Arnaque en ligne : Le faux RIB fait irruption dans les boîtes mail
arnaque en ligne : Une escroquerie, relayée par Le Maine libre, vise à falsifier le courriel d’un professionnel pour envoyer un RIB frauduleux, accompagné d’une vraie facture. Un piège redoutable, car difficile à détecter. Arnaque en ligne – Voilà longtemps que nous mettons en garde les usagers contre le piratage de boîte mail, propice aux techniques de phishing. Gare maintenant au pillage de pièces jointes contenues dans les courriels ! Plusieurs victimes d’une escroquerie au faux RIB se sont en effet manifestées récemment. Comme l’a relaté Le Maine libre la semaine dernière, les victimes reçoivent un RIB illicite, mais accompagné d’une facture émanant bel et bien d’un professionnel qu’elles connaissent. FACTURE D’ORIGINE Comment procèdent les escrocs ? Une entreprise ou une personne à qui vous devez de l’argent vous envoie un courriel avec un RIB et une facture en pièces jointes, afin que vous puissiez réaliser un virement sur son compte. Le message est intercepté par un aigrefin, qui en reproduit le contenu à l’identique et joint la facture d’origine. Seuls changent l’adresse de l’expéditeur… et le RIB, qui n’est autre que celui de cet expéditeur malintentionné. Le courriel initial est remplacé par le contenu frauduleux. Une fois le virement effectué sur le compte illicite, votre argent s’envole et votre créancier n’a pas touché un centime. Monsieur L., arboriculteur à Château-du-Loir (72), en a fait les frais pour un montant de 3 300 €, destinés au départ à la réparation d’une machine de son exploitation : « Après vérification, j’ai réalisé que l’adresse e-mail de mon contact avait changé et contenait la mention “no-reply”. À part cela, le texte du message reprenait les mêmes informations que celui d’origine, et la facture était la bonne. Seul le RIB était faux. » Il a bien sûr déposé plainte pour l’escroquerie dont il a été victime et a procédé à un rappel de fonds auprès de sa banque, dont il attend l’issue. Pire, monsieur L. a failli être victime de cette arnaque une seconde fois, en recevant un RIB falsifié censé provenir de son plombier. Heureusement, il a déjoué le piège à temps ! UN MODE OPÉRATOIRE MYSTÉRIEUX Le capitaine Boucheron, commandant de la compagnie départementale de la Flèche (72), précise que l’un des points troublants de cette enquête réside dans la rapidité d’action des personnes malveillantes : une petite heure seulement s’est écoulée entre l’envoi du vrai courriel et la réception du message illicite. « À ce stade, deux hypothèses sont envisageables. Soit il s’agit de cybermalveillance, avec le piratage de la boîte mail et l’interception du courriel qui contient le RIB. Soit un salarié malintentionné travaillant au sein de l’entreprise créancière a remplacé le RIB pour récupérer l’argent. Aucune option n’est privilégiée pour l’instant. Nous devons d’abord récolter davantage d’informations techniques. » Jean-Jacques Latour, responsable expertise au sein de Cybermalveillance.gouv.fr, avance quant à lui la piste suivante : « L’escroc prend le contrôle de l’adresse e-mail du destinataire. Il regarde les messages reçus et supprime dès réception ceux contenant RIB et facture [qu’il a scrupuleusement enregistrés auparavant]. Ensuite, il envoie un courriel via une autre adresse. Si c’est cela, c’est assez facile à mettre en place techniquement. » Et de rappeler que les attaques aux faux ordres de virement et aux changements de RIB sont dans le top 10 des arnaques qui touchent les professionnels. COMMENT ÉVITER DE SE FAIRE PIÉGER avec une arnaque en ligne D’autres victimes s’étant manifestées récemment, soyez vigilant. Si l’envoi de RIB par courriel constitue un risque pour l’expéditeur, qui pourrait se faire voler de l’argent en cas de récupération de ses données, il représente ici un danger pour le destinataire. Les escrocs cherchant à récolter des sommes importantes, les professionnels sont davantage ciblés. Mais les particuliers ne sont pas à l’abri. Afin d’éviter d’être la cible d’une telle attaque, mieux vaut privilégier les échanges de coordonnées bancaires en face à face ou oralement. Si ce n’est pas possible, en cas d’envoi par courriel, vérifiez scrupuleusement l’adresse e-mail de votre interlocuteur. Demandez également au professionnel ou à la personne dont vous êtes débiteur le nom de sa banque et, en cas de doute, son adresse e-mail. Prévenez-la avant d’effectuer le virement et demandez confirmation du versement de la somme sur son compte dès réception. Si vous vous faites piéger, les chances d’obtenir un remboursement sont minces. Dès lors que vous avez réalisé le virement de votre propre chef, votre banque sera réticente à vous dédommager. Quant au rappel de fonds, le temps de réaliser l’arnaque et d’effectuer les démarches auprès de votre établissement bancaire, il est souvent trop tard, les escrocs se sont généralement déjà envolés avec l’argent. Source : Que-Choisir
Perspectives Mata 2022 : Sis ID, offre full web et EBICS 3.0… entre autres !
