Catégorie : fraude

Des synergies entre la lutte contre la fraude, la compliance et la piste d’audit fiable ?

Aujourd’hui, la majorité des entreprises sont sensibilisées au risque de fraude. Ce risque augmente de manière notoire lors de la création ou de la mise à jour d’un tiers. Vigilantes, les sociétés procèdent à de nombreuses vérifications avant modification dans leurs bases. Mais ces processus de contrôle, indispensables pourtant, sont trop souvent manuels et chronophages. Dans le même temps, les normes comptables et les procédures de contrôle évoluent. Les entreprises ont donc l’obligation de mettre en place une piste d’audit fiable, qui concerne toutes les factures, envoyées ou reçues, dématérialisées et papier. Une priorité, prévenir la fraude L’objectif de l’administration est de vérifier le cycle de vie d’une transaction, du début à la fin de l’opération. Une vérification destinée à prévenir tout risque de fraude et à s’assurer que l’opération a été réalisée dans le respect des lois et règlements. Tous les formats informatiques sont admis au plan fiscal. La condition est de mettre en place des contrôles documentés et permanents qui constituent la « piste d’audit ». Il peut s’agir de contrôles intégrés sous forme de traitements informatiques, de contrôles papier ou manuels ou d’une combinaison des deux. Pour une facture fournisseur, par exemple : Vérification du numéro de TVA intracommunautaire du fournisseur, Contrôle de l’identité du fournisseur, Analyse des mentions obligatoires sur facture, de la présence d’un numéro de bon de commande. Dans le cadre la lutte contre la fraude, ce sont les mêmes informations que nous allons chercher à tester et à valider. Notamment concernant la fraude aux paiements. Une synergie factuelle sur le contrôle du tiers Même si les finalités sont différentes, il va nous falloir procéder à la vérification du tiers et se poser les questions de bon sens : Mon tiers existe-t-il, et existe-t-il toujours ? Le numéro de TVA qui figure sur la facture que je viens de réceptionner est-il valide ? Est-ce que cette facture a fait l’objet d’un bon de commande ? A-t-elle été validée par un hiérarchique accrédité qui a donné son bon à payer ? Des contrôles automatisés, efficients et sûrs Nous avons travaillé sur une solution qui permet de chercher les réponses à ces questions de façon complètement automatique et transparente. Mon tiers existe-t-il ? Nous allons collecter les informations légales le concernant dans des bases de données dédiées et à jour : INSEE, OPENCORPORATES et VIES pour vérifier son numéro de TVA intracommunautaire. Suis-je autorisé à travailler avec ce tiers ? Interrogation automatique des listes de sanctions internationales (OFAC, EU) pour vérifier la conformité du tiers. Cette facture est-elle due ? Historisation des contrôles effectués et conservation des pièces justificatives numérisées. Nous avons également pensé à produire tous les éléments de preuve et de suivi nécessaires : La conservation dématérialisée des preuves est un point clé, et un point de convergence avec les contrôles exigés par le vérificateur : ceux-ci doivent durer dans le temps. Un contrôle ponctuel non justifié n’a pas beaucoup de sens. Et ceci, que ce soit pour lutter contre la fraude ou faire la preuve de sa bonne foi vis-à-vis de l’Administration. A ces vérifications de conformité du tiers, un contrôle essentiel se rajoute logiquement en matière de lutte contre la fraude aux paiements : la vérification des informations de paiement. Nous vérifions de manière automatique les comptes bancaires du tiers. Ceci grâce au dispositif SEPAmail DIAMOND qui permet d’interroger une banque sur la validité d’un IBAN. Il est bien évident que ces différents contrôles, pour être efficaces, doivent s’effectuer à la création d’un tiers. Il doivent d’ailleurs s’exercer pendant toute la durée de vie du tiers, dans le cadre d’un contrôle continu de la base. Une procédure incontournable et compliant Mata I/O Bank Suite est une suite logicielle qui permet d’automatiser les vérifications nécessaires. Elle permet surtout de les rendre parfaitement obligatoires pour vous imposer de rester dans vos procédures. Il faut bien avoir à l’esprit que les fraudes réussies ont lieu à des périodes où vous êtes plus vulnérables. Cela se produit souvent au moment des congés, à l’arrivée d’un nouveau collaborateur ou d’un changement d’outils informatiques. MATA I/O Bank Suite assure une sécurisation globale de la chaîne de règlements par la digitalisation de vos procédures de contrôle, de manière à les rendre incontournables.  Elle devient de ce fait un instrument de lutte contre la fraude, de vérification de conformité et de justification des contrôles effectués. Consultez-nous pour plus de détail

