Actualités

Les clés pour protéger l’ERP et les bases de données de la fraude

La cybersécurité est devenue un défi pour toutes les plateformes, mais elle passe en premier par l’association de vos collaborateurs et de vos outils, les premiers doivent être sensibilisés et intégrés au processus de protection : comment protéger l’ERP de la fraude ? Les clés de prévention du risque, un bon Système d’Information ? Quasiment toutes les entreprises du tissu économique sont victimes d’attaques, 20% d’entre elles se soldent par des fraudes effectives, identifiées et chiffrables. L’entreprise perd alors de l’argent, des données et, souvent les deux en même temps. Le Système d’Information percé, ce que votre entreprise perd d’inestimable finalement, c’est le fruit de son travail et les informations qui la démarquent de ses concurrents. Pourtant ce sont bien vos SI qui devraient être garants de cette richesse… mais ils ne sont pas les seuls responsables. Les clés résident en 3 grands axes de réflexion pour prévenir les risques de fraudes et de cyberattaques : 1- La mise en place des dispositifs habituels de mise à jour applicatives, les firewalls et les antivirus 2- La mise en place de sauvegardes applicatives. Un complément insuffisant car c’est la multiplicité des solutions qui assure une efficacité maximum. 3- La combinaison de solutions techniques, humaines et, la mise en place de processus efficaces, en rapport avec votre métier. Ce sont ces 3 clés mises en place de manière conjointes et synchronisées qui feront le succès de votre stratégie de protection. Effectivement, quel que soit le ou les systèmes de gestion d’entreprise pour lesquels vous avez opté, ERP, logiciel spécifique ou solution de gestion modulaire, le SI est le socle qui conditionne les scénarios possibles et envisageables. Il doit prendre en compte les problématiques de gestion, les fonctionnalités métier et la sécurité afin d’en améliorer les performances, ainsi il permet de donner la souplesse attendue aux utilisateurs, tout en prévenant théoriquement les risques. Mais seul il ne peut pas tout faire. Les équipes de Mata construisent un espace sécurisé entre vos solutions de gestion et vos banques. Elles déploient une solution modulable qui sécurise et automatise le traitement de vos flux. Base de données unique, exclusive et cryptée, signature électronique…, leur mise en place renforce votre sécurité et autorise l’organisation d’un workflow identifié, automatisé à 100% avec des règles strictes. Cela couvre les failles éventuelles de votre solution de gestion et permet d’unifier le traitement des flux notamment vers l’étranger. L’humain viendrait ensuite en appui à ces solutions techniques ? Un second workflow ?   Selon le niveau de maturité de votre entreprise et la stabilité du workflow principal déjà en place ou en cours de mise en place, il faut envisager de compléter votre stratégie. La dématérialisation des flux et leur traitement automatisé, crypté, contrôlé, permet d’accélérer leur traitement et de limiter les erreurs. Quant aux fraudes elles peuvent être prises en charge dans les processus de contrôle inclus dans les applicatifs. Mais ces processus de contrôle sont souvent partiels et il peut s’avérer nécessaire de combiner plusieurs solutions de prévention des risques. Elles vont varier selon le volume des flux à traiter et les processus métiers, mais sont à envisager dans tous les modèles opérationnels d’entreprises. L’avantage d’un second workflow de validation, c’est qu’il vient se positionner derrière toutes les applications qui génèrent des règlements, et non pas que dans l’ERP. Il permet également de prévoir des valideurs autres que ceux autorisés dans l’ERP, car il est bien connu que plusieurs cerveaux valent mieux qu’un. Et puis, il faut se souvenir que l’ERP le mieux sécurisé du monde finit par produire un fichier de paiement en clair qui sera déposé sur un répertoire du réseau de l’entreprise, et ceci constitue une grosse faille de sécurité ! Parce que la lutte contre la fraude ne se cantonne pas à une application, elle doit être multi-applications et multi-métiers ! Pour optimiser vos workflows de prévention des risques, notre spécialiste est disponible ici

Comment fonctionne le protocole EBICS TS ?

