Comment sécuriser vos paiements face à la cybercriminalité ?

La fraude aux moyens de paiement est devenue un fléau pour les entreprises françaises. Selon le dernier baromètre du CESIN (janvier 2024), 49% des organisations ont constaté au moins une cyberattaque avec un impact significatif en 2023. Et les pirates ciblent en priorité les processus financiers pour un gain rapide :

• 60% des tentatives d’intrusion sont liées au phishing, visant souvent à l’initiation d’ordres de paiement frauduleux
• Le préjudice financier moyen d’une attaque réussie n’est pas précisé dans le nouveau baromètre (il était de 260 000 € en moyenne en 2022), mais 65% des entreprises déclarent que les attaques ont eu des impacts sur leur activité
• 7 entreprises sur 10 ont souscrit à une cyberassurance, soulignant l’importance accordée aux risques cyber financiers

Plusieurs facteurs de risque spécifiques aux trésoreries favorisent ces cyberattaques :

• La diversification des canaux et formats de paiement (SWIFT, SEPA, cartes) démultiplie les points d’entrée possibles pour les fraudeurs
• L’automatisation croissante des flux peut être détournée pour injecter à grande échelle des ordres falsifiés
• Les interactions digitales avec de multiples tiers (clients, fournisseurs, banques) élargissent le périmètre de menace au-delà du SI de l’entreprise
• La sensibilisation encore limitée des équipes trésorerie aux enjeux cyber, par rapport aux équipes IT

Les cybercriminels redoublent d’ingéniosité pour infiltrer la gestion des flux de paiement des entreprises. Et leurs modes opératoires sont de plus en plus ciblés et crédibles.

1. L’ingénierie sociale

Comme son nom l’indique, l’ingénierie sociale consiste à exploiter davantage des failles “humaines” que des failles techniques de systèmes informatiques : la tendance naturelle à faire confiance, le désir d’aider, la peur ou l’urgence, voire de la curiosité.

Le phishing ou “hameçonnage” en est l’illustration la plus répandue : les pirates envoient des emails frauduleux imitant parfaitement ceux de tiers de confiance (banques, fournisseurs, dirigeants) afin de dérober des identifiants ou inciter à réaliser un faux ordre de paiement. Pas moins de 80% des cyberattaques débutent par du phishing !

2. Malwares et ransomwares

Une fois dans la place, les fraudeurs déploient des logiciels malveillants (malwares) qui s’installent discrètement sur les postes et serveurs pour espionner et contrôler à distance l’activité :

• Les malwares bancaires, capables d’enregistrer toutes les saisies de données sensibles (mots de passe, coordonnées bancaires) voire de détourner les ordres de paiement légitimes à l’insu des utilisateurs
• Les ransomwares qui chiffrent les données et systèmes de l’entreprise pour les rendre inutilisables, puis réclament une rançon en cryptomonnaies en échange de la clé de déchiffrement
• Les chevaux de Troie (trojans) qui créent une porte dérobée pour d’autres programmes nuisibles ou une prise de contrôle par les pirates

3. Fraude au virement, faux prélèvements SEPA, RIB frauduleux

Enfin, on retrouve ici les manipulations d’ordres bancaires plus standards :

• Virements frauduleux générés en imitant des ordres habituels mais en substituant discrètement le RIB bénéficiaire
• Mandats ou prélèvements SEPA créés sur la base de fausses factures, faux contrats ou faux litiges
• RIB usurpés permettant de se faire passer pour un tiers de confiance (client, fournisseur) et d’encaisser des fonds indus

Pour chacune de ces cybermenaces, le processus d’identification et de mesure du risque par la trésorerie est capital. Il s’agit d’abord de dresser une cartographie exhaustive des scénarios d’attaques possibles en fonction des vulnérabilités de l’entreprise. Puis de quantifier pour chacun la probabilité d’occurrence, les impacts financiers potentiels et la criticité (combinaison des deux). Cela permet d’objectiver le niveau de risque cyber et de prioriser les parades à mettre en place, selon l’appétence au risque de l’organisation.

Pour prémunir efficacement leur entreprise contre ces cybermenaces, les Trésoriers doivent adopter une approche globale combinant prévention, détection et réaction. Ces trois piliers forment la gestion des risques, même si toutes les PME et les ETI n’ont pas cette fonction formalisée en tant que telle, un domaine qui n’est pas toujours couvert par les logiciels de gestion des risques. L’important est donc de mettre en place des mécanismes de contrôle et de surveillance adaptés, afin d’assurer une protection efficace et opérationnelle.

La gestion rigoureuse des pouvoirs bancaires constitue un levier essentiel pour lutter efficacement contre la fraude aux paiements. Il s’agit de définir clairement qui est autorisé à initier, valider et signer chaque transaction, tout en assurant une traçabilité et une mise à jour continue de ces mandats. L’affaire Kiabi, qui a subi une fraude de grande ampleur en raison de failles dans la gouvernance des pouvoirs bancaires, illustre bien les dangers de la négligence dans ce domaine.

