Dans ce contexte économique, la gestion des risques de fraude au virement est plus que jamais une priorité pour les directions financières. La lutte contre la fraude devient un enjeu crucial pour les entreprises de toutes tailles.
Les risques sont indéniables, et c’est ce que souligne bien la 3ème édition du baromètre « Les entreprises face à la fraude au virement”, réalisé par Trustpair, SAP et OpinionWay.
Baptiste Collot, Président et cofondateur de Trustpair, Patrice Vatin, Head of Customer Advisory Finance & Risks chez SAP France et Vincent Doux Cybersecurity and Data Privacy specialist chez SAP France partagent avec nous leurs impressions sur les tendances de fraude en 2023 et leurs conseils pour lutter efficacement contre ce phénomène.
Téléchargez dès maintenant notre étude gratuitement !
- Aujourd’hui, peut-on encore nier ou minimiser le risque de fraude ? Pour rappel : 50% des entreprises ont été victimes d’au moins une tentative de fraude en 2022, 31% de multiples fraudes et 23 % des fraudes ont abouti pour un total de plus de 50000 € en moyenne.
Baptiste Collot : L’étude montre une chose, c’est que le risque de fraude ne s’est pas atténué depuis un an, loin de là. Par contre, la sensibilité des entreprises à ce risque a évolué. La digitalisation de la fraude, le lien entre cyber-risque et fraude est bien mieux identifié qu’il ne l’était il y a quelques années. Les corporates sont mieux éduqués et ont une meilleure idée de comment adresser ce risque.
- Pourtant il n’y a pas une inquiétude exacerbée des directeurs financiers face à ce risque de fraude. L’indice d’inquiétude quant au risque de fraude est de 6,3 / 10.
Y-a-t-il une plus grande maturité et les entreprises prennent-elles d’ores et déjà des mesures ? Ou est-ce que c’est encore de la part de certaines une forme d’insouciance sur le sujet ?
Vincent Doux : Ce n’est pas de l’insouciance mais il y a tout simplement d’autres éléments et risques à prendre en compte. D’autres risques sont apparus très fortement l’année dernière : l’inflation, le risque géopolitique. Donc oui bien sûr la fraude est toujours là mais il y a d’autres préoccupations qui sont apparues de manière violente en 2022.
Patrice Vatin : Il faut aussi garder en tête qu’il y a une sous-estimation de ce risque parce qu’il n’est pas forcément toujours bien identifié, à cause de la technicité des méthodes de fraudes qui sont mises en œuvre. Ces méthodes ne sont pas forcément maîtrisées par les populations interrogées et le risque est donc sous-évalué.
Baptiste Collot : Puis effectivement, il y a tellement de sujets à gérer aujourd’hui, en particulier dans des organisations internationales. Les risques de liquidités, les risques de marché etc. Le risque de fraude, c’est un risque parmi tant d’autres aujourd’hui.
- On constate dans l’étude une dualité entre les grands comptes et les ETI. Les grandes entreprises sont touchées à 40 % par des tentatives de fraude multiples, soit 2,4 fois en moyenne l’année dernière.
Comment peut-on expliquer cette vulnérabilité ? A quoi les grandes entreprises doivent-elles s’attendre en termes de risque de fraude par rapport à des ETI ?
Baptiste Collot : Plus l’entreprise est grosse plus elle est exposée parce que son process P2P est plus complexe. Il implique plus d’équipes, d’outils, de volume de tiers donc plus de données à vérifier. Dans une ETI l’environnement technique est plus simple, il y a moins de personnes et souvent un seul outil. Il y a moins de points de contact et de portes d’entrée à la fraude.
Vincent Doux : Il y a moins d’intermédiaires dans les ETI. Dans le cas des grandes entreprises, il y a plus de volume, plus d’intermédiaires et finalement, moins de proximité avec les fournisseurs par exemple. Et donc plus d’opportunités pour la fraude. Elles sont aussi plus ciblées car plus connues et plus identifiées. Le problème est aussi que comme il y a plus d’intermédiaires, tout le monde pense que les autres font le contrôle.
Patrice Vatin : Mais attention, il ne faut surtout pas que les ETI sous-estiment le risque de fraude, car il est bien réel. Il n’y a pas la même perception de ce risque et le même ordre de grandeur dans les pertes financières mais le risque est avéré pour les entreprises de toutes les tailles.
Vincent Doux : Dans les grands groupes, l’impact est généralement moindre. Malheureusement pour les petites entreprises, si la fraude fonctionne, l’impact va être plus fort.
- Ce que l’on voit dans l’étude c’est que les ETI utilisent davantage les contrôles manuels pour lutter contre la fraude et ne font pas forcément confiance aux nouvelles solutions proposées sur le marché. Mais en même temps, elles ne sont pas satisfaites des process internes qu’elles ne jugent pas fiables.