Perspectives Mata 2022 : en cette fin 2021, il est temps de faire un point sur les projets développés au cours de l’année et d’en établir les perspectives prometteuses. Ces derniers mois ont été le terreau de belles pousses : MATA IO et Sis ID ont noué un partenariat solide en associant leur savoir-faire contre la fraude aux paiements, MATA IO a développé son offre full web ainsi que sa capacité SAAS, sans oublier l’implémentation du nouveau standard EBICS 3.0 dans toute la ligne de services, pour une convergence européenne vers des échanges toujours plus sécurisés. Le partenariat avec Sis ID, une synergie contre la fraude Jusqu’ici l’offre de vérification des IBAN proposée était Sepamail Diamond dédiée à la France. Il est maintenant possible grâce aux dernières évolutions d’interroger également les tiers étrangers. Depuis cette année, MATA IO permet de savoir si un compte bancaire est bien celui d’une société étrangère en interrogeant Sis ID et de complètement robotiser ce service qui jusqu’alors nécessitait une intervention humaine. Comment recherche-t-on l’information ? MATA IO via Sis ID peut s’appuyer sur un outil qui permet de vérifier la que des coordonnées bancaires appartiennent bien à une entreprise. Grâce à un réseau de plus de 15 000 entreprises, Sis ID permet le contrôle de centaines de milliers de coordonnées bancaires chaque mois via sa plateforme SaaS dans plus de 30 pays. Rappelons que BNP Paribas est actionnaire de Sis ID, un élément que l’on peut considérer comme un facilitateur pour la recherche de données et la validation des « couples compte bancaire / société » à l’échelle européenne et internationale. Les trois piliers de la solution : Le premier pilier est la base collaborative de l’outil, avec la mise en commun de l’historique de règlement. Un historique qui s’appuie sur des sociétés d’envergure internationale qui traitent des centaines de milliers de flux de paiements et permettent ainsi de consolider et authentifier un volume de « couples – compte bancaire / société » sans précédent. Le second pilier s’appuie sur le travail réalisé dans chaque pays, avec les institutions, les administrations, les banques, toutes les organisations gouvernementales, afin de se connecter à des sources fiables et ainsi consolider le plus possible de « couples compte bancaire / société ». Le troisième pilier du service, en cas de « couple compte bancaire / société » non vérifié, est le référencement volontaire du tiers. Sis ID sollicite la société afin qu’elle certifie ses coordonnées bancaires par internet, une démarche systématiquement validée par un appel téléphonique de contrôle. L’offre full web de MATA IO version 2022 Avant 2021, l’offre MATA IO était proposée sur une version client / serveur traditionnelle. Nous avons souhaité vous proposer une application full web pour deux raisons : Faciliter l’installation, que ce soit en local chez nos clients ou chez MATA IO en mode SaaS Faciliter la mobilité et le télétravail via une connexion par URL sécurisée Véritable solution d’avenir, l’ensemble de modules MATA IO est donc maintenant proposé en version full web. Un succès total puisque le volume d’affaires réalisé en mode SaaS a été multiplié par 10 ces derniers mois, le Covid19 a accéléré l’acceptation de ce type de solutions dans toutes les branches d’activités. MATA IO a d’ailleurs monté en charge ses infrastructures pour accueillir tous les projets et prévoir sereinement 2022. L’authentification SSO (Single Sign On) Actuellement, en mode SaaS, MATA IO propose l’authentification SSO via l’annuaire AZURE Active Directory. Une fonction qui répond en tous points aux besoins de sécurité tout en proposant une connexion simplifiée à sa ligne de services. Les clients MATA IO peuvent ainsi accéder à leurs données et leurs applications en toute transparence, sans contrainte d’un nouveau « couple nom utilisateur / mot de passe ». L’authentification SSO répond aux contraintes réglementaires de sécurité et offre plus de souplesse d’utilisation en mobilité ou en télétravail. Le protocole EBICS 3.0 Implémenté dans l’offre MATA IO Secure e-Link, le protocole EBICS 3.0 simplifie l’existant. Il permet notamment de faire converger les anciens protocoles encore maintenus en France et en Allemagne : EBICS 2.4 et EBICS 2.5. Cette simplification était attendue, aujourd’hui il vous est possible d’y adhérer de manière volontaire, sachant qu’à terme elle sera obligatoire. Elle permet à ce jour de couvrir la France, l’Allemagne, et la Suisse. L’adhésion de ces trois pays en entraine d’autres dans son sillage : EBICS 3.0 devrait être implémenté également au Portugal et en Autriche très prochainement, pour – on l’espère – continuer sa conquête de l’Europe et harmoniser efficacement le niveau de sécurisation des flux. Mata IO permet de se préparer en douceur à l’implémentation de ce nouveau protocole commun à plusieurs pays qui allège considérablement les process. Et pour 2022 ? MATA IO se projette sur encore plus de connectivité. L’objectif est d’élargir son offre d’API afin de permettre à tous les clients d’appuyer leurs systèmes sur les solutions MATA IO. Des développements sont en cours en continu pour que n’importe quel outil métier puisse utiliser les services MATA IO sans subir de changement. La connectivité passe aussi par la mobilité, ici c’est d’expérience utilisateur dont on parle, un autre axe de développement stratégique chez MATA IO qui met toujours les utilisateurs finaux au cœur de ses solutions. Cette année le défi réside dans la diffusion d’une application mobile, ergonomique et user friendly. Un beau défi, à découvrir bientôt ! Si vous voulez en savoir plus sur l’offre MATA IO, nous pouvons organiser un webinar. Alors, contactez- nous au 0 806 110 020 !