Pour éviter de telles situations, il est crucial de répertorier précisément les collaborateurs habilités à réaliser des opérations bancaires et de limiter, voire segmenter, leurs niveaux d’accès. De la même manière, les délégations doivent être régulièrement actualisées : un employé quittant l’entreprise ou changeant de poste ne devrait plus détenir d’autorisation de paiement. Les solutions spécialisées, comme les modules de gestion des pouvoirs bancaires intégrés à certains TMS (Treasury Management Systems), permettent un contrôle centralisé des mandats et des signataires, avec des workflows de validation adaptés.

La clé est d’adopter une approche “zéro confiance” : toute modification ou création de mandat doit passer par un circuit de validation strict, assorti de contrôles et d’alertes automatiques. En combinant cette transparence avec des procédures régulièrement revues et auditées, l’entreprise diminue considérablement son exposition aux fraudes et aux virements non autorisés, tout en gagnant en sérénité sur la chaîne de paiement.

Le facteur humain étant souvent le maillon faible, il est indispensable de former et responsabiliser les collaborateurs finance aux risques cyber :

• Les bonnes pratiques d’hygiène informatique : mots de passe robustes, mises à jour régulières, connexions sécurisées, sauvegardes.
• La vigilance face aux tentatives d’hameçonnage : vérification des expéditeurs, méfiance envers les pièces jointes et liens, signalement des emails suspects…
• Le respect strict des procédures de validation des paiements : contrôle des RIB, double regard, authentification forte pour les ordres risqués.
• Le réflexe de remontée immédiate de toute anomalie à la cellule de crise pour circonscrire au plus tôt l’incident.

Côté IT et métiers, les mesures techniques et organisationnelles de protection contre la fraude aux paiements sont également multiples :

• Sécurisation des flux entrants et sortants via des protocoles de chiffrement de bout en bout
• Cloisonnement du SI finance et restriction des droits d’accès aux seuls utilisateurs habilités
• Mise en place de workflows d’approbation des ordres de paiement risqués, avec séparation des tâches
• Contrôles de 1er et 2ème niveau sur les références bancaires pour détecter RIB et IBANs suspects
• Rapprochement quotidien des relevés de compte pour identifier toute opération illégitime
• Centralisation de la traçabilité dans un outil anti-fraude dédié pour des investigations efficaces

Enfin, comme il est impossible d’annihiler totalement le risque cyber, les entreprises doivent aussi intégrer sa gestion dans leur stratégie financière globale :

• En formalisant un plan de continuité et de reprise d’activité trésorerie, avec des moyens de paiements de secours, pour assurer la résilience opérationnelle en cas d’attaque d’ampleur
• En souscrivant des polices d’assurance cyber pour transférer les pertes financières résiduelles, avec de possibles extensions fraude et pertes d’exploitation
• En provisionnant un montant de réserve suffisant dans les comptes pour absorber les impacts d’un sinistre majeur

Pour être plus précis, il faut garder à l’esprit que la réduction du risque cyber en entreprise implique toutes les strates :

• Les opérationnels finance et trésorerie en première ligne sur les actes métier
• Les équipes IT en support sur les aspects techniques et la supervision du SI
• Le management avec l’aide des risk managers pour insuffler la culture de la sécurité
• Les partenaires externes (banques, clients, fournisseurs, etc.) qui doivent se conformer aux mêmes standards
• Et même les régulateurs qui édictent des règles et des normes de plus en plus exigeantes

Pour orchestrer avec un haut niveau d’efficacité et de traçabilité leur dispositif anti-fraude, de nombreux Trésoriers s’appuient aujourd’hui sur des solutions logicielles expertes comme myDiapason Payment. Véritable tour de contrôle, ce type d’outil automatise de bout en bout la sécurisation des paiements grâce à des fonctionnalités avancées :

• Consolidation multicanale de tous les ordres de paiement émis et reçus en un point unique
• Contrôles d’intégrité et scoring de risque sur chaque transaction selon des règles flexibles
• Authentification des tiers et vérification automatique des signataires habilités
• Alertes temps réel sur les opérations douteuses et workflows de validation / rejet
• Piste d’audit inaltérable de tout le processus, de l’ordre au reporting

En adoptant ce type de solution, les Directeurs Financement et Trésorerie renforcent la prévention de la fraude et la résilience de la trésorerie en cas d’incident majeur, tout en digitalisant leurs opérations de paiement.

Découvrez l’interview croisée entre Alexandre Sortais, Directeur Professional Services chez Diapason et Laurent Sarrat, CEO et co-fondateur de Sis ID.

Les directions financières doivent donc faire de la sécurisation de leurs paiements une priorité absolue et permanente, face à une cybercriminalité financière toujours plus sophistiquée et polymorphe. Mais cette sécurisation ne se fait pas n’importe comment : elle doit combiner gouvernance, sensibilisation, processus et technologies.