Lutter à tout prix contre la fraude en entreprise

Lutter à tout prix contre la fraude en entreprise

Évaluer cet élément
(1 Vote)

Un jour ou l’autre, un dirigeant d’entreprise sera victime d’une fraude. D’ailleurs, la question n’est pas de savoir si une entreprise fera l’objet d’une fraude mais quand. Les fraudeurs n’hésitent pas à revenir plusieurs fois à la charge afin de parvenir à leurs fins, notamment grâce aux moyens informatiques. Un contexte particulier comme la crise sanitaire du Covid-19 a multiplié le nombre d’attaques informatiques.

Mais ce phénomène n’est pas nouveau (Tsunami de 2004 en Asie) et les cybercriminels profitent de la peur, la détresse humaine et l’urgence générée par des catastrophes sanitaires pour soutirer une rançon qui peut aller de centaines à des milliards d’euros selon la taille de l’entreprise. De quoi fragiliser fortement la trésorerie d’une entreprise et dans certains cas compromettre leur activité. Il faut donc être particulièrement vigilant et faire preuve d’anticipation dans ce domaine.

La rédaction de GPO Magazine dresse un bref état des lieux actuel de la fraude en entreprise. Puis, un panorama des fraudes existantes avec un éclairage sur la cybercriminalité.

Enfin, nous avons demandé à des experts spécialistes de bien vouloir nous dire comment lutter efficacement contre la fraude, en particulier la cybercriminalité.

État des lieux de la fraude en entreprise

Euler Hermes, leader européen de l’assurance fraude, et l’Association nationale des Directeurs Financiers et de Contrôle de Gestion (DFCG), ont interrogé plus de 200 entreprises implantées en France sur leur exposition, leur ressenti et leurs mesures de prévention face aux risques de fraude et cybercriminalité.

Il ressort de leur étude1 que le risque de fraude et de cybercriminalité ne faiblit pas : en 2019, plus de 7 entreprises sur 10 ont subi au moins une tentative de fraude. Les fraudeurs multiplient les attaques sur une même cible pour augmenter leurs chances de réussite : près d’une entreprise sur 3 a subi plus de 5 tentatives de fraude en 2019. L’usurpation d’identité (fraude aux faux fournisseurs, fraude au faux président, fraude au faux client) reste la technique privilégiée par les fraudeurs, suivie par la cyber-fraude et la fraude interne.

Armelle Raillard

« L’usurpation d’identité est un grand classique de la fraude, et elle est de loin la technique favorite des fraudeurs. Son usage a toutefois évolué : là où auparavant, le mail était le facteur déclencheur, de nouvelles techniques plus pointues sont apparues et permettent aux fraudeurs de gagner en efficacité. On peut notamment penser à l’intelligence artificielle et aux logiciels d’imitation de voix, grâce auxquels les fraudeurs ont plus de crédibilité dans leurs tentatives, et qui permettent de constituer des scénarios d’usurpation d’identité extrêmement convaincants », explique Armelle Raillard, Experte assurance-fraude chez Euler Hermes France.

L’intrusion dans les systèmes d’information est également utilisée et ce, à la fois en tant qu’attaque directe, avec les rançongiciels, mais aussi comme un moyen de préparer une fraude. Enfin, la fraude interne a été plus utilisée en 2019 qu’en 2018.

Un constat dressé par Euler Hermes France : les entreprises semblent de plus en plus conscientes de la menace de fraude qui plane. Il s’agit d’une prise de conscience d’autant plus rassurante que des mesures sont prises par les entreprises. À cet égard, 60 % des entreprises interrogées par Euler Hermes France ont déclaré avoir mis en place une cartographie des risques. Et certaines entreprises ont décidé de créer ou transférer un budget dédié à la lutte contre la fraude.

Enfin, 60 % des entreprises disposent désormais d’un plan d’urgence à activer en cas d’attaque. Une amélioration notable, par rapport à l’édition Euler Hermes France de 2019 qui prouve que la lutte contre la fraude est un sujet pris en compte par les entreprises.

Cependant, il reste encore du chemin à parcourir et les entreprises doivent aller plus loin dans leur démarche afin de se mettre complètement à l’abri des attaques.

Panorama des fraudes en entreprise

La fraude en entreprise peut recouvrir de multiples formes. Elle prend appui sur un flux (humain, cyber ou financier) afin de détourner de l’argent.