MATA fait sa rentrée des classes
Pour cette rentrée 2021, Mata anticipe les enjeux des entreprises avec ses solutions CLOUD comme fer de lance : – MATA I/O pour lutter contre la fraude – CLEEMY pour dématérialiser ses NOTES DE FRAIS – SAGE XRT ADVANCED pour optimiser sa trésorerie Quels sont les avantages du CLOUD ? L’avantage le plus évident est que votre entreprise n’a pas besoin d’acheter, de configurer, de maintenir et de réparer du matériel pour exécuter des charges de travail dans le cloud. Et, contrairement aux idées reçues, votre IT est bien plus sécurisé au sein d’une plateforme Cloud que chez vous ou sur la plupart des hébergements tiers. C’est d’ailleurs la raison pour laquelle MATA a choisi le cloud Azure de MICROSOFT qui a obtenu le plus grand nombre de certifications et d’approbations et qui est le seul à être validé par l’ensemble des CNIL Européennes. Grâce au cloud, votre entreprise paie, par abonnement, uniquement pour les ressources, infrastructures et services nécessaires. Vous n’avez plus à investir dans du matériel onéreux et de nouveaux logiciels et payez pour un service consommé en fonction de vos besoins. La répartition de votre investissement est faite dans le temps et vous garantit une bonne maîtrise de vos dépenses. MATA I/O pour lutter contre la fraude : Avec ces 18 mois de télétravail, les procédures de contrôle se sont dégradées dans le cadre du travail à distance pour le plus grand bonheur des escrocs. Le télétravail a mis en évidence la limite des procédures non digitalisées, qui ne s’exercent plus, dès lors qu’on n’est pas sur son lieu de travail et qu’on n’a pas accès aux pièces justificatives physiques. Mata a développé une solution de sécurité qui répond aux besoins du télétravail : La solution Mata I/O qui permet de s’affranchir de ces contrôles physiques. Elle consiste à rationaliser le contrôle de ses tiers et de ses règlements en mettant en œuvre une base de tiers unique, référente et sûre, connectée à toutes les applications dans lesquelles sont produits des règlements de manière à assurer une détection en temps réel et en continu de toutes les anomalies potentielles. Toutes les créations ou modifications de comptes bancaires font l’objet d’une vérification automatique auprès de dispositifs qui permettent de tester la validité d’un IBAN pour un tiers : SEPAMAIL Diamond pour contrôler un tiers français ou SIS ID, avec lequel nous avons signé un partenariat au printemps, pour tester et valider les tiers étrangers. Si vous voulez en savoir plus sur l’offre MATA I/O, nous pouvons organiser un webinar. CLEEMY : la solution de dématérialisation des notes de frais. Les notes de frais mobilisent un temps de travail considérable, que ce soit pour le salarié qui réalise sa note de frais que pour le comptable qui la traite. En 2015, une étude menée par HRS et la fondation GBTA révélait ainsi qu’en moyenne, le traitement de chaque note de frais coûtait à l’entreprise 53 €, soit 20 minutes de travail. 19% de ces notes de frais contiendraient des erreurs et donc le retraitement de ces erreurs prendrait 18mn par note de frais. Multiplié par le nombre de notes de frais collectées chaque mois, cela représente un coût colossal pour l’entreprise. En moyenne, pour une TPE de 20 personnes, cela lui couterait près de 72 000€ par an de perte. La dématérialisation des notes de frais évite aux salariés de transporter avec eux une multitude de justificatifs. La numérisation directe avec CLEEMY, l’utilisation de cartes de paiements connectées rendent les employés plus autonomes, tout en laissant 100% le contrôle à l’équipe finance. Les transactions sont suivies, de la demande d’achat à l’export comptable, en temps réel. Ce mode de paiement permet également de sécuriser les flux, d’optimiser les rapprochements et de générer des données précises, justes pour piloter les budgets et prendre les bonnes décisions. Avec Cleemy, l’entreprise a des retours positifs rapides et conséquents : l’ensemble du processus de gestion des notes de frais gagne en efficacité. Si vous voulez en savoir plus sur l’offre Cleemy, nous pouvons organiser un webinar Sage XRT Advanced (SXA), la nouvelle génération de plateforme collaborative de gestion de trésorerie de SAGE : Solution complète et flexible, bien adaptée aux contextes internationaux, SAGE XRT ADVANCED permet de maîtriser ses liquidités réelles et prévisionnelles sur l’ensemble du périmètre groupe, de piloter la trésorerie nette et de prendre les bonnes décisions. Une plateforme de travail collaborative et ouverte qui facilite les échanges avec les acteurs financiers de votre entreprise (trésorier, responsable financier et administratif, banques, etc.) et s’intègre parfaitement avec le logiciel ERP. Les échanges de données sont plus faciles grâce à l’interface de convertisseur configurable. SAGE XRT ADVANCED gère et contrôle les opérations de placements, de financement et d’investissement à court, moyen et long terme. Cette plateforme modulaire offre une couverture fonctionnelle complète : trésorerie d’exploitation, budgets, placements et dette, délégations bancaires, rapprochement comptable … La solution est full web, disponible en cloud ou en on premise : elle est simple et pratique à utiliser. Si vous voulez en savoir plus sur l’offre SXA, nous pouvons organiser un webinar