Arnaque bancaire : un clic sur un SMS et votre compte est vidé !

génération automatique d'écritures comptables

C’est via un unique lien envoyé sur votre mobile que l’arnaque débute. Si vous cliquez dessus, vous risquez rapidement de vous retrouver à sec sur votre compte en banque. Rien de réellement nouveau au royaume des arnaques, la technique existe depuis des années, mais le phénomène prend de l’ampleur et les sommes dérobées sont de plus en plus conséquentes. Ici, il n’est pas question d’une quelconque arnaque à la carte bancaire à l’aide de numéros volés. Non, c’est plutôt sur votre compte en banque que la fraude a lieu. Rien de mieux que de se servir directement à la source. Quand vous recevez un message sur votre mobile de la part d’un inconnu, lequel vous invite à cliquer dessus pour consulter une page Web, ne cliquez surtout pas dessus. Si jamais vous le faites, votre smartphone pourrait bien se retrouver infecté par un malware. L’expéditeur de ce lien peut parfois même se faire passer pour votre banque. Et dès que vous vous connecterez à votre compte en banque, le logiciel malveillant enregistrera toutes vos données de connexion et les transmettra au hacker à l’origine du message frauduleux. Il lui suffira alors de se connecter à votre compte en banque pour le vider intégralement. L’arnaque au SMS n’est pas nouvelle, mais son évolution inquiète de plus en plus. Selon l’AFUB (Association française des usagers des banques), il s’agit du 2e sujet de plainte que l’association enregistre actuellement. Entre mars et octobre 2019, les autorités ont recensé 61 000 cas d’infection, soit une hausse de 40% par rapport à mars dernier. Si vous êtes victime d’une telle fraude, comment récupérer le montant dérobé ? Si ce type d’arnaque revient sur la table, c’est aussi parce que le montant moyen de la fraude est de plus en plus élevé : aujourd’hui, il est en moyenne de 12 000 euros. Bien que les consommateurs soient les principaux concernés par cette arnaque, il semble qu’elle cible en particulier certaines banques et change régulièrement de victime, tous les 6 mois ou tous les ans. Que faire en cas de fraude ? Serge Maitre, le président de l’AFUB, explique qu’il convient de faire immédiatement opposition à tous les virements bancaires. Il est nécessaire ensuite d’adresser une lettre recommandée à son agence pour expliquer l’arnaque. 90 millions ont ainsi été remboursés par les banques en 2018, comme l’explique le rapport annuel de l’Observatoire de l’inclusion bancaire. N’hésitez pas non plus à contacter l’AFUB pour vous aider dans vos démarches. Cependant, des centaines de millions d’euros n’auraient pas encore été restitués aux victimes. Si vous vous trouvez dans ce cas, unique recours : porter l’affaire devant les tribunaux. La procédure est longue, mais elle peut aboutir en votre faveur, comme le rappelle Serge Maitre. Source: Phonandroid