« S’agissant du flux humain, il peut s’agir de vrais collaborateurs transmettant des informations confidentielles en vue d’un espionnage industriel (à titre d’exemples : vraie fausse affaire d’espionnage chez Renault, Michelin et son ancien
Xavier Houillonemployé indiscret, le Concorde…), de salariés fictifs avec de faux diplômes. Ce sont des dérives comportementales qui peuvent nuire gravement à l’entreprise (dégradation de son image de marque, réputation). Pourtant, la fraude par le facteur humain n’est pas suffisamment prise en compte par le dirigeant
», indique Xavier Houillon Directeur Général Adjoint OAK Branch, Groupe Deveryware.

La fraude aux achats qui consiste à biaiser le choix d’un fournisseur est une fraude assez répandue. C’est ainsi que 47 % des fraudes sont des fraudes aux faux fournisseurs. Le secteur public et les secteurs qui y sont liés sont impactés par ce phénomène.

La cybercriminalité est un cas particulier de fraude commise en utilisant des systèmes informatiques connectés à un réseau, notamment à Internet.

La fraude financière est également très répandue. Le fraudeur va prendre un maximum d’information sur sa victime potentielle avant de s’attaquer à elle. On peut citer le cas particulier de la fraude au président ou fraude aux ordres de virement.

« Cette fraude repose sur la connaissance que le fraudeur a de l’entreprise cible. Le fraudeur se fait passer pour le président de la société. Par exemple, il peut téléphoner à votre comptable habilité à effectuer des paiements afin de lui demander d’effectuer un virement bancaire à l’étranger prétextant le rachat d’un concurrent asiatique. Les préjudices peuvent être assez importants : quelques centaines à plus de 10 millions d’euros pour les fraudes les plus importantes », souligne Xavier Houillon, Directeur Général Adjoint OAK Branch, Groupe Deveryware.

Focus sur la Cybercriminalité

2 questions à Pierre-Yves Popihn, Consulting Director chez NTT Ltd. FrancePierre Yves Popihn

1) Pour quelles raisons le secteur technologique devient-il le secteur le plus attaqué en France et dans le monde ?

Selon le rapport GTIR de NTT Ltd, le secteur technologique est actuellement le plus attaqué et il détrône pour la première fois celui de la finance. En effet, le secteur technologique représente 43 % de l’ensemble des cyberattaques en France et 25 % des attaques mondiales. Il existe plusieurs facteurs qui en font le secteur le plus attaqué. D’abord, il s’agit d’un secteur en très forte visibilité (Google, Apple…). L’impact d’une attaque sur ces sociétés sera donc important. C’est la raison pour laquelle les hackers choisissent ce type d’entreprise. Ensuite, ces entreprises sont en pleine croissance et oublient parfois les principes de base liés à leur sécurité.

Le secteur financier est plus mature que le domaine technologique ce qui rend plus compliquées les attaques à son encontre.

Ces différents facteurs font que l’exposition aux risques est plus forte s’agissant du secteur technologique : il est plus facile d’y entrer et de voler des données personnelles.

C’est pour cela que ce secteur est aujourd’hui la cible privilégiée des hackers pour attaquer ces entreprises et y voler des données personnelles.

Il faut également souligner le fait que les auteurs des attaques innovent en faisant appel à l’intelligence artificielle et au Machine Learning ainsi qu’en investissant dans l’automatisation. Environ 21 % des malwares détectés ont pris la forme d’un scanner de vulnérabilités, confirmant que l’automatisation est l’une des priorités des assaillants.

2) Quels sont les avantages pour une entreprise de placer la sécurité au cœur de sa stratégie ?

Au préalable, il faut parler du nombre croissant d’initiatives en matière de gouvernance, de risque et de conformité (GRC) qui créent certes un paysage au niveau mondial plus contraignant mais donnent désormais un cadre aux entreprises. Ainsi, diverses lois et réglementations influent sur la protection par les entreprises des données et de la vie privée comme le RGPD en Europe et tout récemment, le CCPA, récemment entré en vigueur en Californie.

Les entreprises commencent à mettre en œuvre de bonnes pratiques au niveau de leur système d’information. Certaines d’entre elles intègrent la sécurité de leur entreprise dans leurs coûts. Bien entendu, il s’agit d’une bonne chose car d’une part, le dirigeant va présenter la sécurité au cœur de son entreprise comme un avantage commercial et d’autre part, en cas d’attaque de grande ampleur, cela pourra lui éviter de mettre la clé sous la porte.

