La sécurité des paiements : préoccupation numéro 1 des entreprises

Selon le Baromètre Fraude et Cybercriminalité 2021, 2 entreprises sur 3 ont subi au moins une tentative de fraude cette année, et 1 entreprise sur 5 a subi plus de 5 attaques. Cette recrudescence des tentatives de fraude (selon cette même étude, 64 % des entreprises constatent une accentuation du phénomène) s’inscrit dans une tendance à long terme, qui s’observe dans tous les secteurs d’activité.

Il faut dire que la crise du Covid-19 a entraîné pour les entreprises une digitalisation à marche forcée. Et si le recours au digital a de réels avantages, la généralisation du télétravail ces derniers mois (et la dématérialisation des processus qui a suivi) a rendu les entreprises plus vulnérables aux tentatives de fraude.

Face à ces risques accrus, la sécurité des paiements s’impose donc comme une préoccupation majeure pour les entreprises. Car, outre le coût financier de la fraude, celles-ci doivent également faire face à un coût moins tangible mais tout aussi réel, à savoir la fragilisation de leur image et la dégradation de leur réputation. C’est la raison pour laquelle les entreprises doivent faire de la sécurité des paiements une priorité, en identifiant les risques associés et en luttant contre la potentielle faillibilité de leurs processus. Explications détaillées.

Pourquoi la sécurité des paiements est-elle aujourd’hui un enjeu et une préoccupation majeure des entreprises ?

Dans une étude sur la fraude publiée en 2020, PwC révèle que, sur la période 2018-2020, plus d’une entreprise sur deux a été victime de fraude, pour un préjudice total estimé à 1,4 milliards de dollars. Fraude au faux fournisseur, fraude au président, piratage, détournement de fonds… Les arnaques sont nombreuses, et la créativité des fraudeurs (apparemment) sans limites.

Il faut dire que la digitalisation des procédures rend les entreprises particulièrement faillibles. Certes, le digital constitue une véritable opportunité pour les entreprises, en ce qu’il offre de nombreux gains de temps et d’efficacité. Il permet également de faciliter les relations interpersonnelles, grâce aux logiciels et outils 100 % digitaux qui offrent de nouvelles possibilités de communication saine. Mais les risques de fraude, que ce soit en interne ou en externe, sont aussi plus importants lorsque l’ensemble des processus de l’entreprise sont dématérialisés. L’explosion des fraudes au faux président pendant la crise du Covid-19 en est la triste illustration. Pour quelles raisons la digitalisation des processus accentue-t-elle les risques de fraude ? Elles sont plurielles. Par exemple, il est plus difficile de vérifier l’identité d’un fournisseur à distance. Par ailleurs, la dématérialisation engendre souvent des failles de sécurité : de fait, les serveurs informatiques des entreprises ne sont pas infaillibles et peuvent donc être ciblés par des attaques.

Heureusement, le cadre légal de la sécurité des paiements se renforce. La deuxième directive européenne sur les services de paiement (DSP2), adoptée en 2015 par le Parlement européen et entrée en vigueur en 2018 a pour objectif d’harmoniser la réglementation sur les paiements au sein de l’Union européenne. Elle doit notamment permettre de lutter contre l’augmentation du nombre de fraudes engendrée par la massification des achats en ligne. Selon Mercatel, une association professionnelle spécialiste des questions liées au paiement, le taux de fraude est en effet 20 fois plus élevé dans le e-commerce que dans les commerces de proximité. La DSP2, en renforçant le niveau de sécurité des opérations de paiement sur Internet, a donc un rôle important à jouer dans la lutte contre la fraude. Depuis mai 2021, l’obligation d’authentification forte (système de sécurité visant à certifier que la personne qui souhaite effectuer une opération en ligne est bien la titulaire de la carte bancaire ou du compte de paiement) s’impose ainsi à toutes les opérations de paiement de plus de 30 euros.

Quels sont les risques pour les entreprises ?

Nous l’avons vu, les entreprises font face à un risque financier non négligeable (selon l’étude Euler Hermèst, 33 % des entreprises victimes de fraude ont subi un préjudice supérieur à 10 000 euros, et 14 % d’entre elles ont subi un préjudice supérieur à 100 000 euros). Mais ce n’est pas le seul risque auquel elles s’exposent.

En dressant une typologie des fraudes les plus courantes, voyons à quels risques sont confrontées les entreprises en matière de sécurité de la chaîne des paiements.

La fraude au faux président

Ici, le fraudeur usurpe l’identité de l’un des dirigeants de l’entreprise cible et demande à un collaborateur de réaliser en urgence un virement vers un compte bancaire. Généralement, le faux dirigeant insiste sur le caractère important, confidentiel et urgent de cette opération pour mettre la pression sur le collaborateur avec qui il est en contact.