Mobilisation dans les entreprises face aux nouveaux cyber-risques

Il est impératif aujourd’hui pour l’entreprise, quelle que soit sa taille, d’avoir en amont des outils de prévention et de protection et, en aval, des outils de supervision et de détection pour être capable de réagir à temps et éviter les dégâts irréversibles. L’histoire se situe en mars dernier… Révélée mi-septembre par le « Wall Street Journal », l’affaire a secoué le petit monde de la sécurité en entreprise. On apprenait, en effet, qu’une filiale britannique d’un groupe allemand, s’était fait subtiliser près de 220.000 euros à l’aide d’une voix synthétique générée à l’aide d’une intelligence artificielle. Dernier avatar en date de la fraude au président, mêlant deepfake audio et mail-piraté, et absence de process rigoureux. Une nouvelle attaque prise au sérieux. « Ce type de menace est aujourd’hui au coeur des préoccupations de mes collègues directeur de sécurité et sureté », explique Stéphane Volant, président du CDSE, le Club des directeurs de sécurité des entreprises, par ailleurs secrétaire général de la SNCF. Et d’insister: « En matière de sécurité, il n’existe qu’un maître mot : ANTICIPER ! ». Car, aujourd’hui, tous les spécialistes le confirment : PME, ETI comme très grandes entreprises, face à des hackers motivés personne n’est à l’abri ! Outils de prévention et de protection Une menace cyber d’ailleurs consubstantielle à la transformation numérique des entreprises. « En ouvrant en grand les portes et les fenêtres de l’entreprise, la transformation digitale augmente sa surface d’exposition, et démultiplie le risque », souligne Alain Bouillé, vice-président du Cesin, le Club des experts de la sécurité de l’information et du Numérique. « Le périmètre à surveiller devient de plus en plus étendu. Avec des problématiques de sécurité liées au Cloud notamment. »  C’est pourquoi, il est aujourd’hui impératif pour l’entreprise, quelle que soit sa taille, d’avoir en amont des outils de prévention et de protection ; en aval, des outils de supervision et de détection pour être capable de réagir à temps et éviter les dégâts irréparables. « Le drame, c’est l’intrusion que l’on ne détecte pas ! insiste Alain Bouillé. Car, avec l’avènement des crypto lockers et autres rançonwares nous faisons face à des attaques qui s’apparentent de plus en plus à de la destruction massive ». Avec les conséquences catastrophiques que cela peut avoir sur la perte d’exploitation des entreprises, pis sur leur pérennité, notamment pour les plus petites. Combattre le « shadow-it » Dans cette lutte sans fin, le concours des salariés reste essentiel. « Oui, on ne se comporte pas au travail comme à la maison », rappelle Alain Bouillé. Pour autant, il faut cesser de faire reposer la responsabilité de la cyber sécurité uniquement sur les épaules des salariés, en leur disant qu’ils sont la dernière barrière avant la catastrophe ! » C’est d’abord à l’entreprise de mettre à leur disposition les bons outils capables de répondre à leur demande et de les protéger. Meilleure manière aussi, selon cet expert, de combattre le  « shadow-it » . Cette « calamité », qui consiste à utiliser des applis ou des services non-autorisés et non sécurisés au sein de l’entreprise, avec tous les risques que cela comporte en matière de fuites d’informations. Début juillet, dans sa troisième édition de  « l’état de la menace liée au numérique », la DMISC, la délégation ministérielle aux industries de sécurité et à la lutte contre les cybermenaces en dressait le panorama, insistant notamment sur les risques liés aux objets connectés « qui augmentent considérablement la surface d’attaques pour les cybercriminels.»  Quinze milliards d’objets connectés en circulation dans le monde La Délégation ministérielle de souligner également que, dorénavant « les attaques par rançongiciel semblent davantage cibler les grandes entreprises ayant la capacité de payer des rançons très élevées». Leur supply chain constituant le point d’entrée privilégié des attaques. Comprendre : aujourd’hui, toute la chaine de valeur est menacée, des sous-traitants aux fournisseurs. ETI et PME, attention ! « Que ce soit dans le cadre de la numérisation de la supply chain ou de l’arrivée massive des ioT, toutes les technologies de ruptures avancent avec leur lot de vulnérabilités, qu’il convient de sécuriser », confirme Fabien Caparros, chef de la division management de la sécurité numérique à l’ANSSI, l’Agence nationale de la sécurité des systèmes d’information. Selon l’Idate, il y aurait ainsi déjà près de 15 milliards d’objets connectés en circulation dans le monde. Un volume qui pourrait osciller entre 50 et 80 milliards d’ici à 2020. Autant de portes et fenêtres laissées à l’appétit des pirates… Méthodologie, analyse des risques Alors, que faire ? « Mettre en mouvement toute l’entreprise autour du risque cyber », insiste Fabien Caparros, bien au-delà des simples outils numériques.» L’expert préconise d’« intégrer dans la stratégie de chaque entreprise, le risque « Cyber » au même titre que les autres grands risques systémiques. »  Méthodologie, analyse des risques, … Une démarche que l’Anssi a consolidé, en collaboration avec l’Amrae, l’Association pour le management des risques et des assurances de l’entreprise, autour de quatre grands piliers qu’elle mettra bientôt à la disposition des entreprises, au travers d’un guide pratique que l’agence dévoilera au prochain Forum Ferma, Federation of European Risk Management Associations, qui se tiendra à Berlin du 17 au 20 novembre 2019. Nom de cette nouvelle bible que vont s’arracher tous les RSSI : « Maîtrise du risque numérique, l’atout confiance.» A se procurer dare-dare. Source: Les echos