EBICS facilite et sécurise le transfert des flux financiers. Pour lutter contre les fraudes, EBICS a évolué vers EBICS TS, le mode de communication sécurisé entre la banque et l’entreprise le plus efficace en France.  Sylvain KAM, expert en sécurisation des flux financiers chez MATA, fait le point sur le protocole EBICS TS. Qu’est-ce que l’EBICS (Electronic Banking Internet Communication Standard) et pourquoi existe-t-il l’EBICS TS (Transport et Signature) ? Un peu d’histoire L’Electronic Banking Internet Communication Standard, est né de l’équivalent allemand du Comité français d’organisation et de normalisation bancaires, le ZKA (Zentraler Kreditausschuss). La naissance du protocole EBICS, qui permet d’échanger des fichiers avec la banque de manière sécurisée, est venue bousculer les habitudes françaises puisqu’il a remplacé ETEBAC qui datait des années 80, qui n’était pas compatible avec les nouveaux formats utilisés par les moyens de paiement (SEPA) et s’appuyait sur des technologies obsolètes (modems, réseau RNIS, …). L’EBICS EBICS est un protocole d’échanges Banque/Entreprises fonctionnant sous IP, et utilisant le réseau internet pour véhiculer les fichiers. Il permet d’échanger tous types de fichiers sans limite de volume. Il supporte les moyens de paiement SEPA et offre la possibilité d’automatiser l’envoi des règlements ou la récupération des relevés. Les échanges se font au travers de messages XML. EBICS est un protocole multi-bancaire, sécurisé par cryptographie AES ou RSA, qui place toujours l’entreprise comme émettrice de la communication. L’évolution d’EBICS T, EBICS TS, est apparu rapidement pour remplacer l’ancien protocole ETEBAC 5 en offrant la possibilité d’apposer une signature électronique à ses fichiers de règlements. T = Signature de transport uniquement. Une signature de confirmation disjointe, par Fax ou Web Banking, est nécessaire pour confirmer les ordres. TS = La signature électronique des fondés de pouvoir est jointe aux règlements. Dans le souci de renforcer la sécurité des échanges par EBICS, les banques ont progressivement abandonné la possibilité de la confirmation par Fax à partir du 1er janvier 2017. Le choix d’EBICS T/S s’est alors imposé dans les échanges télématiques. Le token permet de sécuriser la signature En EBICS TS la signature est donc intégrée, elle se fait à partir d’un support physique externe qui contient un certificat numérique : le Token de signature. Il existe plusieurs autorités de certification à même de délivrer des tokens de signature : Swift 3SKey, Certeurope, Keyneticks, ClicNTrust… L’entreprise utilisatrice acquiert ces tokens, auprès d’une de ses banques. Les tokens de signature sont nominatifs, déclarés contractuellement à la banque et de ce fait, les règlements signés électroniquement sont non répudiables et exécutables de suite. Les tokens de signature sont utilisables pour l’ensemble des contrats EBICS T/S de l’entreprise avec ses différents partenaires bancaires. EBICS TS est infaillible ? EBICS est très fiable. Il est véhiculé par le protocole HTTPS, qui assure le chiffrement de la liaison. Mais il s’appuie également sur des certificats permettant l’authentification