Les grandes entreprises sont les plus touchées par ce type de fraude. Si elle échoue dans la majorité des cas, elle peut être lourde de conséquences, avec un préjudice financier évalué à 10 millions d’euros.

Pour se prémunir de ce risque, les entreprises ont tout intérêt à sécuriser les processus de virement bancaire, en s’assurant notamment à chaque virement de l’authenticité du donneur d’ordre, et en ne communiquant aucune information confidentielle sur l’entreprise dans des situations prétendument urgentes.

La fraude aux faux virements

Dans ce cas précis, le fraudeur usurpe l’identité d’un fournisseur de l’entreprise et contacte celle-ci pour lui notifier la modification de ses coordonnées bancaires. Le service comptable les met à jour dans sa base de données, ce qui a pour effet de rediriger les règlements fournisseur vers un compte frauduleux.

Là encore, ce mode opératoire cible en particulier les grandes entreprises, pour un préjudice financier pouvant grimper jusqu’à 10 millions d’euros.

La fraude au technicien

Moins connue que les deux précédentes, la fraude au technicien consiste à usurper l’identité d’un technicien pour effectuer de faux tests sur des postes informatiques ayant accès à des données sensibles. L’objectif est de récupérer des informations confidentielles, de générer des virements frauduleux, d’installer des logiciels pirates, etc. Outre le risque de préjudice financier, l’entreprise s’expose à des risques de piratage de données et à une dégradation de son image auprès du grand public.

La cybercriminalité (piratage informatique)

Le piratage informatique peut prendre différentes formes : phishing, spoofing, virus installé sur un ou plusieurs postes informatiques… Comme dans l’exemple précédent, les risques ne sont pas uniquement financiers, mais aussi juridiques et réputationnels. Outre la possibilité de voir ses données confidentielles piratées et utilisées par des tiers à des fins frauduleuses, l’entreprise s’expose en effet à un préjudice d’atteinte à son image, bien réel même si plus difficile à évaluer.

Quelques exemples

En février 2020, plusieurs entreprises françaises comme Bouygues ou M6 ont subi des cyberattaques d’ampleur. Le groupe de lingerie Lise Charmel, également victime de ces attaques massives, a même été placé en redressement judiciaire. La raison ? Un logiciel de piratage informatique a pris en otage toutes les données de l’entreprise, en échange d’une clé permettant de les déchiffrer (l'ensemble des données et fichiers étaient alors cryptés). L’entreprise ayant refusé de payer la rançon demandée, elle a dû reconstruire son système informatique pendant des mois, ce qui a engendré un manque à gagner de plusieurs millions d’euros.

Quelques années plus tôt, en 2014, c’est l’entreprise Michelin qui a été victime de la fraude au faux président. Montant du préjudice subi ? 1,6 million d’euros. La même année, le cabinet KPMG en a également été victime, pour un préjudice total de 7,6 millions d'euros.

On voit donc, à travers ces quelques exemples, les conséquences concrètes de la fraude au virement (soupçons de négligence envers l’entreprise, réputation ternie, coût financier, mise en péril de l’activité…), et l’importance qui en résulte de sécuriser la chaîne de paiement.

Quelles solutions peut-on mettre en place aujourd’hui et dans les années à venir ?

La digitalisation devrait continuer à se développer dans les années à venir. Nous n’en sommes encore qu’aux prémices d’une révolution dont les opportunités sont tout aussi nombreuses que les risques. Heureusement, des solutions existent pour contrer ces derniers, et notamment :

• l’investissement dans les chaînes d'approvisionnement pour en assurer la solidité ;

• l’établissement d’une cartographie des risques ;

• la mise en place de procédures internes ;

• la gestion des flux de trésorerie ;

• la sensibilisation aux risques de fraude, à tous les niveaux de l’entreprise (les collaborateurs doivent également en être informés) ;

• la collaboration étroite avec l’ensemble des services de l’entreprise dans la lutte contre la fraude.

Les entreprises ont également intérêt à utiliser des solutions qui digitalisent les processus de contrôles des coordonnées bancaires tout au long de la chaîne de paiement, de la saisie dans la base tiers à la génération des paiements. L’association de la vérification humaine et de la technologie permet en effet des résultats optimaux.

Par ailleurs, les entreprises doivent impérativement connaître l’ensemble de leurs partenaires commerciaux pour ne pas tomber dans le piège si ces derniers se font usurper leur identité.

C’est ainsi, en mettant en place une grande variété de mesures et en renforçant la vigilance collective, que les entreprises pourront faire face aux nouveaux risques posés par la digitalisation en matière de sécurité des paiements.