La fraude aux notes de frais
Gonfler une note de frais pour obtenir un remboursement plus élevé, passer des dépenses personnelles pour des dépenses professionnelles, augmenter le kilométrage parcouru, fournir une fausse facture… Selon les différentes sources, le volume de la fraude représenterait 700€/salarié par an ! Et chaque années, 15% des entreprises identifieraient des fraudes avérées et conséquentes. Optimiser la gestion des notes de frais : dématérialiser pour éviter la fraude Lutter contre la fraude nécessite d’établir une véritable politique de gestion des notes de frais au sein de l’entreprise et de fixer des règles simples, rendues possibles grâce à la digitalisation : Plafonds pour chaque collaborateur et type de dépenses, Moyens de paiement adaptés : cartes dédiées (carburant…) et connectées Dématérialisation des justificatifs grâce aux applications mobiles Optimisation des délais de traitement, suppression des saisies Automatisation des rapprochements Respect du fonctionnement de chaque département / groupe La dématérialisation des notes de frais évite aux salariés de transporter avec eux une multitude de justificatifs. La numérisation directe avec CLEEMY, l’utilisation de cartes de paiements connectées rendent les employés plus autonomes, tout en laissant 100% le contrôle à l’équipe finance. Les transactions sont suivies, de la demande d’achat à l’export comptable, en temps réel. Ce mode de paiement permet également de sécuriser les flux, d’optimiser les rapprochements et de générer des données précises, justes pour piloter les budgets et prendre les bonnes décisions. Le coût d’un traitement des notes de frais « à l’ancienne » Dans une entreprise, la gestion des notes de frais peut vite s’apparenter à un casse-tête. Chronophage et sans la moindre valeur ajoutée, le processus de traitement des dépenses représente un véritable manque à gagner. En effet, outre les 20 minutes passées par le salarié pour remplir les différents documents, on considère que l’intégralité du processus pour une note de frais représente un coût réel entre 25 et 50€. Un cout considérablement réduit à l’installation d’un outil de gestion et de contrôle qui permette de dématérialiser le processus de saisie et de traitement de la note de frais. L’investissement initial est amorti sans délai. Mieux contrôler les dépenses pour éviter la fraude Fixer des plafonds de montants Pour chaque type de dépense, vous pouvez fixer en amont des maximums à ne pas dépasser en spécifiant qu’au-delà de ces seuils, le collaborateur ne sera pas remboursé. Il est primordial de veiller à ce que les montants soient cohérents avec le type de dépense, vous pouvez néanmoins être sûr que cela limitera les abus. Fournir un moyen de paiement adapté Le moyen de paiement adapté dépend de vos activités et de vos salariés. Carte société, carte carburant, carte prépayée… dans tous les cas, les avantages sont réels pour les deux parties : Le salarié bénéficiera d’un différé de paiement qui lui permettra d’être remboursé des frais avancés avant que la dépense ne soit effective sur son compte, Le gain de temps est partagé, grâce à la dématérialisation des preuves de paiements, La transmission est instantanée, Pas de risque de perte de la note, Pas de risque de modification ou retouche de la note de frais et donc de fraude. Traquer les fausses notes de frais Tout ce qui est manuel est modifiable. Digitaliser vos notes de frais grâce à des justificatifs dématérialisés, un calcul TVA automatique et une intégration complète dans votre comptabilité permet de supprimer les notes de frais papier et de gagner en sécurité. Pour ceux qui ne peuvent digitaliser, contre les abus il faut une procédure stricte et simple Si vous tenez à conserver un fonctionnement par notes de frais, il vous faut une méthode de gestion stricte et un processus de rapprochement comptable efficace que MATA est en mesure de vous proposer. Toute note de frais qui n’entre pas dans le cadre du processus est invalidée et non traitée. Il faut un processus simple et transmettre un message tout aussi simple : suivre le processus permet de gagner du temps et d’être remboursé plus rapidement. Centraliser les justificatifs Récupérer les justificatifs valides est sans nul doute la partie la plus chronophage du processus de traitement des notes de frais. Pour gagner du temps et y voir plus clair, choisissez un seul mode de transmission des justificatifs et factures. Vous pouvez créer par exemple une adresse e-mail dédiée utilisée par les fournisseurs et par les employés. Ainsi, le service financier et le comptable disposeront, au même endroit, de tous les justificatifs nécessaires. L’utilisation de moyens de paiements dédiés, la transmission de justificatifs par voie digitale, les rapprochement automatisés et sécurisés dans le cloud, les applications de gestion en ligne, etc. Toutes ces nouveautés permettent de contourner les freins liés au traitement des notes de frais ET à éviter la fraude.