Les incidences de la crise sanitaire du Covid-19 sur les attaques informatiques

Les cyber-attaques ont fortement augmenté depuis le début de la crise du Covid-19.

« Les pirates surfent sur l’émotion suscitée par l’actualité de la crise du Covid-19. Ils savent très bien que compte tenu des nouvelles conditions de travail et du stress, l’environnement technique n’est pas toujours bien sécurisé », explique Fanch FRANCIS, Directeur Général OAK Branch, Groupe Deveryware.

En outre, ils se servent de la crise pour faire aboutir leurs attaques.

« Ils ont créé des sites web et vont jusqu’à dissimuler des malwares dans des applications pour le coronavirus. Il peut aussi y avoir des escroqueries en ligne destinées à l’achat de matériels médicaux tels que les masques, le gel hydroalcoolique… Le secteur hospitalier a été particulièrement impacté par ces attaques mais aussi des sociétés alimentaires, des banques, la ville de Marseille et tout récemment Essilor », précise Fanch FRANCIS, Directeur Général OAK Branch, Groupe Deveryware.

Enfin, du fait des mesures de confinement prises par les autorités sanitaires, du jour au lendemain, les entreprises ont dû mettre en place du télétravail en invitant leurs salariés à rester chez eux.

« Du fait du télétravail, le risque de cyber-attaque a fortement augmenté. En effet, les salariés se retrouvent à leur domicile avec du matériel professionnel ou personnel lequel n’est pas toujours suffisamment sécurisé. Le contexte du Covid n’a fait que mettre en lumière les manques inhérents à la sécurité informatique. Dans ce contexte, les dispositifs de contrôle interne doivent être non seulement maintenus mais également renforcés. Les collaborateurs doivent faire preuve d’une très grande vigilance », poursuit Xavier Houillon, Directeur Général Adjoint OAK Branch, Groupe Deveryware.

Une stratégie de cyber-sécurité doit donc impérativement être mise en place.

« Beaucoup d’entreprises n’étaient pas prêtes à affronter ces attaques. Il y aura sans doute d’autres crises sanitaires que celle du Covid. Il faut donc avoir une stratégie spécifique (phase de préparation et d’anticipation, définition de solutions qui mettent en place de bons process) afin de protéger l’entreprise et les utilisateurs des cyber attaquants », conclut Fanch FRANCIS, Directeur Général OAK Branch, Groupe Deveryware.

Par ailleurs, la Cnil dans un article intitulé « Salariés en télétravail » conseille aux télétravailleurs de suivre six recommandations de base :

- suivre les instructions de son employeur ;
- sécuriser sa connexion internet ;
- favoriser l'usage d'équipements fournis et contrôlés par son entreprise ;
- sinon s'assurer que son ordinateur personnel est suffisamment sécurisé ;
- communiquer en toute sécurité notamment en chiffrant les informations envoyées ;
- être particulièrement vigilant sur les tentatives d'hameçonnage.

Quels sont les nouveaux moyens technologiques mis à la disposition des entreprises pour lutter contre la fraude ?

Le dispositif à mettre en place afin de lutter contre la fraude est double : en amont, un dispositif de prévention et de détection de la fraude et en aval avec la création d’une « Task-force » chez le client chargée de conduire l’investigation.

Les acteurs de la cybersécurité n’ont pas tous la même approche afin de lutter contre ce fléau mais tous préconisent un dispositif de prévention, détection et protection.

« Nous conseillons d’abord d’évaluer les risques (où en est l’entreprise), d’installer un service de sécurité managé chez le client (surveillance des risques, gestion des infrastructures, détection des menaces) et enfin, d’optimiser les opérations (ce qui va permettre à l’entreprise de maîtriser ses coûts). Il s’agit là d’une approche hyper pragmatique laquelle n’est jamais la même d’une entreprise à une autre. Nous cherchons avant toute chose à éviter les incidents liés à la sécurité. Si toutefois une attaque se produit, nos équipes ont pour objectif de répondre rapidement à cette attaque, d’isoler la source de la contamination afin qu’elle ne se propage pas à l’ensemble des données et donc de cloisonner l’attaque. Notre personnel est très réactif et intervient de jour comme de nuit car il faut absolument éviter que le dirigeant d’entreprise paye une rançon qui peut atteindre des montants considérables », insiste Pierre-Yves Popihn, Consulting Director chez NTT Ltd. France.

