Fin du SMS pour sécuriser un achat en ligne : la grande majorité des Français n’est pas au courant
Le renforcement de l’authentification des internautes voulu par la Commission européenne pour améliorer la sécurité des paiements en ligne est peu connu des Français. Seulement 38% des Français déclarent avoir entendu parler de la fin de l’envoi par SMS d’un code à ressaisir sur la page d’achat et 30% de l’arrivée de la double authentification pour sécuriser leurs achats sur internet. C’est ce que montre l’étude du cabinet Enov, réalisée via internet du 14 au 21 octobre 2020, auprès d’un échantillon représentatif des acheteurs en ligne français, composé de 1 016 personnes, âgées de 18 à 70 ans et plus. Une très faible connaissance des nouveaux dispositifs de sécurité Un principe de double authentification a été mis en place, mais seulement 30% des personnes interrogées en ont entendu parler et seulement 1/3 de ces 30% eux déclare savoir sur quels critères elle repose. Cette notoriété est plus importante chez les jeunes et chez ceux qui déclarent avoir déjà subi une fraude en ligne. Pour leurs paiements, 38% des Français sont passés à l’authentification forte. Ils sont 24% à avoir utilisé leur application bancaire, 12% un double code et 7% à avoir utilisé un dispositif physique tel qu’un générateur de code, une clé USB ou un lecteur de QR Code à brancher sur l’ordinateur. Ils se montrent rassurés par ces changements. Le profil-type de l’utilisateur est un homme de moins de 35 ans, CSP+, ayant souvent déjà subi une fraude. 1 Français sur 5 déjà touché par une fraude en ligne A noter que la proposition d’être enregistré sur ses sites e-commerce préférés afin de ne plus avoir à ressaisir ses coordonnées bancaires ne suscite guère d’enthousiasme : 29% des acheteurs y sont favorables sans condition contre 50% qui y sont défavorables. Enfin, la proportion de personnes victimes d’une fraude sur internet paraît extrêmement élevée, puisqu’elle atteint 22% des répondants. Source : La Revue du digital
Comment exercer un contrôle de tiers conforme et sur ?
Pour les entreprises, les enjeux sont forts pour mettre en place un contrôle de tiers conforme et sûr. En un an, ce sont 312 poursuites & 253 condamnations qui ont été prononcées en France pour des faits de corruption, de trafic d’influence, de concussion, de prise illégale d’intérêt, de détournement de fonds publics ou de favoritisme. Le contrôle du tiers est une clé de sécurité pour tout transfert de fonds. Que ce soit d’un point de vue corruption (loi « Sapin 2 » du 9 décembre 2016), devoir de vigilance (loi du 27 mars 2017) ou bien RGPD (règlement européen en vigueur à partir du 25 mai 2018), ces règlementations imposent avec plus ou moins de fermeté des diligences à mettre en œuvre par les entreprises vis-à-vis de ses tiers, et notamment ses fournisseurs. Contrôle du tiers – évaluer la conformité des tiers En préambule, il est essentiel de relever que TOUS les tiers ont vocation à être évalués. Le périmètre des tiers à évaluer en priorité est défini sur le fondement de la cartographie des risques de corruption préalablement effectuée. Evaluer la conformité et la sureté d’un tiers, c’est de collecter les informations et les documents sur un tiers afin d’identifier et d’apprécier les risques de corruption : Avant que la relation ne soit formellement engagée ou en cas d’évènement impactant le niveau de risque du tiers ; Périodiquement, tout au long de la relation. L’objectif est bien sûr de permettre la relation commerciale avec ce tiers – conforme et sûr – de la poursuivre ou d’y mettre fin. Pour chaque tiers, le niveau de vigilance peut varier. Les mesures de prévention et de détection de la corruption mises en œuvre sont optimisées selon la famille du tiers. Pour ce faire, il faut recenser l’ensemble des tiers classés selon leur nature, leur statut, leur taille… et mettre en place une base de données informatisée, sécurisée et à jour, recensant les tiers pour faciliter la gestion. Contrôle du tiers – évaluer l’intégrité des tiers Pour établir si les tiers sont conformes et sûrs, il faut définir les 3 composants incontournables : Qui participe à l’évaluation ? Au niveau opérationnel, il faut un responsable des évaluations qui collecte les informations et émet une première appréciation. Ensuite, un responsable de conformité accompagne le niveau opérationnel en apportant son expertise dans les cas les plus risqués. Le dernier échelon est celui de l’instance dirigeante qui décide des suites à donner aux cas les plus risqués. Quels sont les informations et documents utiles ? En interne, il peut déjà exister des listes comme des annexes de pays à risques ou interdits selon l’organisation. Mais il faut également s’appuyer sur