Actualités

Enjeux Cybersécurité liés à la crise COVID-19

Le contexte actuel de crise sanitaire met à rude épreuve la capacité de résilience des entreprises. La pandémie du COVID-19 a contraint les entreprises à s’adapter très rapidement afin de protéger leurs collaborateurs et d’assurer la continuité des activités. Toutefois, parmi la multitude de mesures de sécurité mises en place, peu d’organisations ont intégré à leur gestion de crise la composante cybersécurité afin de préserver leurs actifs informationnels, et surtout leurs capacités opérationnelles vitales. Pourtant, le nombre bondissant de cyber-attaques depuis le début de la crise et la mise en place des mesures de distanciation sociale comme le télétravail, en passe de devenir le nouveau mode « standard » d’organisation du travail, tant qu’un vaccin ou un traitement efficace n’est pas mis au point voire même au-delà, sont autant de facteurs qui rendent essentielle la revue approfondie des dispositifs de cybersécurité des entreprises. En effet, les cyber-attaques s’enchaînent à travers le globe en exploitant des failles de sécurité liées principalement à la désorganisation causée par la pandémie. Dès le début du confinement en France, les attaques de type phishing se sont multipliées, à travers des liens vérolés proposant à la vente des masques FFP2 ou du gel hydroalcoolique, en pénurie à ce moment-là, ou mettant à disposition une version téléchargeable *.pdf de « l’attestation de déplacement dérogatoire ». Aussi, à cause du confinement, les applications de visioconférence se sont retrouvées prises d’assaut, que ce soit pour le télétravail, l’école à distance, les réunions familiales ou les apéritifs virtuels entre amis. Certaines plateformes, telles que Zoom, sont victimes de leurs succès. En effet, la plateforme américaine avait atteint les 300 millions d’utilisateurs mais enchainait les problèmes de sécurité telles que le Zoombombing qui permet une intrusion inopinée pour perturber la conférence (injures, harcèlement, diffusion de contenus inappropriés, etc.). La Secrétaire Générale Adjointe aux affaires de désarmement des Nations Unies a déclaré récemment qu’une cyber-attaque a lieu toutes les 39 secondes dans le monde, selon les observations de son Organisation. Des attaques plus sophistiquées, de type ransomware ou DDoS par exemple, sont de plus en plus fréquentes et ciblent massivement les secteurs sous tension en cette période. La violation de données sensibles survenue tout récemment chez la plus grande entreprise nippone de télécommunications, ainsi que le détournement des supercalculateurs d’universités européennes pour du crypto mining en sont la parfaite illustration. Face à l’accroissement de la Cybermenace et à l’augmentation de la surface d’attaque, il est primordial que les entreprises renforcent leur cybersécurité à l’aide de mesures adaptées, telles que : La conduite de campagnes de sensibilisation ciblées, notamment autour des attaques de phishing, social engineering, fraude au président et risques induits par l’utilisation d’outils non-recommandés par l’entreprise ; La définition d’une procédure utilisateur pour la gestion des incidents de sécurité claire et adaptée au contexte exceptionnel ; La réduction du délai de renouvellement des mots de passe, évidemment robustes et uniques. Cette mesure est d’autant plus essentielle si l’entreprise ne dispose pas de Single Sign-on (SSO), cas de figure dans lequel les utilisateurs auront tendance à réutiliser le même mot de passe pour plusieurs applications et plateformes ; La mise-en-place d’un Helpdesk compétent sur les sujets de cybersécurité avec des fiches réflexes dédiées, pour une prise en charge rapide des demandes urgentes ou complexes, notamment celles relatives à la gestion des accès et habilitations ; L’utilisation de solutions de visioconférence sécurisées, propres à l’entreprise et de préférence recommandées par l’ANSSI ou un autre organisme certificateur ; L’utilisation systématique d’une solution d’accès VPN propre à l’entreprise, idéalement [IKEv2/]IPsec ou TLS à défaut, pour sécuriser l’accès au réseau interne et aux applications de l’entreprise ; La mise en place de mécanismes d’authentification multi facteur (MFA) pour limiter les risques d’usurpation d’identité ; Le durcissement des règles de proxy, au strict nécessaire. En effet, les collaborateurs qui travaillent depuis leurs domiciles peuvent consulter les plateformes relevant de leurs usages extra-professionnels depuis leurs équipements personnels. Une extension de la liste des sites ou mots-clés en “liste noire”, permettra de centrer l’utilisation des outils d’entreprise autour d’un usage strictement professionnel, et réduira de fait les risques de compromission. De même, il est conseillé de limiter au maximum le téléchargement de fichiers externes au Système d’Information de l’entreprise ; Le renforcement du monitoring et de la sécurité des connexions distantes, afin que tout échange de données liées à l’entreprise soit sécurisé. Pour cela, il convient, entre autres, de réduire le délai d’expiration automatique des sessions utilisateurs inactives. Pour les entreprises autorisant le BYOD, il convient, autant que possible, de mettre en place des environnements VDI, auxquels la connexion se fait exclusivement via une authentification forte ; L’application rapide des mises à jour de sécurité et la création de procédures de patch management adaptées aux problématiques et performances d’accès distants, notamment sur les équipements et logiciels exposés sur Internet, tels que le VPN, le bureau distant, la solution de messagerie, etc. ; Le blocage des ports USB, au moins le temps du télétravail, pour éviter que les utilisateurs ne branchent des périphériques de stockage personnels, potentiellement vérolés ou non-autorisés ; La surveillance de l’état du parc de machines via des outils d’inventaire, et s’assurer que les utilisateurs ont notamment des EDR à jour sur leurs postes de travail ; L’application stricte du marquage de l’information et le durcissement des dispositifs de DLP afin d’éviter toute fuite d’information, qu’elle soit volontaire ou non. Également, le renforcement des barrières de type CASB sont nécessaires pour limiter le transfert d’information aux seules plateformes Cloud réputées fiables par l’entreprise ; La revue régulière des journaux d’accès des services exposées sur Internet pour détecter les comportements suspects ; La sauvegarde des données critiques, y compris celles dispersées au niveau des terminaux BYOD. Il convient également de disposer d’une copie récente de ces sauvegardes, isolée du réseau de l’entreprise ; Le renforcement de la sécurité physique des sites de l’entreprise, qui se trouvent très peu ou pas du tout occupés, en veillant à l’application de la politique clean desk ; La mise en pré-alerte de la Cellule de Crise Cybersécurité, afin d’assurer une veille continue et proactive, garantissant qu’elle soit en capacité opérationnelle […]

