10/07/2016

Fraudes aux virements bancaires


Les fraudes aux faux virements se sont multipliées depuis 2005 et l'"invention" de la fraude au président. Le coût pour les entreprises de ces fraudes a atteint des montants significatifs. La fraude au président devient assez connue et sera sans doute moins rémunératrice à l'avenir pour les escrocs, mais de nouvelles techniques risquent d'apparaître. Les fraudes sont multiformes, quelquefois complexes et surtout en perpétuelle évolution, grâce à l'imagination des fraudeurs et à l'avènement de nouvelles technologies.

A la base des fraudes, il y a en général une usurpation d'identité, par exemple celle d'un dirigeant ou celle d'un partenaire commercial. Il y a aussi très fréquemment l'utilisation d'informations sur la société qui ont été soit collectées sur internet ou dans des documents publiés par la société, soit obtenues par des moyens divers comme le phishing, ou de fausses demandes faites par email ou par téléphone. On a ainsi pu parler de fraude par ingénierie sociale (social engineering).

Quelles stratégies les entreprises peuvent-elles adopter pour contrer les fraudes ? Il faut tout d'abord être informé des principaux types et techniques de fraudes, et mettre en place une veille sur les dernières techniques recensées. Puis il faut garder l'esprit en alerte : des signes avant-coureurs ou des anomalies doivent éveiller l'attention, même s'ils ne sont pas toujours la preuve de la présence d'une fraude. Pour assurer la plus grande sécurité possible, un dispositif complet de lutte anti-fraude s'avère utile : procédures strictes à appliquer pour l'émission des virements ou des paiements, sécurisation des moyens de communications avec les banques, contrôle des mouvements financiers, cybersécurité, sensibilisation des salariés et maîtrise des informations émises par les entreprises.

En cas de fraude, la réaction doit être rapide. Les fonds ne sont plus récupérables une fois qu'ils ont été transférés à l'étranger, et se trouvent sur le compte du fraudeur. Il existe des procédures exceptionnelles, dans le cadre des relations interbancaires, qui permettent de stopper ce transfert si la banque a été prévenue dans les meilleurs délais. Le dépôt de plainte auprès des services de police est à faire en parallèle.

Exemples de fraudes :
La liste ci-après est non limitative


1/ Fraude au président :
Demande de virement en urgence par téléphone, par quelqu'un qui prétend être un dirigeant, un supérieur hiérarchique ou un avocat mandaté dans le cadre d'une opération d'acquisition à l'étranger. L'utilisation d'informations sur la société, trouvées sur internet ou déjà obtenues par de faux appels, rendent la manoeuvre plus convaincante. Des logiciels permettent aux escrocs d'imiter la voix des personnes dont l'identité est usurpée.

2/ Fraude au changement de coordonnées bancaires
Un escroc, qui se fait passer pour un fournisseur, une société d'affacturage ou un créancier de l'entreprise, communique de nouvelles coordonnées bancaires afin de détourner à son profit les paiements normaux de factures. La demande est faite avec un motif plausible, et s'accompagne de mails et des courriers de confirmation qui ont une apparence authentique.

3/ Fraude informatique
Le fraudeur prétend être un technicien prestataire de l'entreprise ou de la banque, et demande de faire un virement test, pour valider de nouvelles procédures, ou la conformité avec de nouvelles normes (virements SEPA...). Il peut aussi demander, sous un prétexte similaire, à ce que la société se connecte sur un site internet qui semble connu mais qui est falsifié et qui va lui permettre de prendre le contrôle à distance du poste informatique de la société pour obtenir des codes secrets ou même effectuer un virement à son profit.

4/ Malware, spyware
Variante de la fraude informatique. Les logiciels malveillants ou espions sont installés à l'insu de la société sur des postes mal protégés, par téléchargement lors de la visite d'un site internet ou lorsque l'on clique sur des liens dans un mail ou lorsque l'on ouvre des pièces jointes. Les escrocs récupèrent par l'intermédiaire de ces logiciels les informations nécessaires pour effectuer eux-mêmes des virements.