C’est finalement assez paradoxal de se dire que les ETI ne sont pas satisfaites de leur process mais continuent les contrôles manuels. Peut-on parler d’un certain attentisme ? Comment l’expliquer et y faire face ?
Baptiste Collot : Ce n’est pas vraiment de l’attentisme mais plutôt un manque de bande passante. Dans les ETI les budgets accordés à la digitalisation sont plus faibles que dans les grands groupes. Et c’est vrai qu’il y a un retard très important de la digitalisation de manière générale en Europe. Les grands groupes commencent à s’y mettre mais dans les ETI il y a moins de bande passante et de budget et donc ce type de projet n’est pas priorisé.
Patrice Vatin : Il y a aussi une perception de complexité par rapport à ces outils et systèmes d’automatisation des contrôles. C’est à nous, éditeurs de logiciel, de montrer que des outils peuvent être utiles même dans des ETI, et ne sont pas nécessairement une usine à gaz en termes de déploiement et d’utilisation.
Et c’est un exercice qui reste à faire : de présentation, de démonstration, de sensibilisation. Il faut montrer l’utilité de ce type de solution et démontrer qu’elles ne sont pas si complexes à mettre en œuvre, même dans des ETI.
- Parlons du contrôle manuel de RIB, encore utilisé par 35% des entreprises aujourd’hui dans la lutte contre la fraude. Comment bien contrôler un RIB aujourd’hui ?
Baptiste Collot : Le problème de la fraude aujourd’hui, c’est un problème d’usurpation d’identité. Le but du contrôle du contrôle de RIB c’est d’éviter cette usurpation, en vérifiant trois points.
Il y a le contrôle du tiers en tant que tel. S’assurer que c’est bien le tiers avec lequel on a une relation commerciale. Il faut ensuite valider le compte bancaire. Est-ce que ce compte bancaire existe, dans quelle banque existe-t-il ? Est-ce que toutes les informations qui sont associées ont été sont correctes ou pas ? Enfin, il faut s’assurer que ce compte bancaire appartient bien à ce tiers.
Faire ces trois points de contrôle manuellement cela veut dire beaucoup de choses pour les entreprises. Et surtout beaucoup de temps. Pour la première étape, elles vont chercher sur Internet des informations sur l’entreprise – un équivalent de société.com – pour valider que c’est bien l’entreprise en question et enrichir les informations dans leur ERP.
Elles vont aussi essayer de faire le lien avec ce qu’il y a sur la facture. Pour la deuxième étape, elles vont aller sur des sites comme iban.com pour valider le format du compte. Puis vient la dernière étape. Et là malheureusement, la vérification est rarement faite car quasiment impossible manuellement.
Les seules options pour valider le couple tiers – compte en banque manuellement sont d’échanger des emails, de rechercher les précédentes factures, d’appeler directement les tiers, etc. Aujourd’hui, les entreprises demandent parfois aux banques des RIB certifiés. La banque envoie un courrier pour attester que tel numéro de compte bancaire appartient bien à telle société.
Ces processus sont extrêmement longs et fastidieux.
- Bien contrôler un RIB, cela prend combien de temps ?
Baptiste Collot : En moyenne, au-delà de 30 minutes pour un RIB. Le temps de rassembler les informations, les pièces, d’envoyer des emails. Mais certains de nos clients nous disent que ça peut leur prendre jusqu’à deux semaines, voire même un mois, avec des envois postaux etc.
Dans les bases de nos clients que l’on audite pour la première fois, on observe en moyenne 30% de données erronées. Ça ne veut pas dire que le contrôle en amont était mal fait.
Simplement, il y a une asymétrie totale entre l’attaque des fraudeurs et les moyens de défense mis en œuvre. Les fraudeurs aujourd’hui utilisent des technologies très sophistiquées qui rendent la détection de la fraude très difficile : les contrôles manuels ne peuvent pas lutter.
80% des fraudes impliquent une cyberattaque. Mais la cyberattaque n’a pas forcément lieu chez l’entreprise qui va être victime : elle va avoir lieu chez son fournisseur par exemple. Dans ce cas là, c’est le fournisseur qui se fait hacker sa base mail. Le fraudeur s’insère dans les chaînes de mails et cible l’entreprise finale qui pense juste communiquer avec son fournisseur. Ce type de fraude est quasiment impossible à identifier.
- Le contrôle manuel nécessite aussi plus de ressources humaines, avec le recrutement de 4ETP en moyenne. Il est jugé peu fiable par les gens mêmes qui le pratiquent et on voit même que les entreprises qui l’utilisent finissent par moins contrôler leur base de tiers en continu.
Peut-on parler d’un cercle vicieux du contrôle et comment y remédier ?