Pour Fanch FRANCIS, Directeur Général OAK Branch, Groupe Deveryware : « Pour lutter efficacement contre les nouvelles formes de fraude, il faut associer une équipe experte et une solution IT dédiée. L’un ne va pas sans l’autre. Fanch FrancisL’équipe « fraude » assure une investigation transverse et identifie les signaux faibles grâce aux capacités du Big Data qui seules permettent de traiter de grands volumes de données aux formats multiples. Il faut d’abord détecter les failles, rassembler les données (la fraude est facilitée lorsque les données sont silotées), créer des alertes ordonnées par score de risques destinées au RSSI lui permettant de prioriser ses tâches et enfin identifier la source d’une attaque, son avancement et les phases à venir. Notre offre s’appuie sur ces nouveaux moyens technologiques permettant de protéger nos clients en analysant la sémantique (notamment devis, CV, compte-rendu de réunion) et voir si les documents transmis s’inscrivent dans la norme ».

Source :
1 Étude Heuler Hermes - DFCG (2020)

Lu 1130 fois Dernière modification le jeudi, 25 juin 2020 15:11
Linda Ducret

En 1987, elle devient avocate et crée son cabinet en exercice individuel en 1990. Depuis 2005,  elle est journaliste avec comme terrains de prédilections : les dossiers stratégie du dirigeant, propriété intellectuelle, nouvelles technologies, Incentive.....En 2009, elle publie un roman policier Taxi sous influence, finaliste du Prix du Premier roman en ligne.

Annonces

ADS.GPOMAG NOTILUS ADS.1

Le magazine digital

Inscrivez-vous à notre édition digitale pour feuilleter gratuitement le prochain numéro

   je m inscris test

Vient de paraître l'édition de Juillet 2020
Entreprise AGILE et Gestion de la MOBILITÉ
Recevoir la
 version numérique en cliquant ici

Capture d’écran 2020-07-18 à 19.05.29.png 

Paru en Juin 2020
La FONCTION FINANCE à l'heure du digital

MAG DIGITAL Lire extrait HS 2020-06-Digit fonction finance.jpg

Livres Blanc et E-book

Accélérer la transformation digitale de la comptabilité fournisseurs
Les équipes comptables se doivent d’engager leur transformation digitale pour éliminer les travaux de saisies…
Plus de livres blanc

Webinaires

Au 1er janvier 2021, le Brexit sera effectif : êtes-vous prêts ?
Au 1er janvier 2021, le Brexit sera effectif. Pour vous préparer, la douane vous accompagne…
Comment aborder le télétravail dans les meilleures conditions ?
Les nouveaux défis auxquels nous faisons face amènent les entreprises à recourir de plus en…
Les différentes étapes pour anticiper la sortie de crise
L'équipe Décidem, Cabinet de conseil spécialisé dans les défis humains, propose gratuitement son prochain webinar…
Plus de webinaires

Connexion

Devenir membre de GPOMag.fr vous permettra de bénéficier de nombreux avantages réservés uniquement aux membres : Recevoir l'édition digitale mensuelle, Feuilleter les cahiers thématiques et les télécharger gratuitement, Feuilleter gratuitement les derniers numéros de l'année en cours, Télécharger le planning rédactionnel pour connaître les sujets de la Rédaction à venir.

GPO Magazine

GPO Magazine, pour Gérer, Prévoir et Optimiser les ressources de l'entreprise est un magazine d'aide à la décision bimestriel, axé sur l'optimisation de la gestion d'entreprise, pour concrètement guider ses lecteurs dirigeants dans leurs réflexions stratégiques, leurs démarches opérationnelles, la gestion de leurs droits et dans le choix de leurs partenaires.

Une ligne éditoriale concrète et pertinente qui conjugue tendances, cas concrèts et témoignages, dossiers d'analyse, dossiers marchés, dossiers métiers, focus, point de droit, point international, point fiscal. Plus des " Avis d'Experts ".

Contactez-nous

Nos autres sites d'information

Twitter - Derniers posts

En poursuivant votre navigation sur ce site, vous acceptez l’utilisation de cookies pour vous proposer des services et offres adaptés à vos centres d'intérêts.