Sébastien Gest, Vade Secure : des cyberattaques post Covid-19 à anticiper

Les cyberattaques durant le confinement ont permis un travail de récolte de données (campagnes de phishing, spear phishing, etc.) et d’infection initiale dans les réseaux d’entreprise (par le biais de malwares, keylogger, etc.) qui pourrait donner lieu à des attaques sophistiquées très prochainement. Les cyberattaquants pourraient tout à fait, par exemple, attendre le retour au bureau des télétravailleurs pour activer des ransomwares dormants, installés plusieurs semaines plus tôt. Sébastien Gest, Tech Évangéliste chez Vade Secure, spécialiste français de la sécurité des emails, incite les entreprises à anticiper ce retour au bureau massif, et une possible nouvelle phase dans les attaques initiées durant le confinement :« Les attaquants ont largement utilisé les failles créées par le télétravail pendant le confinement. Mais nous avons vu finalement assez peu de réelles attaques sophistiquées, ce qui nous laisse présager un retour de bâton dans les prochains mois. Pourquoi ?Les attaques de ransomware de ces derniers mois (durant la phase du covid19) ont plutôt ciblé les hôpitaux. Nous avons vu beaucoup d’activité de phishing – l’email étant resté le principal vecteur d’attaque – mais pas uniquement. En effet, la plupart des ransomwares que nous avons observés furent insérés directement par les hackers, comme ponyfinal analysé par Microsoft. Pour les hackers il est en effet bien plus intéressant de placer des « mouchards » sous la forme d’adware, ou des keylogger, ayant la capacité d’aspirer les accès utilisateurs de nombreux logiciels. Ce sont ces accès qui vont permettre par la suite soit d’utiliser les machines comme machine zombie, soit d’accéder au système d’information de l’entreprise. Pendant le confinement, les attaquants ont réalisé un important travail préparatoire. Ces attaques – phishing, spear phishing, vol d’identifiants/mot de passe, injection de malware, keylogger, etc. sont généralement les prémices d’attaques plus sophistiquées, et il est donc clair qu’il faut nous attendre à voir apparaître des attaques évoluées, résultant de ce travail de préparation. A titre d’exemple, rappelons-nous que la campagne de NotPetya en 2017 a nécessité une longue période de préparation. Les types de menaces que nous pourrions ainsi voir rapidement surgir, pourraient être des ransomwares (as-a-service) déclenchés à distance pour asphyxier le système d’informations d’entreprises en bonne santé financière, ou encore de la Fraude au président, très facile à mettre en œuvre grâce au grand volume d’informations collectées pendant la période de confinement… Certains attaquants pourraient également se montrer plus patients et attendre le retour des télétravailleurs au bureau, pour attaquer l’entreprise en l’infiltrant plus en profondeur. L’utilisateur dont on a compromis les identifiants ou compromis les outils de travail à distance (à l’aide de malwares par exemple) de retour au bureau, permettra à l’attaquant de poursuivre plus facilement son infiltration au cœur du réseau de l’entreprise, pour mener des attaques encore plus dangereuses. » Source: Global Security Mag par Sebastien Gest