Baptiste Collot : La réponse n’est pas le tout digital ou le tout manuel. La réponse c’est utiliser la tech et l’innovation pour maîtriser ses risques. Les outils aident les ressources humaines à se focaliser sur leur risque et suppriment les tâches chronophages et à faible valeur ajoutée.
L’outil donne les bonnes données, au bon moment. Il aide les équipes à prendre les bonnes décisions. C’est l’intérêt des outils comme le nôtre.
- Le visage de la fraude a évolué ces dernières années. On le voit bien dans l’étude puisqu’un quart des entreprises considèrent la DSI comme un acteur de lutte contre la fraude et que le risque de cyberattaque est le principal facteur de vulnérabilité pour 67 % des entreprises.
Comment décrire ces évolutions ?
Baptiste Collot : En 10 ans, la fraude est passée de quasi manuelle à très sophistiquée. Au début, on voyait principalement des fraudes au président, assez grossières. Dans les grands groupes ce genre de tentative ne passe plus : ils sont sensibilisés, formés, etc. C’est différent dans les PME, pour des questions de budget, de formation, etc.
La fraude s’est complètement digitalisée. Elle a augmenté en volume et est quasi systématique dans les grandes entreprises. Les cyberattaques peuvent avoir des conséquences graves : une fois que les fraudeurs sont rentrés dans le système, ils peuvent mettre en œuvre plein de types de fraudes.
Vincent Doux : Il y a une professionnalisation du métier de hacker, une spécialisation même. Il existe des outils, des plateformes cloud pour aider à frauder. Des plateformes où les hackers trouvent des outils pour se spécialiser sur des mécaniques d’intrusion spécifiques, achètent des bases de données pour usurper des identités de tiers. Et l’usurpation d’identité déclenche d’autres fraudes, des faux changements de RIB par exemple.
Les hackers ne sont plus des acteurs isolés. Il y a un écosystème de hackers professionnels qui travaillent entre eux, se spécialisent et revendent leurs services. Dans ce cadre, le contrôle manuel ne suffit pas.
Patrice Vatin : Penser que l’on peut manuellement détecter et déjouer les fraudes est déjà en soi une façon d’avouer que l’on sous-estime très clairement la nature du risque. Les gens sont plus matures sur le sujet de la fraude parce qu’ils ont conscience qu’un risque existe. Mais ils n’ont pas conscience de la bonne façon d’appréhender ce risque.
Baptiste Collot : Effectivement, il y a souvent une perception erronée. L’impression que le contrôle manuel peut suffire. Mais aujourd’hui, même un contrôle digital en one-shot ne suffit pas. Il faut qu’il y ait un audit continu des tiers, directement via l’ERP.
L’humain reste la faille principale parce que le volume de données est trop important. Il faut la bonne donnée, au bon moment, au bon endroit. Et c’est là que l’automatisation intervient en centralisant les différents outils de contrôle pour avoir un contrôle continu de l’information.
Vincent Doux : Cette logique d’automatisation et de contrôle continu, elle est valable pour les contrôles des RIB mais elle est valable pour d’autres types de fraudes ou d’autres types de problématiques.
Par exemple, on voit de plus en plus de clients qui ont beaucoup de mal à gérer les listes d’embargo. Dans un contexte géopolitique compliqué, la liste d’embargo change tout le temps. Il est difficile de savoir en temps réel si l’on peut payer son fournisseur ou pas : le contrôle a été fait au moment de l’entrée en base, mais la liste d’embargos a peut-être changé depuis. Et faire un contrôle avant chaque paiement est quasiment impossible. L’automatisation est le seul moyen d’être efficace.
- Il est surprenant de constater que 50 % des entreprises voient encore la banque comme un conseiller et une aide en cas de fraude. Plus intéressant encore, cette proportion diminue chez les entreprises qui ont été victimes de fraudes. Comment expliquer cette proportion ?
Baptiste Collot : C’est assez logique finalement. Historiquement les banques étaient vues comme des tiers de confiance pour les directions financières et pour les trésoriers. Beaucoup d’entreprises pensent encore que la banque vérifie toute transaction financière dans le détail, vérifie le destinataire du virement, etc.
Alors que la banque exécute simplement la transaction : sa valeur ajoutée n’est pas le contrôle en amont. Elle peut aider au rapatriement des fonds dans certains cas, mais finalement, elle a un périmètre d’action très faible sur la fraude et est dans la réaction, pas la prévention. Et ça les directions financières le découvrent encore : mais la banque subit la fraude autant que le corporate.
Vincent Doux : Il y a une notion de responsabilité. La banque n’est pas responsable en cas de fraude.
Baptiste Collot : L’ordre est donné par l’entreprise et c’est à l’entreprise d’assumer la qualité des ordres qu’elle envoie.
Patrice Vatin : Cela montre encore une fois une mauvaise compréhension des mécanismes de la fraude. Si l’on pense que la banque est l’ultime réponse c’est que l’on n’a pas bien compris le mécanisme même de la fraude. A aucun moment dans le processus la banque n’intervient. Elle exécute simplement un ordre de paiement.