Comment exercer un contrôle de tiers conforme et sur ?
Pour les entreprises, les enjeux sont forts pour mettre en place un contrôle de tiers conforme et sûr. En un an, ce sont 312 poursuites & 253 condamnations qui ont été prononcées en France pour des faits de corruption, de trafic d’influence, de concussion, de prise illégale d’intérêt, de détournement de fonds publics ou de favoritisme. Le contrôle du tiers est une clé de sécurité pour tout transfert de fonds. Que ce soit d’un point de vue corruption (loi « Sapin 2 » du 9 décembre 2016), devoir de vigilance (loi du 27 mars 2017) ou bien RGPD (règlement européen en vigueur à partir du 25 mai 2018), ces règlementations imposent avec plus ou moins de fermeté des diligences à mettre en œuvre par les entreprises vis-à-vis de ses tiers, et notamment ses fournisseurs. Contrôle du tiers – évaluer la conformité des tiers En préambule, il est essentiel de relever que TOUS les tiers ont vocation à être évalués. Le périmètre des tiers à évaluer en priorité est défini sur le fondement de la cartographie des risques de corruption préalablement effectuée. Evaluer la conformité et la sureté d’un tiers, c’est de collecter les informations et les documents sur un tiers afin d’identifier et d’apprécier les risques de corruption : Avant que la relation ne soit formellement engagée ou en cas d’évènement impactant le niveau de risque du tiers ; Périodiquement, tout au long de la relation. L’objectif est bien sûr de permettre la relation commerciale avec ce tiers – conforme et sûr – de la poursuivre ou d’y mettre fin. Pour chaque tiers, le niveau de vigilance peut varier. Les mesures de prévention et de détection de la corruption mises en œuvre sont optimisées selon la famille du tiers. Pour ce faire, il faut recenser l’ensemble des tiers classés selon leur nature, leur statut, leur taille… et mettre en place une base de données informatisée, sécurisée et à jour, recensant les tiers pour faciliter la gestion. Contrôle du tiers – évaluer l’intégrité des tiers Pour établir si les tiers sont conformes et sûrs, il faut définir les 3 composants incontournables : Qui participe à l’évaluation ? Au niveau opérationnel, il faut un responsable des évaluations qui collecte les informations et émet une première appréciation. Ensuite, un responsable de conformité accompagne le niveau opérationnel en apportant son expertise dans les cas les plus risqués. Le dernier échelon est celui de l’instance dirigeante qui décide des suites à donner aux cas les plus risqués. Quels sont les informations et documents utiles ? En interne, il peut déjà exister des listes comme des annexes de pays à risques ou interdits selon l’organisation. Mais il faut également s’appuyer sur l’évaluation par outil logiciel, décisions de justice publiées… et même au besoin des bases de données payantes. Il est recommandé de recueillir des informations afin d’approfondir le contrôle et vérifier quelles sont les catégories d’acteurs et les bénéficiaires effectifs. Quel est le contenu des évaluations des tiers ? La liste est non exhaustive mais elle doit en priorité permettre de renseigner : l’identité du tiers, le risque pays, l’expertise, la conformité, puis permettre de définir la nature et l’objet de la relation. Il faut aussi regarder s’il y a des interactions avec agents publics, PPE, quelles sont les modalités de rémunération, l’actionnariat, le secteur d’activité. Et enfin, il faut définir le degré de sureté : intégrité et réputation, coopération, s’il y a d’autres intervenants et quels sont les aspects financiers en jeu ainsi que les modalités et flux de paiements. La conformité et la sureté de vos tiers passent par ces étapes incontournables, facilitées par les fournisseurs de solutions dont les éditeurs de logiciels font partie. Ils permettent d’implémenter l’outil d’évaluation servant de première sélection pour l’analyse par l’organisation. Les indicateurs de sureté et de conformité qui définissent la nature du risque (scoring) sont définis en relation avec l’organisation. Le but étant de mettre en place un outil adapté au métier et à la situation commerciale de l’organisme concerné, qui permette le suivi dans la durée, de chaque tiers en relation avec l’entreprise. Découvrez aussi Mata Conseil Source
L’arnaque au faux RIB
L’arnaque au faux RIB – mise en situation Une société asiatique se faisant passer pour un fournisseur contacte une entreprise et l’informe par courriel de son changement de domiciliation bancaire. Une facture et un relevé d’identité bancaire mentionnant les nouvelles coordonnées y sont joints. Confiante l’entreprise victime effectue immédiatement 2 virements pour un montant supérieur à 20000€. Les dirigeants ne s’aperçoivent de l’escroquerie que quelques temps après. Lors des vérifications, ils constatent que l’adresse mail utilisée diffère légèrement de celle habituellement employée par le fournisseur. L’arnaque au faux RIB, si simple et cruellement efficace L’escroquerie au « faux RIB » ou plus exactement au « changement de domiciliation bancaire » connaît un certain essor. Variante de l’escroquerie dite « au faux président », cette arnaque est la plus simple à réaliser ! Elle ne nécessite aucune connaissance en informatique et peu de recherches d’informations par le