Covid-19 : comment pirates informatiques et escrocs profitent de la pandémie

Les autorités n’ont pas détecté d’incident informatique majeur pouvant affecter les hôpitaux, mais craignent bien davantage la petite criminalité et les escroqueries numériques. Il existe, en matière de sécurité informatique, une règle immuable : tout événement mondial est immédiatement utilisé par des pirates pour piéger des internautes. Aucun expert du sujet n’a donc été surpris en constatant, ces dernières semaines, une recrudescence d’activités numériques malveillantes exploitant la pandémie de Covid-19. « Il ne faut pas paniquer sur le cyber. Il faut cependant être très vigilant vis-à-vis de l’adaptation très rapide des petites arnaques : la crise sanitaire est une thématique supplémentaire pour escroquer les gens », explique ainsi au Monde Guillaume Poupard, directeur de l’Agence nationale de sécurité des systèmes d’information (Anssi), le pompier numérique de l’Etat. « Les cybercriminels cherchent à tirer profit de la précipitation et de la baisse de vigilance des personnes directement ou indirectement concernées pour les abuser », pouvait-on lire, lundi 16 mars, sur Cybermalveillance.gouv.fr, la plate-forme d’assistance aux victimes de nuisances numériques dans un bulletin d’alerte. Le site anticipe « un accroissement des cyberattaques et des cyberescroqueries » liées à la pandémie et appelle à « redoubler d’attention pour ne pas tomber dans leurs pièges ». Un constat partagé par certaines entreprises spécialisées. « A l’heure actuelle, le volume cumulé des e-mails trompeurs liés au coronavirus représente la plus grande quantité de types d’attaques autour d’un même thème que notre équipe a vue depuis des années, peut-être même depuis toujours », écrit dans un communiqué Sherrod DeGrippo, de l’entreprise spécialisée Proofpoint. Campagnes d’hameçonnage Dès le début du mois de mars, l’entreprise spécialisée Check Point avait en effet établi que plus de 4 000 sites internet liés au nouveau coronavirus avaient été créés. Selon elle, 3 % d’entre eux servaient un dessein malveillant et 5 % seraient « suspects ». Ces sites pourraient être utilisés à des fins d’hameçonnage, une technique qui consiste à extorquer des informations personnelles (mot de passe, code de carte bancaire) en se faisant passer pour un site légitime. Check Point a par exemple identifié une campagne d’hameçonnage par e-mail visant un très grand nombre de destinataires italiens. Dans leurs messages, les pirates expliquaient qu’« en raison du grand nombre d’infections au coronavirus dans la région », l’OMS avait mis à disposition un document listant les précautions à prendre pour s’en prémunir. Le message, pourtant signé d’un médecin de l’OMS, ne provenait bien sûr pas de l’organisation sanitaire et la pièce jointe était infectée. D’autres courriels d’hameçonnage se sont fait passer pour les Centres pour le contrôle et la prévention des maladies américains dans l’espoir de duper les destinataires, tandis que les autorités canadiennes et suisses ont elles aussi alerté sur une vague de sites malveillants profitant du Covid-19 en usurpant l’identité de ses autorités sanitaires. En réponse, l’OMS a justement averti que des « criminels » tentaient de se faire passer pour elle afin de « voler des fonds ou des informations sensibles » et rappelé que jamais l’organisation ne demandait de mot de passe ou de nom d’utilisateur, ni n’envoyait de pièces jointes non sollicitées. Virus informatiques Les e-mails ou les sites malveillants peuvent aussi, outre l’extorsion d’informations ou de numéros de carte bancaires, servir à la propagation de virus, informatiques ceux-là. Plusieurs autorités et entreprises spécialisées ont découvert que ces courriels charriaient par exemple des rançongiciels, des virus rendant inaccessibles les données d’un ordinateur et exigeant une rançon pour les déverrouiller, ou des logiciels malveillants conçus pour récupérer les identifiants de comptes bancaires. Cette prolifération a même conduit la cellule de veille du secteur de la santé français à tirer la sonnette d’alarme. Six logiciels malveillants différents circulent actuellement dans des e-mails prenant pour prétexte le coronavirus, selon le Cyberpeace Institute, une ONG luttant contre l’insécurité numérique. Lire aussi  Rançons exorbitantes, attaques ciblées : 2019, année « faste » pour le rançongiciel Par ailleurs, des sites reproduisant la très populaire carte de l’université Johns-Hopkins de Baltimore sur la propagation du coronavirus dans le monde contenaient un virus volant les mots de passe, à la suite de la publication sur un forum de pirates informatiques d’un kit permettant de créer rapidement ce type de sites. Une recrudescence des arnaques Selon nos informations, quelques messages malveillants ont été signalés sur Pharos, la plate-forme de signalement de la police − notamment des e-mails contenant des pièces jointes suspectes. Mais ces signalements restent peu nombreux à ce stade. Les autorités craignent davantage l’émergence et la propagation de pratiques commerciales trompeuses, par exemple des sites qui vendent des masques mais ne les livrent jamais ou qui délivrent du faux gel hydroalcoolique. Des sites suspects ont été signalés par les autorités à la direction générale de la concurrence, de la consommation et de la répression des fraudes. Des appels aux dons frauduleux sont également à craindre, l’OMS ayant également alerté sur ce phénomène. En cette période où les hôpitaux français anticipent ou affrontent une surcharge de travail inédite, on craint aussi une attaque informatique compliquant encore davantage leurs activités. L’hypothèse n’est pas farfelue : il y a peu, un rançongiciel avait durement touché le centre hospitalier de Rouen et une attaque informatique a par exemple, en République tchèque, perturbé l’activité de l’hôpital universitaire de Brno alors même qu’il doit lutter contre la pandémie de Covid-19. Le ministère de la santé américain a lui aussi été touché, quoique moins sévèrement, par une attaque destinée à paralyser son site internet sous un flux de connexions artificielles. Une offensive que certains hauts fonctionnaires anonymes cités par la presse américaine attribuent à un Etat, sans davantage de précisions. Lire aussi  Après la cyberattaque au CHU de Rouen, l’enquête s’oriente vers la piste crapuleuse En France, l’Anssi n’a pas traité à ce jour d’incident majeur en lien avec le Covid-19. « « En ce qui concerne les pirates de haut niveau, nous n’observons rien mais nous sommes en alerte pour éviter une sorte d’opportunisme, explique Guillaume Poupard, et nos équipes d’intervention et de détection regardent tous azimuts. »   Les gestes barrières contre les virus informatiques et les arnaques liés au coronavirus Plusieurs gestes barrières, numériques ceux-là, peuvent être entrepris pour ne pas être victime d’une arnaque ou d’un virus exploitant l’angoisse autour de la pandémie de Covid-19. Traiter les messages ou les appels non sollicités avec la plus grande prudence, particulièrement lorsque ces derniers réclament des informations personnelles ou secrètes, ou qui contiennent une pièce jointe. Ne pas télécharger d’application en […]

