Les Directions financières étant la cible privilégiée des fraudeurs, doivent sans cesse renforcer leurs dispositifs de protection. Et si la riposte pour prévenir ces fraudes se jouait essentiellement autour d’une meilleure gestion des données tiers, à la fois enrichie et mise à jour en continu ? Bien que les entreprises aient conscience de ces risques, elles peinent encore à appliquer un modèle de gestion des données adapté.C’est en assurant une gestion dynamique du contrôle des tiers que les Directions financières peuvent déjouer les multiples facettes de ces risques, dont particulièrement l’usurpation d’identité, première menace aujourd’hui pour les entreprises. Assurer une maîtrise de ses données tiers est aujourd’hui une étape indispensable. Découvrez à travers cet article comment l’optimisation de votre stratégie de Data Management permet à votre entreprise de lutter contrer la fraude au virement.
Gestion des données tiers : un enjeu prioritaire
La sécurité des données fournisseurs passe par une approche dynamique et une mise à jour en temps réel. La sécurité des données fournisseurs passe par une approche dynamique et une mise à jour en temps réel. Les informations d’un tiers peuvent être amenées à évoluer dans le temps. on distingue deux niveaux d’information:
- Les informations créées : commandes, avoirs, flux…
- Les informations subies : celles qui sont relatives aux tiers avec lesquels l’entreprise travaille
Pour correctement traiter ces deux types de données, la méthodologie suivante, recommandée par Altares, comporte quatre phases distinctes :
- Création : s’assurer que l’information n’existe pas déjà dans la base pour prévenir toute incohérence dans les données
- Enrichissement des données : renseigner l’ensemble des informations nécessaires, particulièrement lors de l’ajout d’un tiers : raison sociale, adresse, numéro de TVA, code d’activité, liens capitalistiques
- Mise à jour des données et le nettoyage des bases tiers : une société peut changer d’adresse, de dirigeant, de SIRET… Ces changements se font en dehors du champ visuel de l’entreprise et peuvent entraîner des erreurs de paiement ou augmenter les délais.
- Fiabilisation de l’existant : uniformiser les données tout au long de la relation d’affaires, selon plusieurs standards afin de s’assurer qu’elles sont toujours correctes et de ne pas perdre en qualité.
Face à la forte prédominance de l’usurpation d’identité par rapport aux autres techniques utilisées par les fraudeurs, les Directions financières doivent renforcer leur processus de contrôle fournisseur. Il est alors impératif de s’assurer que :
- L’entreprise est bien en activité
- Le tiers associé appartient bien à cette entreprise
- Les données bancaires sont correctes et non erronées ou trafiquées
Les Directions financières en proie aux attaques
Usurpation d’identité des fournisseurs : menace n°1 pour les entreprises
Selon Altares, il faut tenir compte des quatre profils de fraudeurs suivants :
- Les reptiliens : de faux fournisseurs à l’apparence saine, facturant très souvent des montants démesurés.
- Les usurpateurs : créent un personnage ou des documents fictifs, (s’apparente à la fraude documentaire/usurpation d’identité)
- Les opportunistes : des personnes intégrées et impliquées, mais qui passent à l’action dès qu’une faille alléchante se présente.
- Les insatisfaits : présents davantage au niveau des clients, ils maquillent la fraude par du contentieux et du litige. Leur objectif est de ne pas payer ou de payer le plus tard possible.
“En faisant l’analyse de consommation, on déduit des patterns communs aux fraudes. Au-delà de l’onboarding fournisseur et du moment que les données de références sont bien définies, on peut faire confiance aux données et réaliser des analyses comportementales afin de définir et d’anticiper les possibles tentatives de fraude.” – Michael Lisch, Expert en solutions achats et référentiel tiers – Altares
Des attaques qui n’épargnent pas les Systèmes d’Information
Si l’usurpation d’identité est la technique de fraude la plus répandue, elle ne représente pas la seule menace pour les entreprises.
Pour se convaincre de l’urgence de la situation, il suffit de se rappeler que, chaque année, le coût de la cybercriminalité pour les entreprises se monte à 1 000 milliards de dollars dans le monde selon l’étude …. Ce coût exorbitant est généré par les interruptions de service, les pertes de temps et d’efficacité ainsi que par la détérioration de l’image de marque des entreprises victimes de cyberattaques.
« La sécurisation des données est un point primordial. Pour preuve les récentes attaques de ransomware, qui consiste à voler les données d’une entreprise et de les lui rendre à condition de payer une rançon, sont devenues une menace au cœur des préoccupations“, ajoute Fanny Rabouille, co-titulaire de la chaire Digital, Organization & Society – Grenoble École de Management.