biais de la relation sociale. Pour y parvenir, il suffit de créer de fausses adresses mail, de fausses factures à entête de fournisseurs réels et d’y joindre un RIB. Le tour est joué. Comment se protéger contre l’arnaque au faux RIB ? En amont il faut établir des procédures écrites strictes concernant les virements, mais il est aussi recommandé de contrôler et limiter la diffusion d’informations concernant l’entreprise. A ce titre, il est préférable d’éviter de diffuser l’organigramme précis et nominatif de la société pour ne pas faciliter le travail des escrocs. Les réseaux sociaux sont aussi à protéger en veillant à ne pas révéler avec précision les fonctions de dirigeants. Un exercice de finesse à un époque où la puissance de la relation client se construit aussi par ces canaux. De même, il ne faut pas communiquer d’informations sensibles (factures, baux, etc.) par téléphone, fax ou mail sans avoir formellement identifié le demandeur. Ensuite, la pédagogie est le levier à activer régulièrement : sensibiliser les salariés et ce quel que soit le niveau de responsabilité exercée. Il est possible d’envisager de les responsabiliser en adoptant une charte d’utilisation des moyens informatiques, d’internet et des réseaux sociaux. L’arnaque aux faux RIB, comment traiter la réception d’e-mails ? La discipline est une clé de sécurité non négligeable. Il faut donc s’y plier ! Il ne faut jamais se contenter des seules informations affichées. Ne pas répondre à un mail en utilisant la fonction « répondre » de la messagerie. La victime risquerait alors de ne pas s’apercevoir qu’elle a affaire à une fausse adresse. La vigilance soit être accrue en cas de demande de modification du RIB (domiciliation bancaire). Que faire en cas de constat d’arnaque au faux RIB ? Il est conseillé de contacter immédiatement par téléphone le véritable fournisseur en utilisant de préférence un téléphone portable, le serveur téléphonique pourrait être piraté par l’escroc en vue de rediriger les contres appels de sécurité. La mise en place d’une veille régulière permettra d’anticiper et de s’adapter aux nouvelles menaces. Tous nos conseils et nos solutions sont au BOUT DU FIL ! Découvrez aussi Mata Io
Le cash pooling ou l’art de centraliser ses flux financiers
Rationaliser ses placements bancaires, optimiser ses frais, sécuriser son cash, … le cash pooling est une technique bancaire qui permet de centraliser la gestion des flux financiers des filiales d’un même groupe. Explications à l’occasion des journées AFTE. Optimiser la gestion de sa trésorerie et sécuriser ses placements. Telles sont les promesses du cash pooling (pour « mise en commun du cash »), technique bancaire qui consiste en une gestion centralisée des comptes des filiales d’un même groupe sans violation du monopole bancaire. Centraliser ses flux financiers Il existe plusieurs techniques de cash pooling : le cash pooling par transfert physique de fonds (dit automatique : bancaire ou via un logiciel de Treasury Management Systems (TMS)) et le cash pooling notionnel dit aussi fusion d’échelles d’intérêts qui permet à chaque entité de fonctionner avec ses propres lignes de crédit, sans mouvement de fonds issus d’un compte centralisateur. C’est le choix fait par le groupe Somfy, industriel français spécialisé dans la motorisation, l’automatisation des ouvertures de l’habitat et du bâtiment et des systèmes d’alarme, avec la mise en place d’un cash pooling en 2014.« Nous avons opté pour un cash pooling auprès de 2 banques sur 20 pays multi-devises (16 devises) afin de sécuriser le cash dispersé et de le centraliser en France », explique Jean-Baptiste Cadot, trésorier du groupe. Il s’agit d’un cash pooling par transfert physique de fonds avec une remontée quotidienne et automatique de ZBA (pour Zero Balancing Account)* excepté pour des pays comme la Chine, la Corée ou la zone Middle East. De même, le français Lisi, spécialisée dans la fabrication de fixation et de composants d’assemblage pour les industries automobile et aérospatiale, a opté pour un cash pooling de même nature dès 2008 dans l’idée de pouvoir « centraliser les placements et les financements ainsi les couvertures bancaires du groupe », souligne Vincent Millet, trésorier du groupe. Harmoniser les process avec les filiales « Avant les objectifs d’un cash pooling étaient de centraliser pour sécuriser et optimiser les placements. Mais aujourd’hui, les entreprises font du cash pooling pour limiter les financements bancaires notamment en local mais aussi, dans un souci d’organisation du groupe et d’harmonisation des process de l’ensemble des filiales », estime Solenn Le Lay, director – treasury advisor, Redbridge DTA, cabinet de conseil. Opter pour la centralisation de sa trésorerie c’est aussi rationaliser ses process et le choix de ses partenaires bancaires. S’il n’est pas rare que les entreprises aient leurs comptes répartis dans 30 à 40 banques, « il faut retenir 1 ou 2 banques pour le cash pooling et identifier l’intérêt de garder des banques en local comme en Italie et en Espagne où il est obligatoire d’avoir une banque sur place pour le paiement des taxes« , souligne Solenn Le Lay de Redbridge DTA. Garder des banques en local Mettre en place un projet de cash pooling nécessite d’avoir un chef de projet