EBICS RTN – Les notifications en temps réel par le protocole EBICS

EBICS RTN : Un besoin de communiquer en temps réel Jusqu’alors, le protocole EBICS fonctionnait à sens unique. C’était au client, l’entreprise, d’établir la connexion avec la banque. Par exemple, lors d’une demande de réception d’extraits de comptes, c’est bien l’entreprise qui se connecte à la banque par EBICS, fait la demande de réception de ses extraits, que la banque lui transfère ensuite par ce même canal. Les nouveaux usages de la télématique imposent de plus en plus de vitesse dans les échanges, et pour les banques, la possibilité de restituer de l’information à leurs clients en temps réel. Par exemple : pour délivrer des accusés d’exécution d’opérations, ou des accusés de réception de virements instantanés. Cela permet également d’éviter la saturation des serveurs EBICS des banques. Sans ce type de canal, l’entreprise est obligée d’interroger très régulièrement sa banque par EBICS pour getter l’arrivée d’un accusé bancaire. Comment fonctionne EBICS RTN Afin de répondre à ces nouveaux besoins, une initiative a vu le jour sous l’appellation : EBICS RTN, pour Real Time Notifications. Le principe repose sur l’ouverture d’un canal de type WebSocket entre l’entreprise et la banque. Ce type de canal n’utilise pas directement le protocole EBICS, mais ne remet pas à cause l’existant puisqu’il ne sera dédié qu’à certaines notifications. Une fois la communication établie, le canal reste ouvert et permet des échanges bidirectionnels et temps réels. Ainsi, la banque pourra pousser de l’information à l’entreprise, sur la disponibilité d’un accusé ou d’un extrait de compte par exemple. Et l’entreprise pourra ensuite se connecter de manière classique, en EBICS, pour récupérer les données. La banque pourra également utiliser ce canal pour délivrer des informations générales, par exemple sur l’expiration de ces certificats. Côté sécurité Le canal WebSocket utilise la couche SSL, les communications sont donc protégées à l’aide d’un certificat. Le canal sera toujours ouvert, ou fermé, à l’initiative de l’entreprise. Ce canal est dédié à l’échange d’informations, mais ne sera pas utilisé pour l’émission de règlements : virements, prélèvements, ou la réception d’extraits de compte. Sur EBICS 3.0, un BTF (Business Transaction Format = Type de flux) spécifique est dédié à ce canal : « OTH/DE/wssparm ». Nous pouvons voir au travers de cette initiative une évolution intéressante du protocole EBICS, qui s’adapte aux nouveaux besoins du marché. EBICS RTN n’est pas encore disponible, il est encore en phase pilote auprès de certains établissements bancaires, et suppose que les éditeurs de logiciels de communication EBICS fassent évoluer leurs solutions à destination des entreprises. EBICS RTN suppose en outre l’utilisation d’EBICS dans la version 3.0. Consultez-nous pour plus de détails

