Les arnaques au virement sont de plus en plus courantes dans la vie des entreprises. En 2020 selon les Clés de la banque, ce sont 900 fraudes au virement bancaire qui ont été recensées, pour un préjudice total de 120 millions d’euros. Les conséquences pour la trésorerie et la pérennité économique de l’entreprise peuvent être dramatiques.
Si l’essentiel du processus du virement appartient à la banque, le donneur d’ordre joue un rôle essentiel dans la survenance de la fraude en autorisant par erreur ou négligence un ordre de virement au profit d’un escroc. Les entreprises de toutes tailles sont concernées par la fraude au virement dès lors que des mécanismes de délégation de pouvoir interviennent dans les processus de paiement. Il convient de mettre en place des bonnes pratiques afin de limiter les erreurs humaines en donnant un ordre de virement.
Quelles sont les arnaques susceptibles de générer des ordres de virement frauduleux et comment limiter les erreurs dans la transmission des ordres au virement ? Trustpair vous donne ses conseils !
Quelles sont les différentes arnaques au virement bancaire ?
La plupart des arnaques au virement bancaire reposent sur des méthodes issues de l’ingénierie sociale : l’escroc, à partir des données dont il dispose, gagne la confiance de son interlocuteur afin de lui faire initier un ordre de virement frauduleux à son profit. En d’autres termes, contrairement à ce que l’on pourrait penser, l’outil informatique joue généralement un rôle secondaire dans la fraude. L’escroquerie se concentre essentiellement sur la crédulité des délégataires de pouvoir bancaire.
Parmi les fraudes les plus connues allant en ce sens, il est possible de citer :
- la fraude au président où l’escroc se fait passer pour un dirigeant de la société dans le but d’initier un ordre de virement urgent. Ce type de fraude concerne surtout les grandes sociétés où la hiérarchie pyramidale peut déresponsabiliser les acteurs tout en créant une opacité entre le top management et les délégataires d’un pouvoir bancaire. On parle aussi de FOVI.
- la fraude au RIB ou l’escroquerie aux coordonnées bancaires consistant à usurper l’identité d’un fournisseur de la société dans le but d’opérer un changement de coordonnées bancaires au profit de celle de l’escroc ;
- l’escroquerie à l’informatique où l’escroc se fait passer pour un responsable informatique afin d’initier des “virements tests” ou d’installer un logiciel espion permettant de récupérer les informations bancaires.
Les délais de traitement des ordres de virement : une aubaine pour les escrocs ?
En principe, un ordre de virement est irrévocable de sorte que le donneur d’ordre ne puisse pas revenir sur l’ordre émis à la banque. Ceci étant, certaines banques peuvent accepter d’annuler l’ordre si celui-ci n’a pas été exécuté, ce qu’on appelle le recall.
Mais, le délai d’exécution d’un ordre de virement est très court : la banque dispose légalement d’un jour maximum pour virer le montant à la banque du bénéficiaire (art. L133-13 du Code monétaire et financier). De plus, la démocratisation du virement instantané – dont l’utilisation est parfaitement légitime dans le cadre d’une fraude au président – réduit ce délai à quelques secondes.
En conséquence, l’entreprise dispose d’un temps très court, voire nul, pour annuler un ordre de virement. À défaut, il conviendra d’effectuer un recall de virement (s’il s’agit d’un virement SEPA) afin de récupérer les sommes sur le compte du bénéficiaire. Cette solution reste toutefois théorique puisque les escrocs effectuent une multitude de virements vers d’autres comptes dispersés au niveau géographique afin de brouiller les pistes.
Il est donc préférable de mettre en place une véritable politique de prévention dans l’entreprise afin de limiter la survenance d’ordre de virement frauduleux.
Quelles bonnes pratiques mettre en oeuvre pour limiter les failles au moment de transmettre un ordre de virement ?
Entre la sensibilisation des acteurs de l’entreprise et la mise en place de processus de validation de virement, il existe de nombreuses bonnes pratiques pour limiter drastiquement la survenance et l’impact des fraudes au virement.
Mettre en place une procédure interne d’exécution des virements
Il convient d’établir dans l’entreprise un cadre strict dans lequel les ordres de virement peuvent être émis. Il s’agit de définir clairement :
- les délégataires de pouvoirs bancaires ;
- les montants maximum par délégataires ;
- Mettre en place un système de double authentification comme la double signature ou le principe des 4 yeux ;
- les procédures d’urgence notamment pour définir un cadre applicable aux opérations inhabituelles permettant un traitement efficace tout en empêchant la survenance d’une fraude au président par exemple.
Afin de limiter les risques, ce document sera uniquement accessible aux personnes concernées.