5/ Piratage de boite mail
Le fraudeur utilise une technologie pour pirater la boite mail d'un dirigeant ou d'un fournisseur de la société et envoyer des demandes de virement. Il peut demander à la banque, à partir de la messagerie piratée du dirigeant, d'envoyer des fonds sur un compte d'apparence normale (compte ouvert au nom personnel du dirigeant ou au nom d'un partenaire habituel de la société).

6/ Mail-phishing ou hameçonnage
Par cette technique, le fraudeur essaie d'obtenir des renseignements comme l'identifiant et le mot de passe du titulaire d'un compte bancaire en ligne en se faisant passer pour la banque. Pour cela il envoie un mail qui, sous prétexte d'un problème technique, va demander à l'utilisateur de ressaisir ses informations personnelles et confidentielles sur un site falsifié ayant l'apparence du vrai.

7/ Fausses factures ou faux ordres de virement
De fausses factures fournisseurs, copies conformes des factures réelles, sont envoyées à la société avec demande de paiement, parfois sous forme de relance de factures impayées. De faux ordres de virement bien imités avec le logo de la société et la signature des dirigeants sont transmis à la banque.

Signaux d'alarme :
Les tentatives de fraude sont souvent précédées ou accompagnées de certains faits ou situations qui peuvent servir de signaux d'alarme et qui doivent sinon éveiller la méfiance, du moins inciter à la prudence :


- Prise de contact par un interlocuteur qui n'est pas habituel (qui peut être un dirigeant de la société)
- Demande de dérogation aux procédures en usage, ou de ne pas utiliser les canaux hiérarchiques habituels
- Demande de confidentialité, de garder le secret sur le virement
- Caractère d'urgence invoqué
- Opération exceptionnelle, parfois avec une cause peu vraisemblable
- Montant du virement inhabituel, disproportionné par rapport à l'objet invoqué
- Destination du virement vers un pays où la société n'a pas d'activité
- Interlocuteur connaissant beaucoup de détails sur la société
- Interlocuteur ayant un ton très assuré ou autoritaire
- Interlocuteur faisant usage de flatterie ou d'intimidation dans un but de manipulation
- Appel d'un technicien pour une intervention ou une assistance technique en lien avec les opérations bancaires en ligne de la société
- Demande de changement de domiciliation bancaire d'un fournisseur ou d'un client
- Changement de coordonnées téléphoniques ou d'adresses mail
- Toute demande d'informations par email ou téléphone
Les emails ont parfois des caractéristiques révélatrices :
- Invitation à cliquer sur des liens, dont l'adresse n'est pas toujours visible (il faut passer la souris au dessus du lien, l'adresse apparaît alors en bas du cadre ou dans une bulle selon les logiciels de messagerie)
- Adresse de l'expéditeur légèrement différente de l'adresse connue officielle
- Adresse de réponse du mail différente de l'adresse de l'expéditeur
- Fautes d'orthographe, ou de grammaire dans le texte, en français ou en anglais
- Format des dates inhabituel
- Anomalies diverses dans le message, apparence inhabituelle
- Mails demandant la communication de numéros de compte, de mots de passe ou d'identifiants de connexion bancaire

Méthodes de protection à mettre en place :
La sécurité des virements passe par la définition de procédures adaptées, et leur application de façon constante. Il y a en premier lieu le process interne d'émission et de validation des virements, ainsi que le système de communication avec les banques. Mais d'autres aspects ne sont pas à négliger comme le contrôle interne, la sensibilisation du personnel et la maîtrise de la diffusion des informations.


