2ème trimestre 2015)
Zoom sur Safetrans
Safetrans – 2ème trimestre 2015
Safetrans est une nouvelle solution d’authentification forte, basée sur la détention, par le client
d’un boitier lecteur personnel, affecté au Tiers
et d’une carte à puce associée
• soit la carte bancaire (EMV) du Tiers concerné
(toutes les cartes de paiement)
• soit une carte dédiée (carte Safetrans)
Safetrans est une solution monobancaire CMCIC, permettant
• d’authentifier fortement l’utilisateur
• de sceller et de signer des opérations sensibles
Safetrans s’adresse à tous les marchés, tous les clients CMCIC : particuliers,
pros, entreprises, associations…
Zoom sur K Sign / CertId
K Sign/Cert Id – solution commercialisée
K Sign/Cert Id est un certificat simple à utiliser :
• Commercialisé sur un support de type clé USB
• Véritable pièce d’identité électronique nominative qui contient une clé
personnelle permettant de signer électroniquement
K Sign/Cert Id est livré prêt à l’emploi
K Sign/Cert Id est reconnu par l’ensemble des Banques françaises (Politique
d’Acceptation Commune)
K Sign/Cert Id est un certificat RGS** (Référentiel Général de Sécurité défini
par l’Agence Nationale pour la Sécurité des Systèmes d’Informations) et ne se
limite pas à EBICS TS
Sécuriser la télétransmission
• Sous protocole EBICS T, mettre en place la gestion des délégués, l’activation
des plafonds et des collèges (double validation)
• Sous protocole EBICS TS, utilisation de la signature électronique basée sur
un certificat nominatif
• La signature électronique permet de fiabiliser la transaction
(authentification auteur et intégrité document)
• Le certificat numérique RGS** est supportée par les éditeurs de logiciels
de gestion financière pour construire leur offre de protocole sécurisé
EBICS-TS aux entreprises
La signature électronique
 GAGNER DU TEMPS ET DE L’ARGENT


Pas de frais d’affranchissement
Délais de traitements raccourcis
 PARVENIR AU TRAITEMENT 100% NUMERIQUE


Back Office optimisé
Pas de traitements de Numérisation / ré-impression
 MIEUX GERER LES RISQUES


Vérification d’authenticité et d’intégrité systématique
Horodatage / Gestion de la preuve
 PERMETTRE DE NOUVEAUX USAGES

Les aspects juridiques sont pris en compte dans les
processus numériques
Supprimer les opérations papiers
• Tous les clients de la Banque sont équipés à minima d’une connexion de
Banque A Distance (BAD) permettant la dématérialisation et la sécurisation
des opérations
• Les opérations papiers (virements, saisie d’effets, etc.), comme les
validations par fax ou mail des télétransmissions bancaires sont à proscrire
dans la mesure du possible, car trop exposées à la fraude
Contrôler les coordonnées bancaires des bases tiers
• Solution nouvelle pour les GE
• Service de messagerie sécurisée proposant plusieurs fonctionnalités
destinées à simplifier, dématérialiser et sécuriser les échanges de données
• Une des fonctionnalités > service DIAMOND (Direct Identity control for
Accounty Management ON Demand) permettant de fiabiliser les
coordonnées bancaires données par un titulaire de compte à un donneur
d’ordre de virement ou de prélèvement
• Usages
• Détecter si l’IBAN existe réellement, s’il correspond à un compte ouvert
• Vérifier si l’IBAN correspond bien au titulaire présumé du compte
Schéma DIAMOND
• T
En conclusion
• La fraude est bien réelle et s’attaque à toutes entreprises
• Les techniques de fraude évoluent, il faut anticiper les risques
• Certains traitements peuvent demander du temps mais en comparaison
avec le coût de la fraude, ce n’est rien
• Toutes ces techniques ne sont pas des copier/coller à mettre en place mais
doivent être le résultat d’un audit de votre organisation
• Sensibiliser les équipes
• Mettre en place un process et le respecter quelle que soit la fonction de
l’interlocuteur en face ou l’urgence de la situation
• Revoir régulièrement ses process
• Pensez et exigez à utiliser les moyens mis à disposition par les Banques
• Le CIC vous accompagne dans votre réflexion et la stratégie à mener dans la lutte contre la
fraude (paramétrage 0 papier, liste blanche ou liste noire pour les VSOT, … )
En conclusion
• ET pour la partie système d’information
 Info via le site de l’ANSSI – Agence Nationale de la sécurité des systèmes
d’information
 http://www.ssi.gouv.fr/fr/menu/actualites/proteger-son-site-internet-descyberattaques.html
 Liste des certificats numériques acceptés par les banques en signature de
fichiers télétransmis
 http://www.cfonb.org