La cybersécurité : le nouvel allié de la conformité

Dans un monde de plus en plus numérique, la cybersécurité se taille une place de choix au sein des préoccupations des sociétés et de leur top management. Son impact sur la conformité réglementaire touche autant les criminels en col blanc que les personnes qui déploient des programmes de conformité. Les nouvelles technologies comme levier de renouvellement des fraudes Les fraudeurs ont souvent une longueur d’avance sur nous et ont une imagination sans limite pour ce qui est de concevoir de nouvelles malversations. Les criminels en col blanc ne sont pas en reste et sont bien ancrés dans leur époque : les connaissances actuelles en cybersécurité sont d’autant de moyens facilitant et renouvelant des schémas de fraude existants. Malheureusement, les contrôles internes mis en oeuvre ne prennent pas toujours en compte les évolutions apportées par les nouvelles technologies. Ces dernières facilitent l’élaboration de schémas de fraude en garantissant l’anonymat des malfaiteurs et en leur permettant d’atteindre un périmètre de victimes plus important. A cela s’ajoute un facteur humain : le niveau des connaissances en cybersécurité des victimes n’est pas toujours suffisant, ce qui en fait un maillon faible. Le rôle de la cybersécurité en criminalité financière Concernant la criminalité financière, les faiblesses en cybersécurité permettent aux criminels en col blanc de décupler leurs gains. Un schéma classique réside dans la cyberattaque d’infrastructure technologique liée à des activités régulées, comme les systèmes de paiement ou les places virtuelles de marché financier, perturbant ainsi leur bon fonctionnement. Pour ce qui concerne les enjeux spécifiques à la conformité, les faiblesses de cybersécurité peuvent engendrer des manipulations de cours par l’interception de messages de traders, l’envoi de messages falsifiés à la place de ces traders, des modifications ou des ralentissements de livraison d’ordres boursiers, etc. On peut aussi être en présence de diffusion de fausses informations à travers le piratage d’un site web ou sur les réseaux sociaux, comme le cas de Vinci en 2016 où des pirates informatiques avaient envoyé un faux communiqué de presse faisant dévisser le cours de l’action. La cybercriminalité peut donc avoir un effet perturbateur sur les marchés financiers. L’Autorité des marchés financiers (AMF) a d’ailleurs publié un rapport sur le sujet en 2019 et en a fait une de ses priorités de supervision pour 2020, ce qui démontre l’importance que les régulateurs y apportent. La CNIL aussi, en tant que régulateur, porte un intérêt particulier à la cybersécurité en s’attachant à la protection des données à caractère personnel. L’intégration de la cybersécurité pour améliorer les programmes de conformité Un programme robuste de conformité et de lutte contre la criminalité financière passera également par la mise en oeuvre de contrôles internes relatifs à la cybersécurité. En revanche, comme tout dispositif de contrôle interne, il devra s’aligner avec les risques spécifiques de l’organisation et à ses activités afin de focaliser les efforts de sécurisation sur les données critiques, sensibles ou confidentielles. La formation et la sensibilisation aux enjeux de cybersécurité permettra de relever les connaissances minimales des collaborateurs et de renforcer l’environnement de contrôle global. La cybersécurité, un allié pour toutes les industries et tous les enjeux récents de conformité réglementaire En conclusion, la cybersécurité des systèmes d’information qui soutiennent les activités ayant un lien direct ou indirect sur les diverses exigences de conformité doit faire partie intégrante d’un programme de conformité robuste, et ce dans tous les types d’industries. En effet, en plus de la protection des données à caractère personnel, un autre exemple concret de lien entre la conformité et la cybersécurité réside au sein du pilier de procédure de contrôles comptables de l’article 17 de la loi Sapin 2 qui requière que la comptabilité ne soit pas utilisée pour masquer des faits de corruption. La sécurité des systèmes comptables fait partie intégrante d’un programme de cybersécurité. Sinon, il ne sera pas possible d’avoir l’assurance raisonnable que la comptabilité n’est pas utilisée pour masquer des faits de corruption. Notre monde est de plus en plus numérique, il est donc impératif d’en tenir compte dans nos programmes de conformité. Source: Daf-Mag.fr

Le chèque en entreprise : chronique d’une mort annoncée?