en interne, « un sponsor hiérarchique fort » pour le trésorier de Lisi ou encore d’embarquer les équipes IT. « Car il y a un travail fastidieux de documentation auprès des banques ». De son côté, le trésorier de Somfy attire l’attention sur la communication et l’accompagnement au changement de ce type de projet « qui a un impact sur la décentralisation avec des filiales qui avant étaient très autonomes ». Enfin, avant de se lancer dans un projet de cash pooling tête baissée, Solenn Le Lay conseille de « regarder les solutions de comptes virtuels ou des logiciels de Treasury Management Systems (TMS). Car bien souvent, les entreprises optent pour des solutions mixtes (TMS/cash pooling/comptes virtuels) ». *Le cash pooling ZBA, pour Zero Balancing Account, consiste en une remise à zéro quotidienne des soldes. Source: Daf-Mag
Sécurité des paiements en ligne : ce que les nouvelles normes vont changer
De nouvelles normes destinées à renforcer la sécurité des transactions en ligne vont entrer en vigueur samedi. D’ici 2021, la manière de payer ses achats en ligne va progressivement changer. Samedi 14 septembre, de nouvelles normes vont entrer en vigueur. Le but ? Renforcer la sécurité des transactions. Reconnaissance biométrique, accès en ligne aux comptes bancaires, achats à distance… Voici quatre questions pour comprendre ces nouvelles règles et leurs conséquences. Qu’est-ce que la directive DSP2 ? Il s’agit de la deuxième directive européenne sur les services de paiement. Adoptée mi-janvier 2018, elle prévoit une nouvelle couche de sécurité, appelée « authentification forte », sur les transactions et opérations bancaires en ligne afin de faire davantage baisser le taux de fraude. En outre, la responsabilité de cette authentification incombe aux banques et non plus aux commerçants en ligne. Par ailleurs, cette directive définit le statut juridique des services d’agrégation de comptes et des initiateurs de paiements. Désormais, ces deux activités devront être opérées par des prestataires agréés. La directive établit leurs conditions d’exercice et la manière dont ils doivent fonctionner avec les banques de leurs clients. L’objectif est de protéger les consommateurs, qui jusqu’ici n’étaient pas couverts juridiquement, et de stimuler la concurrence sur les services de paiement. Qu’est-ce que cela change pour les consommateurs ? « Les achats en ligne ne seront pas touchés par la DSP2 au 14 septembre. Aucune modification ne sera faite dans les modalités de paiement des achats à distance », a assuré Marie-Anne Barbat-Layani, directrice générale de la Fédération bancaire française. Si l’usage d’un seul code reçu par SMS pour sécuriser une transaction en ligne ne sera plus jugé suffisant, il sera progressivement renforcé ou remplacé par d’autres solutions, comme la reconnaissance biométrique (empreinte, reconnaissance faciale), l’émission d’un code personnel envoyé par courrier ou la connexion obligatoire à l’application mobile bancaire. L’accès aux comptes bancaires nécessitera aussi une authentification renforcée a minima tous les 90 jours. En revanche, certaines opérations seront exemptées d’authentification forte comme les achats à distance de moins de 30 euros, les paiements aux automates de transport et de parking, les virements entre comptes d’une même personne au sein d’un même établissement bancaire ou encore les virements vers des personnes enregistrées comme « bénéficiaires de confiance » par le client auprès de sa banque. Qu’est-ce que cela change pour les professionnels ? Les principaux concernés sont les banques, les opérateurs techniques du paiement et les commerçants. Tous devront se raccorder à une nouvelle version du protocole de paiement sécurisé sur Internet, 3-D Secure, qui permettra aux banques, des commerçants et des clients, de se connecter entre elles pour déclencher l’authentification renforcée et valider la transaction. Pour les commerçants en ligne en France, il s’agit du « chantier du siècle, a estimé Marc Lolivier, directeur général de la Fevad (Fédération du e-commerce et de la vente à distance). Cela touche plus de 547 milliards d’euros de chiffre d’affaires en Europe. Rien qu’en France, cela concerne 38 millions de Français, plus de 200 000 entreprises et plus de 50 commandes traitées à la seconde », détaille-t-il. L’enjeu est de « trouver le bon curseur entre lutter contre la fraude et le fait ne pas freiner le développement du e-commerce », qui atteint 10% des ventes totales en France et représente près de 100 milliards d’euros de ventes. Côté banques, tous les acteurs sont prêts, selon leur fédération. Quand ces mesures seront-elles mises en place ? Sur le papier, le démarrage est fixé au 14 septembre. sauf que tous les acteurs ne sont pas prêts en France comme dans d’autres pays européens comme le Royaume-uni, l’Allemagne ou l’Espagne. Devant le risque de perturbations du commerce électronique, l’Autorité Bancaire Européenne (ABE), qui fixe les normes techniques de DSP2 et coordonne son application en Europe, a décidé d’accorder en juin aux États membres un « délai supplémentaire limité » pour se mettre en conformité. En France, d’ici à décembre 2020, « plus des trois quarts des utilisateurs et des transactions réalisées sur internet » devront être passés à l’authentification forte, selon le calendrier présenté ce mercredi par l’Observatoire de la sécurité des moyens de paiements (OSMP), organisme rattaché à la banque de France. Un délai supplémentaire d’un an et demi maximum pourra être accordé pour trouver des solutions aux cas plus spécifiques (personnes peu équipées en technologie, expatriés, populations fragiles financièrement). Les professionnels devront pour leur part avoir mis à niveau leurs systèmes aux nouvelles exigences réglementaires d’ici mars 2021. Source : L’expansion