l’évaluation par outil logiciel, décisions de justice publiées… et même au besoin des bases de données payantes. Il est recommandé de recueillir des informations afin d’approfondir le contrôle et vérifier quelles sont les catégories d’acteurs et les bénéficiaires effectifs. Quel est le contenu des évaluations des tiers ? La liste est non exhaustive mais elle doit en priorité permettre de renseigner : l’identité du tiers, le risque pays, l’expertise, la conformité, puis permettre de définir la nature et l’objet de la relation. Il faut aussi regarder s’il y a des interactions avec agents publics, PPE, quelles sont les modalités de rémunération, l’actionnariat, le secteur d’activité. Et enfin, il faut définir le degré de sureté : intégrité et réputation, coopération, s’il y a d’autres intervenants et quels sont les aspects financiers en jeu ainsi que les modalités et flux de paiements. La conformité et la sureté de vos tiers passent par ces étapes incontournables, facilitées par les fournisseurs de solutions dont les éditeurs de logiciels font partie. Ils permettent d’implémenter l’outil d’évaluation servant de première sélection pour l’analyse par l’organisation. Les indicateurs de sureté et de conformité qui définissent la nature du risque (scoring) sont définis en relation avec l’organisation. Le but étant de mettre en place un outil adapté au métier et à la situation commerciale de l’organisme concerné, qui permette le suivi dans la durée, de chaque tiers en relation avec l’entreprise. Découvrez aussi Mata Conseil Source
L’arnaque au faux RIB
L’arnaque au faux RIB – mise en situation Une société asiatique se faisant passer pour un fournisseur contacte une entreprise et l’informe par courriel de son changement de domiciliation bancaire. Une facture et un relevé d’identité bancaire mentionnant les nouvelles coordonnées y sont joints. Confiante l’entreprise victime effectue immédiatement 2 virements pour un montant supérieur à 20000€. Les dirigeants ne s’aperçoivent de l’escroquerie que quelques temps après. Lors des vérifications, ils constatent que l’adresse mail utilisée diffère légèrement de celle habituellement employée par le fournisseur. L’arnaque au faux RIB, si simple et cruellement efficace L’escroquerie au « faux RIB » ou plus exactement au « changement de domiciliation bancaire » connaît un certain essor. Variante de l’escroquerie dite « au faux président », cette arnaque est la plus simple à réaliser ! Elle ne nécessite aucune connaissance en informatique et peu de recherches d’informations par le biais de la relation sociale. Pour y parvenir, il suffit de créer de fausses adresses mail, de fausses factures à entête de fournisseurs réels et d’y joindre un RIB. Le tour est joué. Comment se protéger contre l’arnaque au faux RIB ? En amont il faut établir des procédures écrites strictes concernant les virements, mais il est aussi recommandé de contrôler et limiter la diffusion d’informations concernant l’entreprise. A ce titre, il est préférable d’éviter de diffuser l’organigramme précis et nominatif de la société pour ne pas faciliter le travail des escrocs. Les réseaux sociaux sont aussi à protéger en veillant à ne pas révéler avec précision les fonctions de dirigeants. Un exercice de finesse à un époque où la puissance de la relation client se construit aussi par ces canaux. De même, il ne faut pas communiquer d’informations sensibles (factures, baux, etc.) par téléphone, fax ou mail sans avoir formellement identifié le demandeur. Ensuite, la pédagogie est le levier à activer régulièrement : sensibiliser les salariés et ce quel que soit le niveau de responsabilité exercée. Il est possible d’envisager de les responsabiliser en adoptant une charte d’utilisation des moyens informatiques, d’internet et des réseaux sociaux. L’arnaque aux faux RIB, comment traiter la réception d’e-mails ? La discipline est une clé de sécurité non négligeable. Il faut donc s’y plier ! Il ne faut jamais se contenter des seules informations affichées. Ne pas répondre à un mail en utilisant la fonction « répondre » de la messagerie. La victime risquerait alors de ne pas s’apercevoir qu’elle a affaire à une fausse adresse. La vigilance soit être accrue en cas de demande de modification du RIB (domiciliation bancaire). Que faire en cas de constat d’arnaque au faux RIB ? Il est conseillé de contacter immédiatement par téléphone le véritable fournisseur en utilisant de préférence un téléphone portable, le serveur téléphonique pourrait être piraté par l’escroc en vue de rediriger les contres appels de sécurité. La mise en place d’une veille régulière permettra d’anticiper et de s’adapter aux nouvelles menaces. Tous nos conseils et nos solutions sont au BOUT DU FIL ! Découvrez aussi Mata Io