Si le montant des fraudes au chèque a explosé et l’émission de chèques ne cesse de diminuer, les entreprises ne sont pas pour autant prêtes à signer son arrêt de mort. Force des habitudes, facilité de gestion de la trésorerie en flux tendue, … les freins sont nombreux selon une enquête de l’AFTE. 453 millions d’euros. C’est le montant estimé en 2018 de la fraude au chèque estime l’Observatoire de la Sécurité des Moyens de Paiement (OSMP). Soit une hausse de 52% par rapport à l’année précédente. Si le chèque représente seulement le 4e moyen de paiement scriptural, il semble faire de la résistance au sein des entreprises et peu nombreuses sont celles qui souhaitent y renoncer malgré l’ampleur des fraudes qui ne cessent d’augmenter. Explosion des fraudes au chèque Cependant, si le montant des fraudes a explosé, les méthodes des fraudeurs ont peu évoluées. Ainsi, toujours selon l’OSMP, les fraudes aux chèques résultent de vols (56% des montants fraudés) auprès du titulaire ou dans les circuits de distribution ou de la falsification (33% des montants fraudés) par grattage, surcharge ou gommage des mentions sur un chèque valide. Un renforcement de la sécurité de ce moyen de paiement est donc plus que nécessaire. Et l’Observatoire invite donc l’ensemble des professionnels à mettre en place des moyens d’identification des transactions à risque permettant par exemple d’alerter le titulaire de compte en cas de mouvements suspects ou de refuser une transaction au point de vente en cas de suspicion de fraude. 46% des entreprises ont pour projet de cesser l’émission de chèques Selon une enquête* de l’AFTE (association française des trésoriers d’entreprise) auprès de ses adhérents, 39% des entreprises ont constaté une fraude sur les chèques qu’elles ont émis. Or, seulement 46% d’entre elles ont pour projet de cesser l’émission de chèques. Les raisons invoquées? Aller dans le sens de la dématérialisation, une volonté de se débarrasser de la lourdeur administrative, un gain de temps mais aussi pour mieux maîtriser les dates de valeur et ainsi avoir un meilleur contrôle interne. Un dernier argument qui devrait parler aux DAF, garants de la trésorerie et du pilotage des KPI’s s’y rapportant. A contrario, les ardents défenseurs du chèque y voient une solution de gestion de la trésorerie en période tendue et une meilleure façon d’isoler et tracer les flux. Dans les faits, 53% des répondants à l’enquête utilisent le chèque manuel contre seulement 15% le chèque sécurisé. Notons toutefois que 14% des répondants n’utilisent pas de chèques comme moyen de paiement. A l’inverse, la majorité des entreprises (58%) reçoivent les 2 types de chèques (manuel et sécurisé). Mais les freins sont nombreux… Les entreprises répondantes utilisent le chèque pour des transactions BtoC ou pour leurs employés pour diverses raisons : dans le cas de remboursement en urgence, pour les notes de frais, pas d’IBAN fourni, ou encore pour un SI incompatible avec les virements. De même, elles ont recours au chèque pour des transactions BtoB ou auprès de l’administration car souvent l’IBAN ne correspond pas au SIREN, dans le cas de paiement d’amendes, de redevances, …. Du côté de la réception, 77% des répondants avouent n’avoir relevé aucune fraude sur les chèques reçus ( contre seulement 16% qui se plaignent de vol ou de pertes et 13% de falsification). Au final, seulement 32% des entreprises ont en projet de cesser d’accepter ou de restreindre l’acceptation des chèques dans leur entreprise. Mais ces dernières évoquent des changements de pratiques difficiles à réaliser, des clients qui ne sont pas prêts ou encore des cartes commerciales trop coûteuses. Alors pourquoi ne pas s’inspirer du Benelux qui a interdit l’usage du chèque en BtoB s’interrogent les entreprises. Car, « les logiciels finance ne nous aident pas, et il n’existe aucune solution inter-éditeurs pour développer des alternatives », déplore l’un des répondants à l’enquête. Source: Daf-Mag.fr

Des synergies entre la lutte contre la fraude, la compliance et la piste d’audit fiable ?