réciproque des parties, ainsi que le chiffrement des messages XML. Encore faut-il être certain du contenu des fichiers qui sont envoyés par EBICS. Il revient à l’entreprise de mettre en place tous les moyens de contrôle nécessaires pour s’assurer de la fiabilité des comptes payés, avec une offre comme Mata I/O Sécurité. Les différents certificats utilisés par EBICS Le protocole EBICS utilise différents certificats électroniques pour sécuriser les échanges. Côté banque : Un certificat de chiffrement : il contient la clé de chiffrements des fichiers Un certificat d’authentification : il permet de signer les messages XML et de s’assurer de la non altération du contenu du fichier lors de l’échange. Côté entreprise : Un certificat de chiffrement Un certificat d’authentification Un certificat de signature de transport : Il permet l’authentification de l’émetteur Dans le cadre d’EBICS T/S, des certificats de signature portés par les tokens : ils permettent de signer électroniquement les fichiers envoyés en véhiculant d’identité des signataires Comment cela fonctionne concrètement ? Exemple d’un flux de réception d’un extrait de compte La société initie une communication EBICS et demande à la banque l’extrait de compte, La banque répond par un message XML, A réception, le message est décrypté par le logiciel de communication bancaire de l’entreprise et la banque émettrice est identifiée, Le calcul de l’empreinte du fichier permet de vérifier la fiabilité du document reçu, Le document est mis à disposition. Exemple d’un flux de paiement On crée le fichier de règlement – ici le point d’attention c’est la vulnérabilité du fichier ainsi que la fiabilité des comptes payés. Il est ensuite intégré dans le logiciel de communication bancaire, Selon le cas, un Email a été envoyé précédemment aux fondés de pouvoir pour les avertir de la nécessité de signer le fichier, En EBICS TS, il est soumis à signature électronique par Token. La signature peut être simple, ou conjointe, suivant des règles définies et des plafonds de signature fixés contractuellement; Les fichiers sont transmis à la banque, La banque reçoit le message. Au moment du traitement elle s’assure de l’identification de l’émetteur ainsi que l’intégrité du fichier reçu.   Quels sont les avantages indéniables de cette solution ? Le protocole EBICS dispose de nombreuses qualités : Protocole simple à mettre en œuvre, sûr, les échanges se font sur internet, sans ligne spécialisée. Les échanges sont gratuits, EBICS nécessite un abonnent sans coût additionnel à la communication. Le coût global d’EBICS est inférieur au protocole SWIFT. Il permet d’automatiser les échanges bancaires. La relation bancaire est 100% numérique. La maitrise du déploiement du protocole EBICS par MATA est complète, une expertise qui permet de garantir le niveau de sécurité attendu, mais aussi de sécuriser vos données en amont, c’est-à-dire avant la signature électronique & les transmissions des fichiers. MATA IO SECURE-E-LINK permet la vérification des IBAN notamment, évitant ainsi tout risque d’altération des fichiers AVANT l’entrée dans le logiciel de communication. Une solution complète dédiée aux entreprises !