Arnaques bancaires : attention aux fausses banques sur Internet

Arnaque bancaire

Des escrocs ont décidé de profiter de l’intérêt grandissant des Français pour les banques en ligne pour leur soutirer de l’argent. Le nombre de sites de faux établissements est en effet hausse. Si vous avez décidé de vous tourner vers une banque sur Internet, soyez prudent. L’Autorité de contrôle prudentiel et de résolution (ACPR) a diffusé un communiqué fin septembre 2019 pour attirer l’attention des Français sur une arnaque de plus en plus fréquente sur la Toile : les fausses banques en ligne. Un grand risque de confusion “Ces sites frauduleux sont créés à partir de tout ou partie du contenu de sites de banques existantes”, précise l’ACPR. D’où le risque de confusion. L’Autorité a également remarqué la présence sur la Toile de plusieurs sites quasi identiques. Ceux-ci ne diffèrent que par leur URL, un coloris ou encore certaines photos. Au total près de 60 sites, comme ceux de Collectif banque, Eurofinance ou encore Cafpi Taux Zéro, viennent ainsi d’être ajoutés à la liste noire de l’ACPR. Pour entretenir un peu plus le doute et porter plus facilement préjudice aux internautes, “certains de ces sites font état de partenariats avec des établissements bancaires existants réellement ou usurpent certains éléments d’identité de ces derniers” poursuit l’ACPR. C’est le cas du code interbancaire ou de l’adresse. Gare aux offres alléchantes Méfiez-vous aussi des offres trop alléchantes. Elles sont, dans la plupart des cas, un des signes qui prouvent qu’il s’agit d’une arnaque. « Aucun discours commercial ne doit faire oublier qu’il n’existe pas de rendement élevé sans risque élevé », insiste l’Autorité. Il faut donc rester vigilant. Pour ne pas tomber dans le piège, l’ACPR renvoie, bien sûr, vers sa liste noire, mais aussi vers le site de l’Orias. Celui du Registre des agents financiers permet aussi de vérifier que l’établissement est bien autorisé à exercer une activité bancaire. Autre indice d’une arnaque, un vrai site bancaire ne vous demandera jamais d’argent pour débloquer des fonds ou obtenir un crédit, rappelle encore l’ACPR. En cas d’arnaque Et si jamais vous avez été victime de l’un de ces sites, vous devez signaler ces offres frauduleuses et porter plainte. Une plate-forme téléphonique (Info-Escroqueries au 0 805 805 817) est accessible du lundi au vendredi de 9 heures à 18h30 pour vous renseigner sur les démarches à suivre. Source: Reforme