Aujourd’hui, la majorité des entreprises sont sensibilisées au risque de fraude. Ce risque augmente de manière notoire lors de la création ou de la mise à jour d’un tiers. Vigilantes, les sociétés procèdent à de nombreuses vérifications avant modification dans leurs bases. Mais ces processus de contrôle, indispensables pourtant, sont trop souvent manuels et chronophages. Dans le même temps, les normes comptables et les procédures de contrôle évoluent. Les entreprises ont donc l’obligation de mettre en place une piste d’audit fiable, qui concerne toutes les factures, envoyées ou reçues, dématérialisées et papier. Une priorité, prévenir la fraude L’objectif de l’administration est de vérifier le cycle de vie d’une transaction, du début à la fin de l’opération. Une vérification destinée à prévenir tout risque de fraude et à s’assurer que l’opération a été réalisée dans le respect des lois et règlements. Tous les formats informatiques sont admis au plan fiscal. La condition est de mettre en place des contrôles documentés et permanents qui constituent la « piste d’audit ». Il peut s’agir de contrôles intégrés sous forme de traitements informatiques, de contrôles papier ou manuels ou d’une combinaison des deux. Pour une facture fournisseur, par exemple : Vérification du numéro de TVA intracommunautaire du fournisseur, Contrôle de l’identité du fournisseur, Analyse des mentions obligatoires sur facture, de la présence d’un numéro de bon de commande. Dans le cadre la lutte contre la fraude, ce sont les mêmes informations que nous allons chercher à tester et à valider. Notamment concernant la fraude aux paiements. Une synergie factuelle sur le contrôle du tiers Même si les finalités sont différentes, il va nous falloir procéder à la vérification du tiers et se poser les questions de bon sens : Mon tiers existe-t-il, et existe-t-il toujours ? Le numéro de TVA qui figure sur la facture que je viens de réceptionner est-il valide ? Est-ce que cette facture a fait l’objet d’un bon de commande ? A-t-elle été validée par un hiérarchique accrédité qui a donné son bon à payer ? Des contrôles automatisés, efficients et sûrs Nous avons travaillé sur une solution qui permet de chercher les réponses à ces questions de façon complètement automatique et transparente. Mon tiers existe-t-il ? Nous allons collecter les informations légales le concernant dans des bases de données dédiées et à jour : INSEE, OPENCORPORATES et VIES pour vérifier son numéro de TVA intracommunautaire. Suis-je autorisé à travailler avec ce tiers ? Interrogation automatique des listes de sanctions internationales (OFAC, EU) pour vérifier la conformité du tiers. Cette facture est-elle due ? Historisation des contrôles effectués et conservation des pièces justificatives numérisées. Nous avons également pensé à produire tous les éléments de preuve et de suivi nécessaires : La conservation dématérialisée des preuves est un point clé, et un point de convergence avec les contrôles exigés par le vérificateur : ceux-ci doivent durer dans le temps. Un contrôle ponctuel non justifié n’a pas beaucoup de sens. Et ceci, que ce soit pour lutter contre la fraude ou faire la preuve de sa bonne foi vis-à-vis de l’Administration. A ces vérifications de conformité du tiers, un contrôle essentiel se rajoute logiquement en matière de lutte contre la fraude aux paiements : la vérification des informations de paiement. Nous vérifions de manière automatique les comptes bancaires du tiers. Ceci grâce au dispositif SEPAmail DIAMOND qui permet d’interroger une banque sur la validité d’un IBAN. Il est bien évident que ces différents contrôles, pour être efficaces, doivent s’effectuer à la création d’un tiers. Il doivent d’ailleurs s’exercer pendant toute la durée de vie du tiers, dans le cadre d’un contrôle continu de la base. Une procédure incontournable et compliant Mata I/O Bank Suite est une suite logicielle qui permet d’automatiser les vérifications nécessaires. Elle permet surtout de les rendre parfaitement obligatoires pour vous imposer de rester dans vos procédures. Il faut bien avoir à l’esprit que les fraudes réussies ont lieu à des périodes où vous êtes plus vulnérables. Cela se produit souvent au moment des congés, à l’arrivée d’un nouveau collaborateur ou d’un changement d’outils informatiques. MATA I/O Bank Suite assure une sécurisation globale de la chaîne de règlements par la digitalisation de vos procédures de contrôle, de manière à les rendre incontournables.  Elle devient de ce fait un instrument de lutte contre la fraude, de vérification de conformité et de justification des contrôles effectués. Consultez-nous pour plus de détail