- On peut dresser un parallèle avec la confiance que les entreprises ont en leur ERP. En moyenne, les entreprises qui ont été exposées à une tentative de fraude comptent beaucoup plus sur leur ERP que celles qui n’y ont pas été exposées. Est-ce que cela montre une prise de maturité forcée finalement ?
Vincent Doux : C’est un des points essentiels de l’étude. Les entreprises sont responsables. Et c’est à elles de s’équiper, d’améliorer leur process interne et d’intégrer le contrôle continu directement dans leurs processus opérationnels. La bonne solution est de déployer des solutions de contrôles automatiques et de passer par des plateformes comme Trustpair, directement intégrées aux ERP des entreprises.
- Parlons de 2023. Il est intéressant de constater que 57 % des entreprises pensent que l’inquiétude liée à la fraude va augmenter et 66 % d’entre elles ont engagé un projet de lutte contre la fraude dès 2022. Alors que finalement, 50% “uniquement” ont été victimes de fraude en 2022.
Ces entreprises ont-elles raison de s’inquiéter pour 2023 ? Est-ce qu’une économie instable comme celle que l’on connaît en ce moment crée un climat particulièrement favorable à la fraude ?
Vincent Doux : Il y a effectivement quelques portes ouvertes à la fraude : le conflit en Ukraine, l’inflation. Ces éléments vont avoir des impacts directs et indirects sur les entreprises européennes et françaises.
Mais finalement, le risque principal réside plutôt dans le développement de l’économie du hacking.
L’industrie du hacking continue malheureusement de se développer beaucoup plus vite que les entreprises ne se transforment.
- Que nous réserve 2023 ? Est-ce qu’il y a des bonnes démarches enclenchées par les entreprises ? Faut-il continuer l’évangélisation ?
Vincent Doux : Il faut bien évidemment continuer à évangéliser sur les outils et la digitalisation.
Patrice Vatin : Il faut aussi éduquer sur la nature du risque, sur la professionnalisation des hackers. L’outil est essentiel évidemment, mais la compréhension du risque l’est tout autant..
Vincent Doux : Dans les grands groupes, cette compréhension a commencé. Les DAF ont compris que le risque cyber est finalement un risque financier. Il y a des programmes en cours pour rapprocher les responsables SI des directions financières pour mettre en place une gestion du risque plus unifiée.
Cela va prendre du temps parce que ces équipes ont des cultures très différentes mais c’est plutôt sur la bonne voie dans les grandes entreprises. Il faut que tout le monde se parle pour mettre en place un vocabulaire commun et des process efficaces. Pour les structures plus petites, c’est une autre histoire : les équipes sont plus réduites et n’ont pas les mêmes moyens. Le chemin sera plus long.
Patrice Vatin : Avant, les sujets de fraude étaient l’affaire de spécialistes. Il y avait même parfois un département consacré au sujet, complètement distinct des équipes financières. Ce n’est plus la bonne méthode. Aujourd’hui il faut une intégration entre les solutions comme Trustpair et systèmes opérationnels comme SAP pour que la lutte contre la fraude fonctionne correctement. Il faut une vraie transversalité pour que la prévention contre la fraude fonctionne.
Baptiste Collot : Unifier les équipes face à la fraude est crucial. La fraude n’est pas l’affaire du comptable qui contrôle le RIB en début de chaîne ou du trésorier. Les outils permettent de casser les silos existants.
Sans outil centralisé, personne ne voit la même donnée ou ne sait si le process avant a été respecté. L’enjeu est d’avoir un outil transversal intégré de bout en bout qui permette à tout le monde d’avoir accès à la même information.
- Est-ce que vous avez d’autres réactions face à l’étude ?
Vincent Doux : Deux éléments semblent vraiment essentiels pour moi. Tout d’abord, on voit un changement de perception en cours. Il est timide mais néanmoins réel. Et tant mieux, parce que la problématique de la fraude ne va faire que se renforcer dans les années à venir, du fait même de la digitalisation de tous les processus. Si on n’optimise pas ses process, on augmente son périmètre de vulnérabilité à la fraude.
Mais le risque de fraude ce n’est pas que le contrôle du RIB.
Ce contrôle est essentiel certes. Mais ce qu’il faut c’est un contrôle continu et systématique. Il faut mettre en place des outils mais aussi une gouvernance entre les différentes équipes pour gérer les risques. Cela s’applique à tous les processus, toutes les typologies de risques et de contrôles.
On le voit bien, la fraude est loin d’être un sujet résolu en 2023, loin de là. Si vous avez aimé ces échanges et souhaitez découvrir plus de conseils pour lutter contre la fraude, téléchargez dès maintenant notre baromètre complet.