Augmentation de Capital pour MATA
L’éditeur de solutions anti-fraude MATA porte son capital à 500 000 € pour se donner les moyens de ses nouvelles ambitions. Premier éditeur à proposer une sécurisation de toute la chaine de paiements, MATA a franchi en juin 2019 le cap des 1000 utilisateurs de son application MATA I/O. Acteur historique des échanges banque / entreprise, la société propose depuis 2013 une solution originale permettant non seulement de vérifier les IBAN des tiers payés, mais également de bloquer automatiquement des virements potentiellement frauduleux. De plus, sa solution proposant une intégration complète avec les principales solutions de signature électronique (dont sa propre solution), MATA peut proposer à ses clients un cryptage de toute la chaine de règlement depuis l’ERP jusqu’à la banque. Il a notamment été le premier éditeur à proposer une vérification automatique des IBAN par le dispositif SEPAmail à ses clients grands comptes à forte volumétrie. Pour continuer à répondre au mieux à leur besoin de sécurisation des règlements, MATA, aujourd’hui leader sur un segment de marché qui se consolide, a décidé de procéder à des embauches et de renforcer ses équipes de développement. Afin de se donner les moyens de sa politique d’innovation et de financer ses ambitions à venir, MATA a décidé de porter son capital à 500 000 € par intégration de fonds propres. A propos de MATA Depuis 1999, MATA est un acteur majeur de la sécurisation et dématérialisation des flux financiers, en tant qu’éditeur et intégrateur. Editeur de MATA I/O, une plate-forme de sécurisation des règlements fonctionnant d’ores et déjà avec les principaux ERP du marché et déployée par un réseau d’intégrateurs experts à travers toute la France. MATA est aussi, depuis 1999, intégrateur des principales solutions du marché en matière de trésorerie et d’échanges bancaires, de gestion comptable et reporting, de GED et lecture optique de factures fournisseurs, de gestion de notes de frais et des congés, de liasse et télédéclarations. www.mata-io.com www.mata-conseil.fr
L’AGEFI Quotidien : La fraude aux faux fournisseurs, l’attaque qui fait recette
La DFCG et Euler Hermes dévoilent leur baromètre Fraude & Cybercriminalité. La fraude aux faux fournisseurs arrive à la première place. Les virus NotPetya et Wannacry ont défrayé la chronique cette année, en touchant des cibles prestigieuses comme Renault et Saint-Gobain. La cybercriminalité reste ainsi une menace tenace pour les directions financières ayant répondu au baromètre Euler Hermes-DFCG (Association des directeurs financiers et contrôleurs de gestion), qui sera dévoilé ce matin. Mais étonnement, cela n’en fait que la deuxième attaque en terme d’occurence. La fraude la plus récurrente est celle aux faux fournisseurs. Elle consiste en une manipulation simple : la comptabilité reçoit un jour un courrier d’un de ses fournisseurs, ayant l’apparence d’une lettre ou d’un mail officiel demandant de changer les coordonnées bancaires. Au moment du règlement d’une facture réelle, l’argent est alors versé – détourné – sur un autre compte. Les usurpations d’identité touchent également d’autres partenaires des entreprises comme les banques, les avocats ou les commissaires aux comptes. Ces fraudes sont un danger quotidien, notamment pour les services comptables. Non seulement 65 % des entreprises répondantes ont été victimes d’au moins une tentative mais de plus en plus de malfaiteurs parviennent à leurs fins. Près d’une entreprise sur trois a subi au moins une fraude avérée en 2017, contre seulement une sur cinq l’année précédente. D’autres mauvaises nouvelles s’égrènent au fil du baromètre. Ces attaques peuvent coûter cher. Près de 10% des sociétés attaquées ont subi un préjudice moyen supérieur à 100.000 euros. Et la très grande majorité des directions financière s’attendent à une accentuation du risque de fraude dans les années à venir. Ces dernières réagissent. Les directions financière organisent, aux côtés de la direction générale et de la direction informatique, la défense de leur entreprise. Les actions mises en œuvre vont de la sensibilisation des équipes au renforcement des procédures de contrôle interne. L’accent est clairement mis sur l’humain, qui constitue le maillon faible du système ou, au contraire, la meilleure source de défense. Une fraude sur deux est en effet évitée grâce à une réaction ou une initiative personnelle. Reste que le travail est encore à l’ouvrage pour les directions financières et celles des systèmes d’information. Par exemple, quatre entreprises sur dix ne s’estiment pas prêtes à être conformes au règlement européen relatif à la protection des données (RGPD) qui entrera en vigueur le 25 mai prochain. Source : AGEFI