Le cash pooling ou l’art de centraliser ses flux financiers

Rationaliser ses placements bancaires, optimiser ses frais, sécuriser son cash, … le cash pooling est une technique bancaire qui permet de centraliser la gestion des flux financiers des filiales d’un même groupe. Explications à l’occasion des journées AFTE. Optimiser la gestion de sa trésorerie et sécuriser ses placements. Telles sont les promesses du cash pooling (pour « mise en commun du cash »), technique bancaire qui consiste en une gestion centralisée des comptes des filiales d’un même groupe sans violation du monopole bancaire. Centraliser ses flux financiers Il existe plusieurs techniques de cash pooling : le cash pooling par transfert physique de fonds (dit automatique : bancaire ou via un logiciel de Treasury Management Systems (TMS)) et le cash pooling notionnel dit aussi fusion d’échelles d’intérêts qui permet à chaque entité de fonctionner avec ses propres lignes de crédit, sans mouvement de fonds issus d’un compte centralisateur. C’est le choix fait par le groupe Somfy, industriel français spécialisé dans la motorisation, l’automatisation des ouvertures de l’habitat et du bâtiment et des systèmes d’alarme, avec la mise en place d’un cash pooling en 2014.« Nous avons opté pour un cash pooling auprès de 2 banques sur 20 pays multi-devises (16 devises) afin de sécuriser le cash dispersé et de le centraliser en France », explique Jean-Baptiste Cadot, trésorier du groupe. Il s’agit d’un cash pooling par transfert physique de fonds avec une remontée quotidienne et automatique de ZBA (pour Zero Balancing Account)* excepté pour des pays comme la Chine, la Corée ou la zone Middle East. De même, le français Lisi, spécialisée dans la fabrication de fixation et de composants d’assemblage pour les industries automobile et aérospatiale, a opté pour un cash pooling de même nature dès 2008 dans l’idée de pouvoir « centraliser les placements et les financements ainsi les couvertures bancaires du groupe », souligne Vincent Millet, trésorier du groupe. Harmoniser les process avec les filiales « Avant les objectifs d’un cash pooling étaient de centraliser pour sécuriser et optimiser les placements. Mais aujourd’hui, les entreprises font du cash pooling pour limiter les financements bancaires notamment en local mais aussi, dans un souci d’organisation du groupe et d’harmonisation des process de l’ensemble des filiales », estime Solenn Le Lay, director – treasury advisor, Redbridge DTA, cabinet de conseil. Opter pour la centralisation de sa trésorerie c’est aussi rationaliser ses process et le choix de ses partenaires bancaires. S’il n’est pas rare que les entreprises aient leurs comptes répartis dans 30 à 40 banques, « il faut retenir 1 ou 2 banques pour le cash pooling et identifier l’intérêt de garder des banques en local comme en Italie et en Espagne où il est obligatoire d’avoir une banque sur place pour le paiement des taxes« , souligne Solenn Le Lay de Redbridge DTA. Garder des banques en local Mettre en place un projet de cash pooling nécessite d’avoir un chef de projet en interne, « un sponsor hiérarchique fort » pour le trésorier de Lisi ou encore d’embarquer les équipes IT. « Car il y a un travail fastidieux de documentation auprès des banques ». De son côté, le trésorier de Somfy attire l’attention sur la communication et l’accompagnement au changement de ce type de projet « qui a un impact sur la décentralisation avec des filiales qui avant étaient très autonomes ». Enfin, avant de se lancer dans un projet de cash pooling tête baissée, Solenn Le Lay conseille de « regarder les solutions de comptes virtuels ou des logiciels de Treasury Management Systems (TMS). Car bien souvent, les entreprises optent pour des solutions mixtes (TMS/cash pooling/comptes virtuels) ». *Le cash pooling ZBA, pour Zero Balancing Account, consiste en une remise à zéro quotidienne des soldes. Source: Daf-Mag

Arnaque bancaire : un clic sur un SMS et votre compte est vidé !

C’est via un unique lien envoyé sur votre mobile que l’arnaque débute. Si vous cliquez dessus, vous risquez rapidement de vous retrouver à sec sur votre compte en banque. Rien de réellement nouveau au royaume des arnaques, la technique existe depuis des années, mais le phénomène prend de l’ampleur et les sommes dérobées sont de plus en plus conséquentes. Ici, il n’est pas question d’une quelconque arnaque à la carte bancaire à l’aide de numéros volés. Non, c’est plutôt sur votre compte en banque que la fraude a lieu. Rien de mieux que de se servir directement à la source. Quand vous recevez un message sur votre mobile de la part d’un inconnu, lequel vous invite à cliquer dessus pour consulter une page Web, ne cliquez surtout pas dessus. Si jamais vous le faites, votre smartphone pourrait bien se retrouver infecté par un malware. L’expéditeur de ce lien peut parfois même se faire passer pour votre banque. Et dès que vous vous connecterez à votre compte en banque, le logiciel malveillant enregistrera toutes vos données de connexion et les transmettra au hacker à l’origine du message frauduleux. Il lui suffira alors de se connecter à votre compte en banque pour le vider intégralement. L’arnaque au SMS n’est pas nouvelle, mais son évolution inquiète de plus en plus. Selon l’AFUB (Association française des usagers des banques), il s’agit du 2e sujet de plainte que l’association enregistre actuellement. Entre mars et octobre 2019, les autorités ont recensé 61 000 cas d’infection, soit une hausse de 40% par rapport à mars dernier. Si vous êtes victime d’une telle fraude, comment récupérer le montant dérobé ? Si ce type d’arnaque revient sur la table, c’est aussi parce que le montant moyen de la fraude est de plus en plus élevé : aujourd’hui, il est en moyenne de 12 000 euros. Bien que les consommateurs soient les principaux concernés par cette arnaque, il semble qu’elle cible en particulier certaines banques et change régulièrement de victime, tous les 6 mois ou tous les ans. Que faire en cas de fraude ? Serge Maitre, le président de l’AFUB, explique qu’il convient de faire immédiatement opposition à tous les virements bancaires. Il est nécessaire ensuite d’adresser une lettre recommandée à son agence pour expliquer l’arnaque. 90 millions ont ainsi été remboursés par les banques en 2018, comme l’explique le rapport annuel de l’Observatoire de l’inclusion bancaire. N’hésitez pas non plus à contacter l’AFUB pour vous aider dans vos démarches. Cependant, des centaines de millions d’euros n’auraient pas encore été restitués aux victimes. Si vous vous trouvez dans ce cas, unique recours : porter l’affaire devant les tribunaux. La procédure est longue, mais elle peut aboutir en votre faveur, comme le rappelle Serge Maitre. Source: Phonandroid