Les cryptovirus coûtent 700 millions d’euros aux TPE/PME

Comptabilité SAGE 1000

Une vaste enquête de terrain de l’Institut de recherche technologique SystemX menée auprès de TPE et PME révèle la manière dont celles-ci sont atteintes par les cybercriminels. C’est un travail long, délicat et par certains aspects laborieux que vient de rendre public l’institut de recherche technologique (IRT) SystemX, installé sur le plateau de Saclay. Spécialisé dans la cybersécurité, l’organisme a en effet mené pendant trois ans une enquête sur les dégâts occasionnés par les attaques informatiques contre des PME et TPE françaises, de toute région et tout secteur d’activité. La méthode ? Rencontrer les dirigeants de ces sociétés, les faire parler, raconter les attaques subies, les problèmes qui en ont découlé. Y compris, parfois, les dommages psychologiques. Menée par l’économiste Philippe Laurier et racontée par Sciences et Avenir en janvier 2018, cette enquête de terrain a rendu publics ses résultats fin juin 2019, notamment ses résultats chiffrés. Des attaques à l’aveugle Les attaques les plus répandues s’avèrent les cryptovirus, ces logiciels qui bloquent l‘accès d’une organisation à ses propres données ou systèmes informatiques et donnent généralement lieu à une demande de rançon en échange du déblocage, et la « fraude au président ». Cette dernière consiste, pour les malfaiteurs, à se faire passer pour les dirigeants de la société ciblée, et à donner l’ordre d’effectuer un virement, la plupart du temps en urgence et sous le sceau de la confidentialité. Le groupe Pathé en a été victime en 2018 et perdu ainsi 19 millions d’euros. En revanche, les petites structures sont peu sujettes aux attaques par déni de service (DDos), qui consistent à saturer leurs services internet de demandes de connexions simultanées au point de les empêcher de fonctionner. La raison ? Les DDos ont forcément une cible particulière, identifiée. Les attaques par rançongiciel, les usurpations d’identité, les virus par e-mails, le phishing font souvent partie de vagues d’attaque aveugles qui touchent les entreprises et organisations les plus vulnérables, sans savoir à l’avance qui sera victime. 2 à 5% des PME concernées chaque année Il reste que d’après l’enquête les attaques réussies par cryptovirus « ne se situent […] plus dans la catégorie des événements rares » : 2 à 5% des PME sont concernées chaque année. Au total, ce type de cyberattaque coûte 700 millions d’euros par an aux petites et moyennes entreprises. Mais l’IRT SystemX précise que la perte financière n’est pas le seul impact : il existerait un « ratio entre l’argent rançonné (sommes versées) et le préjudice total de l’ordre de 1/25 chez les TPE/PME ». Conséquences sur la confiance, la cohésion de groupe, incertitude des décideurs, contribuent à affaiblir l’entreprise. L’IRT note que les problèmes auraient souvent pu être évités non pas grâce à des investissements conséquentes en matière de sécurité informatique mais plutôt par une sensibilisation à de bonnes pratiques et quelques ajustements techniques peu coûteux. Source : Sciences et Avenir