“Les Directions financières ont conscience du risque lié à la cybersécurité. Mais, elles ne sont que consommatrices de cyberprotection, et non pas à la manœuvre. Des synergies doivent être créées entre ceux qui gèrent la cybersécurité et la Direction financière.” – Laurent Morel, Associé chez PwC, responsable des activités de Conseil pour les Directions financières – PwC
Les gestes barrières pour prévenir les cyberattaques
Pour assurer une protection contre la fraude au virement et les cybermenaces, les entreprises doivent mettre en place un certain nombre de mesures qui, outre le déploiement de solutions de cybersécurité, passent aussi par la définition d’une gouvernance plus globale. Les principales actions à mettre en oeuvre sont les suivantes :
- Sécuriser ses données et son SI à l’aide d’un VPN, d’une solution anti-virus et anti-spam et d’un dispositif de chiffrement des données
- Mettre régulièrement à jour les mots de passe et conditions d’accès aux outils numériques
- Mesurer la maturité “cyber” de l’entreprise en procédant à un audit (soit interne, soit en faisant appel à une société spécialisée)
- Analyser son SI en continu pour surveiller toute intrusion sur la durée (s’assurer qu’il n’y ait pas de latence)
- Tester régulièrement son dispositif (via des tests d’intrusion)
- Faire des sujets réglementaires (RGPD par exemple) sa priorité et l’occasion d’améliorer son niveau de maturité
- Travailler sa stratégie de défense (plan d’action en cas de fraude)
- Se faire accompagner en cas de crise
“La cybersécurité est une affaire d’usage et de formation. Il faut sensibiliser et donner les moyens aux collaborateurs, même quand ils travaillent à l’extérieur, de sécuriser leur accès internet. La plupart des problèmes liés à la cybersécurité viennent d’une faute humaine” – Fanny Rabouille, Co-titulaire de la Chaire Digital, Organization & Society et Directrice du programme Mastère, Spécialisé Big Data – Grenoble École de Management
La maîtrise des données tiers pour se protéger de la fraude au virement
A l’instar de la réglementation liée au “Know Your Customer” (KYC) au sein des banques, la procédure de KYS (“Know Your Supplier”) est essentielle dans toutes les entreprises, quel que soit leur secteur d’activité.
A ce titre, la loi Sapin II – qui s’applique aux entreprises dont le chiffre d’affaires est supérieur à 100 millions d’euros – vient renforcer la lutte contre la corruption en les obligeant à mettre en place des procédures d’évaluation de leurs fournisseurs (“Know Your Supplier”).
Pour être en conformité avec les procédures KYS, il est essentiel de suivre les étapes suivantes :
- Effectuer des contrôles dès le début de la relation d’affaires
- Assurer la communication entre les départements Achat et Finance
- Systématiser les contrôles lors de l’ajout ou de la modification d’un tiers dans sa base
- Mettre régulièrement à jour le référentiel tiers : audit et contrôle interne
- Vérifier les coordonnées bancaires au moment du paiement
- Inclure la DSI dans le projet de maîtrise de la donnée afin d’assurer la cybersécurité des bases de données (portail fournisseur, ERP, TMS) pour prévenir toute intrusion dans les systèmes, vol de données ou diffusion d’un ransomware
Si parmi les techniques utilisées par les fraudeurs, l’usurpation d’identité est reine, elle se décline principalement à travers la fraude au faux fournisseur et au faux président . Elle peut aussi concerner d’autres parties prenantes (banques, avocats, commissaires au compte…). Dans ce contexte, assurer une gestion forte et sécurisée des données, principalement lors de l’onboarding fournisseur, sont des facteurs clés de succès. Plus globalement, la qualité des procédures d’évaluation des fournisseurs (“Know Your Supplier”) est un des meilleurs remèdes contre la fraude. Elle permet de protéger durablement l’entreprise et sa Direction financière.
Pour en savoir plus sur le Data Management et la fiabilisation des données en entreprises, retrouvez l’intégralité du livre blanc Trustpair x Altares à travers ce guide pratique dédié pour les directions financières.
Ce livre blanc n’aurait pas été complet sans les témoignages d’experts. Découvrez leurs interviews sur notre blog :
- Frédéric Paresy et Michael Lisch, expert Avant-ventes Data management chez Altares
- Laurent Morel, Frédéric Malagoli et Cyril Jacquet, associés France et Magreb PwC France et Magreb
- Betty Sfez, Avocat associé IT / DATA / IP – Solegal
- Fanny Rabouille, Co-titulaire de la Chaire Digital, Organization & Society et Directrice du programme Mastère Spécialisé Big Data – Grenoble Ecole de Management