1/ Processus d'émission des virements :
- Etablir une liste limitative des personnes habilitées à effectuer des paiements et des virements, ou qui ont accès aux postes informatiques émettant les ordres de paiements
- Séparer, dans la mesure du possible, les tâches entre différentes personnes : demande de virement, création d'un compte de tiers bénéficiaire dans le système administratif de la société, saisie de virement, puis validation
- Définir des montants maximum par personne, ou par zones de destination sur une période
- Instaurer une double signature pour les virements supérieur à un seuil, sachant qu'au moins deux personnes doivent être au courant d'une opération
- Prévoir des procédures spécifiques pour les virements en urgence
- Prévoir des procédures spécifiques pour les périodes de congés lorsque des responsables de la société sont absents
- Tenir à jour une liste des coordonnées bancaires des bénéficiaires, avec une procédure sécurisée en cas de modification : obtenir une confirmation du partenaire, fournisseur ou client, par un contact direct à partir d'une adresse ou d'un numéro de téléphone connu

2/ Communication avec les banques
- Eviter les ordres de virement par fax ou sur papier
- Appliquer les procédures formalisées par la banque de la société
- Demander un appel de confirmation de la banque pour des virements supérieurs à un seuil
- Informer la banque des personnes autorisées à effectuer les virements
- Définir avec la banque un mode opératoire confidentiel
- Limiter le nombre d'établissements bancaires de la société
- S'assurer que les codes et mots de passe d'accès aux applications de paiement en ligne ne sont connus que des personnes autorisées
- Choisir des mots de passe suffisamment complexes et les modifier régulièrement
- L'utilisation de certificats électroniques pour la validation des virements dématérialisés est recommandée
- Avertir la banque en cas de doute

3/ Audit et contrôle interne :
- Suivi quotidien des mouvements de trésorerie et de la comptabilité
- Contrôle des paiements effectués vers des comptes inconnus ou des pays à risque
- Observer les opérations habituelles, par montant et par demandeur, pour détecter des virements atypiques ponctuels lorsqu'ils sont effectués
- Créer des comptes bancaires spécifiques par type de flux pour rendre les anomalies plus facilement repérables
- Sécuriser le système d'information de la société : mise à jour logiciels, anti-virus, pare-feux
- Sécuriser l'accès aux boîtes mail de la société
- S'assurer que l'accès aux paiements en ligne est sécurisé (postes spécifiques, personnel autorisé, codes), et que les certificats électroniques sont utilisés avec précaution (déconnection des clefs USB dès la fin des opérations)
- Faire un audit d'évaluation des risques

4/ Sensibilisation des salariés
- Informer le personnel des techniques de fraude, de l'évolution permanente des modes opératoires
- Rappeler qu'il faut garder un esprit critique et du bon sens, rester vigilant et prendre le temps de faire toutes les vérifications nécessaires
- Faciliter la communication avec la hiérarchie, désigner un responsable à prévenir en cas de soupçon de fraude
- Faire appliquer les procédures internes
- Rappeler qu'il ne faut pas révéler ses mots de passe et identifiants, même dans la société
- Rappeler qu'il ne faut pas communiquer au téléphone ou par mail des informations comme les coordonnées des fournisseurs, ou des détails sur l'organisation de la société, en particulier concernant la procédure de virement
- En cas de fraude ou de tentative de fraude, communiquer en interne sur les faits et les dysfonctionnements éventuels de façon à déjouer les nouvelles tentatives de fraude

5/ Contrôle des informations données par la société
- Ne publier que ce qui est rendu obligatoire par la loi : Statuts, procès-verbaux d'assemblées, document de référence : information la plus limitée possible sans perte de qualité
- Contrôler et limiter les informations diffusées sur le site internet, ou dans la plaquette de la société : organigramme, fonction des personnes, événements d'entreprise...
- Ne pas publier les signatures des responsables de la société (bien que les documents publiés au greffe contiennent des signatures)
- Eviter de faire circuler des modèles de documents internes : modèles de fax, modèles types de courrier
- Limiter les informations diffusées sur les réseaux sociaux, demander aux salariés de ne pas communiquer d'informations sur la société et d'éviter d'avoir un profil public
- Sécuriser le système d'intranet, limitation de l'accès à certaines informations
- Eviter de sortir de la société des documents confidentiels, prévoir des portables réservés aux déplacements extérieurs

← retour infos