Les PME et la fraude financière, diagnostic et solutions

Prévenir les fraudes aux moyens de paiement dans une PME c’est possible et abordable. Après avoir visé dans un premier temps les grands groupes, la fraude financière touche aujourd’hui de manière importante les PME. Les attitudes à adopter face à cette menace sont simples, adaptées aux moyens techniques et humains de chaque entreprise. Sylvain KAM, expert en sécurisation des flux financiers chez MATA, fait le point sur les problématiques spécifiques aux PME en France et les solutions simples à mettre en place. Quels types de fraude financière touchent le plus les PME ?   Quand on prend l’exemple des PME de 50 à 250 salariées, celles-ci ont des services financiers plus légers que les grands groupes, et ne peuvent pas mettre en œuvre des procédures de contrôle aussi poussées. Elles sont particulièrement exposées aux usurpations d’identités de toute nature et aux intrusions informatiques. Sylvain Kam précise « qu’on entend fréquemment parler de la fraude au Président, pourtant elle est en net repli grâce aux campagnes de sensibilisation réalisées sur ce sujet. Mais, en contrepartie, d’autres usurpations d’identités ont pris le relais : la fraude au faux fournisseur représente à elle seule 54% des fraudes en 2018 ! Elle consiste à faire changer frauduleusement les coordonnées bancaires d’un fournisseur par des scénarii très affutés. » Dans le même temps ce qui est en train d’exploser chez les PME, c’est aussi la cybercriminalité. Notre expert en souligne la facilité de mise en œuvre et l’impact de masse qu’elles ont sur leurs cibles. Selon Sylvain Kam, « on est passé de 30% à 50% des fraudes informatiques qui parviennent à leur objectif ». Ces fraudes sont de type « ransomware » pour 20% d’entre elles. La mécanique est simple, il faut pousser le destinataire à ouvrir une pièce jointe infectée qui bloque le poste, se diffuse sur le réseau jusqu’à figer le fonctionnement de l’entreprise et ce, jusqu’au paiement d’une rançon. D’autres techniques sont plus subtiles. Le fameux Dridex Malware est un logiciel malin, un cheval de Troie. Il s’installe directement via le clic sur une pièce jointe et surveille de manière invisible les utilisateurs pendant des mois… Il espionne le fonctionnement de la chaine de règlement, les saisies de mots de passe, pour ensuite prélever de l’argent sur les comptes en toute tranquillité. Le manque de moyens informatiques permet cette explosion de la fraude. En France, en 5 ans 7 entreprises sur 10 ont été victimes de plusieurs tentatives et 1 sur 3 n’ont pas pu les éviter ! Quels sont les risques spécifiques aux PME ?   De fait, la PME ne dispose pas des moyens d’une entreprise cotée au CAC 40 ! Elle est souvent structurée autour de son core-business et peut faire passer en second plan certains processus de contrôle interne, par manque de personnel dans les services comptables. Sylvain Kam précise : « on observe que les PME ne peuvent pas attribuer de ressources supplémentaires afin de séparer les tâches – les services comptables sont compacts et les contrôles informatiques plus légers » – Il n’est pas rare de constater qu’une seule personne peut tout faire, sans aucun contrôle. « Des situations qui ouvrent un boulevard à l’usurpation d’identité. » Les modifications des coordonnées bancaires ne peuvent être vérifiées, elles sont souvent faites dans l’urgence pour régler un fournisseur qui menace – par exemple – de ne pas livrer avant réception du règlement, il faut agir vite et c’est ce que recherchent les manipulateurs : mettre sous pression la personne de contact pour lui faire commettre des erreurs. En observateur privilégié depuis 20 ans, Sylvain Kam peut affirmer que « le levier de la protection optimale contre la fraude se situe en premier sur la partie IT, en comprimant au maximum le temps humain. Il existe des solutions très efficaces, qui offrent une automatisation optimale et permettent d’atteindre un niveau de sécurité suffisant. » Il ajoute « en complément incontournable, il faut sensibiliser les acteurs de la chaine de règlement à tous les risques liés à la fraude, aux pressions et menaces dont ils peuvent être victimes et enfin, mettre en place des procédures de vérification interne adaptées à l’effectif de la société». Quels types de solutions simples doivent-elles déployer pour parer aux fraudeurs ?   L’appui incontournable de l’IT ne dispense pas de responsabiliser certains acteurs clés. Toutes les situations du quotidien sont à envisager avec sérieux : saviez-vous que le pire arrive souvent pendant les périodes de congés ou de ponts ? En parallèle de l’approche informatique, il faut d’une part travailler sur la ressource humaine, identifier les acteurs et remplaçants, et d’autre part, trouver des référents dans les équipes de direction et surtout prendre conscience du problème de la fraude afin de mettre en place des procédures de contrôle simples et efficaces. Sans être complétement exhaustif puisque chaque situation est différente, le travail de protection débute souvent de la même façon : il faut changer les mauvaises habitudes ! Pour exemple, beaucoup de PME travaillent avec des sites bancaires où tout est communiqué à la main dans des dossiers non sécurisés qui peuvent être modifiés à la source. Des tâches répétitives et sources d’erreurs. Pourtant, il existe des solutions logicielles pour gagner en sécurisation qui permettent aussi de gagner du temps. Finies les créations de fichiers de règlement, la récupération de ces fichiers par copier/coller et les envois en banque par une énième copie… il est possible et peu couteux d’équiper sa PME d’une solution dédiée qui prend en charge tout le process – de l’acheminement jusqu’à la banque, avec validation avant envoi, canal unique pour toutes les banques utiles et contrôle des coordonnées bancaires. Ces solutions proposent même de la cryptographie qui permet de contrer les malwares, de contrôler les contenus des fichiers des coordonnées bancaires avant paiement, et de les acheminer via un canal sécurisé EBICS TS. Cela permet de gagner du temps en même temps qu’on accroît la sécurité ! Chez MATA, quel est le produit référent et quels sont ses

CLIENTS
0 +
Clients
nos webinars
nous contacter
  • MATA
  • 4 rue de Sarrelouis 67000 Strasbourg
  • + 0806 110 020
  • contact@mata-conseil.fr
NOS LOGICIELS
NOS LOGICIELS
Créée en 1999, MATA est détenue à 100% par un actionnariat stable et indépendant. En 2022, MATA, soucieuse d’avoir un positionnement clair vis-à-vis de ses clients et partenaires a séparé ses activités d’intégration et d’édition. La société MATA IO est créée, qui va se concentrer sur son activité d’éditeur dans les métiers de la sécurité des paiements, de la mise en conformité des tiers et de la facturation électronique. MATA est intégrateur des solutions MATA IO mais également intégrateur de solutions de trésorerie, de liasse fiscale et de frais professionnels.

© 2024 Bubbelcom. All rights reserved