Les PME et la fraude financière, diagnostic et solutions

Prévenir les fraudes aux moyens de paiement dans une PME c’est possible et abordable. Après avoir visé dans un premier temps les grands groupes, la fraude financière touche aujourd’hui de manière importante les PME. Les attitudes à adopter face à cette menace sont simples, adaptées aux moyens techniques et humains de chaque entreprise. Sylvain KAM, expert en sécurisation des flux financiers chez MATA, fait le point sur les problématiques spécifiques aux PME en France et les solutions simples à mettre en place. Quels types de fraude financière touchent le plus les PME ?   Quand on prend l’exemple des PME de 50 à 250 salariées, celles-ci ont des services financiers plus légers que les grands groupes, et ne peuvent pas mettre en œuvre des procédures de contrôle aussi poussées. Elles sont particulièrement exposées aux usurpations d’identités de toute nature et aux intrusions informatiques. Sylvain Kam précise « qu’on entend fréquemment parler de la fraude au Président, pourtant elle est en net repli grâce aux campagnes de sensibilisation réalisées sur ce sujet. Mais, en contrepartie, d’autres usurpations d’identités ont pris le relais : la fraude au faux fournisseur représente à elle seule 54% des fraudes en 2018 ! Elle consiste à faire changer frauduleusement les coordonnées bancaires d’un fournisseur par des scénarii très affutés. » Dans le même temps ce qui est en train d’exploser chez les PME, c’est aussi la cybercriminalité. Notre expert en souligne la facilité de mise en œuvre et l’impact de masse qu’elles ont sur leurs cibles. Selon Sylvain Kam, « on est passé de 30% à 50% des fraudes informatiques qui parviennent à leur objectif ». Ces fraudes sont de type « ransomware » pour 20% d’entre elles. La mécanique est simple, il faut pousser le destinataire à ouvrir une pièce jointe infectée qui bloque le poste, se diffuse sur le réseau jusqu’à figer le fonctionnement de l’entreprise et ce, jusqu’au paiement d’une rançon. D’autres techniques sont plus subtiles. Le fameux Dridex Malware est un logiciel malin, un cheval de Troie. Il s’installe directement via le clic sur une pièce jointe et surveille de manière invisible les utilisateurs pendant des mois… Il espionne le fonctionnement de la chaine de règlement, les saisies de mots de passe, pour ensuite prélever de l’argent sur les comptes en toute tranquillité. Le manque de moyens informatiques permet cette explosion de la fraude. En France, en 5 ans 7 entreprises sur 10 ont été victimes de plusieurs tentatives et 1 sur 3 n’ont pas pu les éviter ! Quels sont les risques spécifiques aux PME ?   De fait, la PME ne dispose pas des moyens d’une entreprise cotée au CAC 40 ! Elle est souvent structurée autour de son core-business et peut faire passer en second plan certains processus de contrôle interne, par manque de personnel dans les services comptables. Sylvain Kam précise : « on observe que les PME ne peuvent pas attribuer de ressources supplémentaires afin de séparer les tâches – les services comptables sont compacts et les contrôles informatiques plus légers » – Il n’est pas rare de constater qu’une seule personne peut tout faire, sans aucun contrôle. « Des situations qui ouvrent un boulevard à l’usurpation d’identité. » Les modifications des coordonnées bancaires ne peuvent être vérifiées, elles sont souvent faites dans l’urgence pour régler un fournisseur qui menace – par exemple – de ne pas livrer avant réception du règlement, il faut agir vite et c’est ce que recherchent les manipulateurs : mettre sous pression la personne de contact pour lui faire commettre des erreurs. En observateur privilégié depuis 20 ans, Sylvain Kam peut affirmer que « le levier de la protection optimale contre la fraude se situe en premier sur la partie IT, en comprimant au maximum le temps humain. Il existe des solutions très efficaces, qui offrent une automatisation optimale et permettent d’atteindre un niveau de sécurité suffisant. » Il ajoute « en complément incontournable, il faut sensibiliser les acteurs de la chaine de règlement à tous les risques liés à la fraude, aux pressions et menaces dont ils peuvent être victimes et enfin, mettre en place des procédures de vérification interne adaptées à l’effectif de la société». Quels types de solutions simples doivent-elles déployer pour parer aux fraudeurs ?   L’appui incontournable de l’IT ne dispense pas de responsabiliser certains acteurs clés. Toutes les situations du quotidien sont à envisager avec sérieux : saviez-vous que le pire arrive souvent pendant les périodes de congés ou de ponts ? En parallèle de l’approche informatique, il faut d’une part travailler sur la ressource humaine, identifier les acteurs et remplaçants, et d’autre part, trouver des référents dans les équipes de direction et surtout prendre conscience du problème de la fraude afin de mettre en place des procédures de contrôle simples et efficaces. Sans être complétement exhaustif puisque chaque situation est différente, le travail de protection débute souvent de la même façon : il faut changer les mauvaises habitudes ! Pour exemple, beaucoup de PME travaillent avec des sites bancaires où tout est communiqué à la main dans des dossiers non sécurisés qui peuvent être modifiés à la source. Des tâches répétitives et sources d’erreurs. Pourtant, il existe des solutions logicielles pour gagner en sécurisation qui permettent aussi de gagner du temps. Finies les créations de fichiers de règlement, la récupération de ces fichiers par copier/coller et les envois en banque par une énième copie… il est possible et peu couteux d’équiper sa PME d’une solution dédiée qui prend en charge tout le process – de l’acheminement jusqu’à la banque, avec validation avant envoi, canal unique pour toutes les banques utiles et contrôle des coordonnées bancaires. Ces solutions proposent même de la cryptographie qui permet de contrer les malwares, de contrôler les contenus des fichiers des coordonnées bancaires avant paiement, et de les acheminer via un canal sécurisé EBICS TS. Cela permet de gagner du temps en même temps qu’on accroît la sécurité ! Chez MATA, quel est le produit référent et quels sont ses […]