Mener des actions de sensibilisation sur les escroqueries
Dès lors que les collaborateurs prennent conscience de l’existence des pratiques d’escroquerie, leur vigilance est renforcée. Néanmoins, la sensibilisation doit s’accompagner d’atelier et de formation afin de renforcer la prise de conscience des collaborateurs en insistant sur l’importance des procédures d’exécution des virements, des modes opératoires des escrocs, la détection de mails frauduleux (vérification des noms de domaine, orthographe, demandes suspectes…).
Établir une veille sur les escroqueries aux entreprises
Les escroqueries s’adaptent à la vigilance des entreprises en essayant d’avoir une longueur d’avance sur les connaissances établies en la matière. Elles sont donc évolutives. Pour maintenir une vigilance efficace, il apparaît opportun de rester informé sur les dernières fraudes en vogue et d’assurer une communication interne efficace sur ces sujets.
Maîtriser les informations de l’entreprise
Comptes Linkedin des collaborateurs, rapports financiers et relations presses de l’entreprise… Internet regorge d’informations qui prisent isolément sont anodines, mais peuvent être recoupées afin d’établir de véritables axes stratégiques à destination des escrocs.
Dès lors, il apparaît à minima important de garder secrètes les personnes susceptibles d’effectuer des virements dans l’entreprise. Cela permet d’éviter qu’elles ne soient prises pour cible.
Sécuriser les accès aux services bancaires
Cela va de soi, les identifiants permettant d’initier des ordres de virement doivent rester confidentiels. Chaque délégataire d’un pouvoir bancaire doit pouvoir disposer de son propre identifiant de sorte que ce dernier ne doit pas être partagé entre les différents collaborateurs de l’entreprise.
Les codes d’accès doivent être régulièrement modifiés et être composés d’une série aléatoire de caractère pour éviter notamment les attaques au dictionnaire.
Sécuriser les installations informatiques
Le parc informatique de l’entreprise est une proie idéale pour les cyberattaques et notamment les cyber extorsion. L’entreprise doit disposer d’une politique de cybersécurité (charte informatique) en adéquation avec les types de données traitées pour veiller notamment au respect du RGPD, mais aussi pour sécuriser les informations clé de cette dernière.
Antivirus, firewall, cryptages des données… Ils existent des solutions graduées pour s’adapter au mieux aux exigences de cybersécurité.
Vérifier les coordonnées bancaires fournisseurs et maintenir un référentiel sain
Les référentiels fournisseurs doivent pouvoir servir de base de données pour instiguer les ordres de virement. En mentionnant les différentes coordonnées bancaires d’un tiers, l’entreprise doit être en mesure de contrôler si ces coordonnées sont associées à la bonne personne physique ou morale. Généralement, les vérifications sont faites manuellement, créant un risque élevé pour l’entreprise qui devient vulnérable aux erreurs humaines ou à la présence de données erronées ou anormales. Mais si cette opération peut être réalisée manuellement, mais elle peut aussi être faite de manière automatisée, ce qui renforce alors considérablement son efficacité et sa sécurisation.
Chez Trustpair nous accompagnons les directions financières des ETI et grands comptes dans la maîtrise de leurs contrôles fournisseurs. Grâce à un contrôle continu du référentiel tiers à partir d’un croisement intelligent de sources de données, les risques liés aux erreurs humaines sont proscrits. Vous disposez alors d’un référentiel sain, maîtrisez votre donnée fournisseur et protégez votre DAF face aux risques de fraude au virement !
POINTS À RETENIR
- Les entreprises sont de plus en plus touchées par la fraude au virement bancaire. Le but des escrocs est alors de récupérer le maximum d’information sur l’entreprise ou ses fournisseurs afin d’usurper leur identité ou de leur subtiliser des informations sensibles et confidentielles.
- Lorsque le donneur d’ordre émet un virement bancaire par erreur ou sur un compte frauduleux, récupérer les fonds peut s’avérer très compliqué. Parfois même impossible. En effet, les délais de virement sont généralement très rapides. Les escrocs ont alors le temps de déporter les fonds de comptes bancaires en comptes bancaires, rendant ainsi le traçage et le rappel de fonds impossible.
- La sensibilisation des acteurs de l’entreprise et la mise en place de processus de validation de virement sont essentiel pour prévenir de la fraude en entreprise. En complément, il existe d’autres pratiques pour les limiter.
- La solution Trustpair vous permet justement de renforcer la sécurité de vos contrôles fournisseurs. Nous accompagnons ainsi votre entreprise dans sa lutte contre la fraude. Grâce à l’automatisation des contrôles des RIB fournisseurs et à un audit continu de votre base, vous êtes en mesure de maîtriser vos process de sécurité et données tiers.