SEPA mail Diamond

Principe général Le service SEPA mail Diamond permet à une entreprise, ou à un organisme, de faire vérifier une ou plusieurs coordonnées bancaires par l’une de ses banques, adhérente au dispositif, auprès de toute autre banque adhérente. Ce service participe donc à la lutte contre les tentatives de fraude aux virements. Il permet en outre de limiter les impayés de prélèvements liés à un compte bancaire clôturé ou mal saisi dans un système. A aujourd’hui, les banques adhérentes au service sont : Le groupe BECM/CIC, la Société Générale, La Banque Populaire, Le Crédit Agricole, BNP Paribas, La Caisse d’Epargne ainsi que la Banque Postale. Détail du fonctionnement du service Pour émettre une demande de vérification d’un compte bancaire avec SEPAmail Diamond, il faut fournir un certain nombre de renseignements obligatoires, auxquels vous pourrez adjoindre d’autres critères facultatifs. La banque vous répondra sur la concordance de chaque élément avec les données qu’elle possède, et donnera ensuite un résultat général, vrai ou faux, pour validation de la coordonnée bancaire. Note : Il conviendra de se méfier des renseignements facultatifs, car ils peuvent entraîner une validation générale incorrecte de la banque, si celle-ci ne possède pas ce niveau de détail sur le titulaire du compte. Les critères de validation à envoyer à la banque changent selon qu’il s’agisse de valider les coordonnées bancaires d’une personne physique, ou celle d’une personne morale. Dans le cas d’une personne morale, les renseignements obligatoires sont : le numéro de compte IBAN et le SIREN (ou SIRET), auxquels on peut joindre facultativement le numéro de TVA. Pour une personne physique, les renseignements obligatoires sont : le numéro de compte IBAN et les nom et prénom de la personne, auxquels on peut joindre facultativement la date et/ou ville de naissance de la personne. Il faudra en outre, et dans tous les cas, fournir une preuve de l’existence d’un lien commercial direct entre la société émettant la demande de validation, et le détenteur de la coordonnée bancaire interrogée, par exemple une RUM, un numéro client ou un numéro de facture. Note : Dans le cas de l’évaluation par la banque des données d’une personne physique, le retour concernant les nom et prénom fait l’objet d’une notation sur 300. Tous les autres critères étant sanctionnés d’un vrai ou faux. Mise en œuvre Aujourd’hui, selon la banque interrogée, on peut retrouver jusqu’à trois offres différentes d’accès au service SEPAmail Diamond : La saisie manuelle des données d’une coordonnée bancaire à vérifier sur un portail web dédié de la banque. L’interrogation d’une ou plusieurs coordonnées bancaires via un Web Service fournit par la banque. L’utilisation du canal de télétransmission habituel, EBICS, pour faire transiter les demandes de validation en masse et recevoir les réponses au travers de messages XML dédiés. La facturation est le plus souvent unitaire, basée sur le nombre de coordonnées bancaires vérifiées, et peut varier selon le volume. Notre offre logicielle, Mata I/O Bank Suite, est la réponse pour les entreprises qui ont des volumes à traiter, car elle permet d’automatiser tout le processus : Identification des comptes bancaires à vérifier dans le SI de l’entreprise, Emission d’une requête silencieuse sur le canal EBICS existant, Réception et interprétation automatiques des résultats.

SEPA mail Aigue-Marine : Le service de mobilité bancaire

Principe général Entrée en application le 6 février 2017, grâce à la loi Macron 2, le service de mobilité bancaire accompagne le particulier lors d’un changement de domiciliation bancaire de ses comptes courants. La banque d’arrivée (la nouvelle banque) est tenue de fournir gratuitement au particulier un service dans lequel elle se charge, à sa place, de prévenir les émetteurs d’opérations récurrentes, virements ou prélèvements, du changement de compte bancaire. A cette fin, le particulier signe son accord auprès de sa nouvelle banque sous la forme d’un mandat de mobilité bancaire. Détail du fonctionnement du service Une fois le mandat de mobilité signé, la nouvelle banque va contacter l’ancienne banque, au travers d’une messagerie interbancaire dédiée baptisée SEPAmail. Par ce canal, elle va obtenir la liste des prélèvements valides, ainsi que des virements récurrents, survenus sur les comptes courants durant les 13 derniers mois. La banque de départ (l’ancienne banque) a 5 jours ouvrés pour fournir ces informations à la banque d’arrivée. Une fois les informations reçues, la banque d’arrivée va informer les établissements bancaires à l’origine de ces opérations, du changement de compte bancaire, dans un délai de 2 jours ouvrés. Ces banques vont-elles-même prévenir les organismes, ou entreprises, détenteurs des comptes émetteurs de ces opérations dans un délai de 5 jours ouvrés. Les organismes ou entreprises concernées auront alors 10 jours pour mettre à jour leurs systèmes et prévenir le particulier de la bonne prise en compte de ses nouvelles coordonnées bancaires. Concernant les entreprises émettrices d’opérations Presque toutes les entreprises sont concernées par la mobilité bancaire, ne serait-ce que dans le cadre des virements de salaire. Afin d’automatiser la prise en charge des changements de coordonnées bancaires des particuliers avec lesquels elle travaille, l’entreprise peut s’abonner aux relevés de mobilité bancaire directement par son canal de communication habituel : EBICS, par exemple. La mise en œuvre d’une solution logicielle dédiée, comme Mata I/O Bank Suite, va permettre d’interpréter les relevés et d’exporter les informations dans les autres systèmes de l’entreprise.

L’initialisation des certificats EBICS

Le protocole EBICS pour « Electronic Banking Internet Communication Standard » est un canal d’échange d’informations entre les banques et les entreprises, permettant par exemple de véhiculer les fichiers de règlement ou de réceptionner les relevés de compte. Sur EBICS, les données sont échangées dans des messages XML, véhiculés par une connexion TCP/IP sur Https.   Afin d’assurer la sécurité des données échangées, le protocole EBICS utilise des certificats pour l’authentification des parties et la cryptographie des messages et la signature électronique. Les certificats utilisés sont : un certificat de signature électronique (A005) (Porté par le Token de signature dans le cas d’un signataire) un certificat d’authentification (X002) un certificat de cryptage (E002) Le certificat de signature porté par un Token a une validité de 3 ans, les autres certificats ont une durée de validité de 5 ans. Au terme de cette durée, il faudra procéder à un renouvellement des certificats.   La mise en place du canal EBICS avec une banque suppose l’initialisation de ces certificats. La phase d’initialisation consiste à échanger ses certificats avec la banque. L’envoi de ses certificats à sa banque par EBICS au travers de requêtes dédiées : Le certificat de signature est envoyé par une requête INI, les certificats d’authentification et de chiffrement par une requête HIA L’envoi à la banque des lettres d’initialisation des certificats, dument signées. Ces lettres, contenant une empreinte des certificats, vont confirmer à la banque les certificats reçus en phase n°1. La réception des certificats de la banque par EBICS au travers d’une requête HPB. Pour le renouvellement des certificats arrivés à échéance, il existe des requêtes dédiées : PUB, HCA et HCS, qui permettent de faciliter le processus.

PROTOCOLE TLS

L’agence nationale pour la sécurité des systèmes d’information, l’ANSSI, publie un message d’alerte sur le protocole TLS et fait ses recommandations de sécurité : Le protocole TLS est une des solutions les plus populaires en matière de protection des flux réseau. Dans ce modèle client–serveur, les données sont encapsulées de manière à assurer la confidentialité et l’intégrité des échanges. Le serveur est obligatoirement authentifié et des fonctions additionnelles permettent l’authentification du client. Depuis 1995, le protocole TLS a été adopté par de nombreux acteurs de l’Internet pour sécuriser le trafic lié aux sites web et à la messagerie électronique. Pour ces raisons, le protocole et ses implémentations font l’objet d’un travail de recherche important qui a permis de révéler des vulnérabilités. Ces failles ont motivé le développement de corrections et de contre-mesures pour préserver l’intégrité des échanges. L’utilisation de logiciels mis à jour et l’ajustement des paramètres en fonction du contexte autorisent des déploiements TLS sûrs. Les explications apportées par le présent guide sont complétées par plusieurs recommandations visant à atteindre un niveau de sécurité conforme à l’état de l’art, notamment au sujet des suites cryptographiques à retenir. Source ANSSI : Recommandations de sécurité relatives à TLS  

RAPPORT TRACFIN :

L’unité de lutte contre la fraude, TRACFIN, RÉVÈLE dans son rapport les dernières tendances aux FRAUDES financières.  Parmi les dernières innovations dont vous pourriez vous-même être victime : la fraude au Prélèvements bancaires (SEPA) De nouvelles formes d’arnaques ont pointé leur nez, en 2016, selon le rapport publié mardi 12 décembre 17 par Tracfin , la cellule anti-blanchiment d’argent de Bercy. Certificats d’économie d’énergie, prélèvements bancaires, investissements dans les diamants… Prélèvements bancaires : les fraudeurs exploitent les failles de la réglementation européenne Depuis 2014, la norme SEPA a permis d’instaurer un standard, en ce qui concerne les paiements en euros. Mais celle-ci contient une faiblesse dans laquelle les escrocs n’ont pas manqué d’en profiter. Dans le cas de la mise en place d’un prélèvement, la banque ne vérifie plus si le client a donné son autorisation : “La banque du débiteur qui réceptionne la demande de prélèvement, présume de l’existence d’un mandat et débite son client”, explique Tracfin. De ce fait, les escrocs en profitent pour émettre une “vague de prélèvements transfrontaliers, pour ensuite virer les fonds vers d’autres comptes tiers avant de disparaître”. Autre méthode de détournement : certains fraudeurs tirent parti du remboursement automatique, qui peut s’effectuer jusqu’à 8 semaines après l’émission du débit, en cas de contestation auprès de la banque. Par exemple, Ils paient des prestations de services via des prélèvements SEPA, et demandent un remboursement de ses services réellement consommés… Source : Article Capital.fr « Escroqueries Financières : Les nouvelles failles exploitées par les fraudeurs »  Comme rapporté dans l’article ci-dessus, le rapport TRACFIN dénonce les nouvelles tendances à l’escroquerie financière et notamment la fraude au prélèvement SEPA. Aujourd’hui pour vous prélever, il suffit de connaître votre compte bancaire, car la banque n’a aucun moyen de faire un contrôle sur une autorisation de prélèvement qu’elle ne détient pas. Elle va pouvoir opérer un contrôle sur la forme, mais pas sur le fond. Pour vous protéger de la fraude au prélèvement, MATA I/O CONTRÔLE avec : Le rapprochement direct de la liste blanche des prélèvements autorisés avec les prélèvements annoncés par vos banques. Une alerte automatique en cas de prélèvement non autorisé. La garantie de la bonne exécution de vos ordres bancaires, par la lecture des comptes rendus bancaires PSR et ARA. MATA I/O Contrôle fonctionne de manière complètement automatique, sous forme de service. Il transmet les alertes aux responsables lors de la détection d’un prélèvement ne figurant pas sur la liste blanche. Pour en savoir plus sur notre solution , assistez à nos prochaines web démonstrations : 25 janvier 2018 à 15h00 et 22 février 2018 à 15h00.    

Sécurisation des flux financiers

Entretien avec Marie-Thérèse BROGLY et Pascal HERRMANN dans le magazine de l’AFTE : La lettre du Trésorier – édition Nov. 2017 La société MATA a été créée en 1999 pour devenir intégrateur de solutions de trésorerie et de communication bancaire. Il y a 4 ans de cela, l’entreprise est devenue éditeur spécialisé dans la sécurisation des flux. Avec 14 collaborateurs agiles, 300 clients qui ont des idées, quatre partenaires experts, MATA est devenu un acteur incontournable, avec une vraie vision sur le marché avec la solution Mata I/O Bank Suite.    Nous travaillons pour nos clients sur des indicateurs de sécurité supplémentaires : liste blanche (ou noire) de pays, avertissement sur montant, alerte sur nombre de règlements pour un même tiers sur une période… Marie-Thérèse BROGLY