FRAUDE

Verrouillez les comptes !

 

Détournement d’actifs, fraude aux achats ou comptable, corruption, cybercriminalité… l’extorsion, qu’elle soit externe ou interne à l’entreprise, est en constante augmentation depuis 2009. Le point.

 

Selon une étude mondiale de PwC, 37 % des 5 000 entreprises interrogées ont été victimes d’une fraude au cours des 24 derniers mois. En France, on atteint même les 55 %. Mais de quelles fraudes ont donc été victimes les entreprises ? Dans le top 5, d’abord de détournements d’actifs, les plus fréquents (70 %), puis de fraude aux achats (29 %), de corruption (27 %), de cybercriminalité (24 %) et de fraude comptable (22 %).

La cybercriminalité, second type de fraude en France

La France se démarque en matière de cybercriminalité, avec 28 % des entreprises touchées, type d’escroquerie le plus reporté après le détournement d’actifs, devant les fraudes comptables et aux achats. Autre spécificité française, la “fraude au président”, qui consiste à se faire passer pour le président d’une entreprise et à réclamer des virements bancaires sur un compte à l’étranger, monte à 10 % des fraudes reportées. L’Office central pour la répression de la grande délinquance financière (OCRGDF) a recensé 700 faits ou tentatives de ce type entre 2010 et 2014, pour un préjudice d’au moins 250 millions d’euros !

Les services financiers et la distribution semblent les plus concernés par le problème. Selon une autre étude menée par IDG Connect pour le compte de F5 Networks, 48 % des organismes de services financiers, au cours des deux dernières années, ont déjà subi des pertes financières allant de 70 000 € à 1 000 000 ? et ayant pour origine des fraudes en ligne. Les programmes malveillants ont été le principal coupable (75 %), suivies par le phishing (53 %), le piratage d’identifiants (53 %) et le piratage de session (35 %).

La profession du chiffre monte au créneau

“Les fraudes externes sont en forte augmentation mais elles ne doivent pas non plus masquer la menace que représentent les fraudes internes, encore plus fortes en nombre et en montants”, rappelle Eric Lenoir, président du comité exécutif d’Euler Hermes France, expert des solutions d’assurance-crédit, qui a aussi conduit une enquête sur la fraude avec l’association nationale des directeurs financiers et de contrôle de gestion (DFCG). Stéphane Cohen, président de l’Ordre des experts-comptables Paris IDF, indique qu’il est “possible d’estimer à près de 50 % les entreprises liquidées en raison du larcin de ces escrocs en col blanc”. Et de rappeler que “la lutte contre toutes les formes de fraudes est une des priorités de la profession du chiffre”. Pour Jean-Luc Flabeau, président de la Compagnie régionale des commissaires aux comptes de Paris, le commissaire aux comptes est la “vigie des dérives au sein de l’entreprise et créateur de confiance qui concourt à la sécurité financière des entreprises et de l’économie en général”. De son côté, Philippe Audoin, président de l’association nationale des directeurs financiers et de contrôle de gestion, plaide pour la sensibilisation des équipes, “surtout quand on observe que les fraudes sont déjouées en majorité grâce à un bon dosage de procédures de contrôle et de réactions humaines. Le directeur financier joue alors un rôle central dans ce dispositif.”

La lutte par l’analyse des données

Selon l’étude PwC, 43 % des entreprises ont détecté des fraudes grâce à l’analyse informatique des données. Ce qui va dans le sens de Jean-Loïc Berthet, consultant avant-vente en charge des offres contre la lutte et la conformité chez Sas, spécialiste mondial des solutions de business analytics pour qui “les données sont au cœur de la lutte Première étape : réunir les différentes données (contrats, transaction, comptes bancaires, etc.) dans une base dédiée, en vérifier la qualité et les organiser en un modèle de données, qui sera différent en fonction du secteur : bancaire, assurance »…

De la détection à la prédiction

Deuxième étape : la détection. Sas offre plusieurs méthodes qui se combinent entre elles et que la société qualifie “d’approche hybride”. Une première, simple, se base sur des règles métiers (un changement de RIB par exemple). Une deuxième se base sur la détection d’anomalies, qui “fonctionne bien dans la santé” : par exemple un opticien qui fait un chiffre d’affaires supérieur à un autre opticien comparable. Enfin, plus avancée, la modélisation prédictive, s’appuie sur un prérequis : disposer de cas de fraudes qui ont déjà été subies, documentées, répertoriées et archivées. Si l’entreprise ne dispose pas de cas de fraudes documentées, il est possible de déployer les deux premières méthodes pour commencer à travailler, puis “on affine les dispositifs après quelques mois, une fois que des cas de fraudes ont suffisamment été détectés, et on crée un modèle statistique”. Plus efficace que les deux premières méthodes, elle utilise des “indicateurs”. Par exemple dans la fraude qui concerne la banque en ligne, il peut s’agir de la langue du navigateur, de l’origine de l’adresse IP ou encore de la rapidité de navigation sur l’interface de la banque en ligne. La modélisation prédictive va sélectionner les indicateurs les plus pertinents, les pondérer et définir un score, une probabilité de fraude, dans le cas de notre exemple de banque en ligne, pour chaque transaction. A partir d’un certain score, l’alerte est donnée.

La séparation des tâches, principe clé

De plus en plus d’entreprises mettent aussi en place une séparation des tâches organisationnelle, ainsi que des outils de séparation des tâches (SoD en anglais pour Separation of Duties) dans leur système d’information pour contrer la fraude interne. “On sépare bien les fonctions : la partie achat-vente de la partie comptable par exemple. Ensuite au niveau des postes de travail, dans les services, les responsables métiers doivent définir les séparations des tâches. Un employé va enregistrer les factures fournisseur et un autre effectuera le paiement. Une séparation organisationnelle qui peut être gérée au niveau applicatif”, explique Benoît Pachot, Senior Manager chez ileven, expert en gouvernance SAP, sécurité et intégration des solutions SAP GRC. Des systems SAP lourds à gérer que des solutions de gouvernance, risques et conformité viennent sécuriser “Ainsi, la solution SAP GRC Access Control automatise, cadre, structure le processus de gestion des demandes d’accès et des droits.” Une solution qui peut être accompagnée de SAP GRC Process Control, qui permet de détecter et prévenir les risques de pertes financières, améliorer les processus métiers et réduire les coûts d’audit.

Cartographie des risques de fraude, renforcement des procédures organisationnelles internes, sécurisation complet du SI, formation des salariés, outils complémentaires de gestion et de contrôle des droits d’accès, outil de gestion du cycle de vie des biens éventuellement, etc. autant de moyens de lutter que l’on pourra associer à une assurance anti-fraude.

 

Fraude identitaire :
2 solutions pour se protéger

Selon l’étude Euler Hermes France, l’usurpation d’identité arrive en tête des typologies de tentatives de fraudes externes. Voici deux solutions de pointe pour être sûr de savoir à qui l’on a affaire.

Vérifier un document d’identité sur smartphone

Avec l’application mobile IDKeys de Resocom, la lutte contre la fraude aux documents d’identité devient accessible à toutes les entreprises. A l’aide d’un smartphone, la photographie du document d’identité est transmise en un clic à la plateforme Resocom : en quelques secondes on sait si le document est conforme ou contient des anomalies. Cette application est disponible 24H/24 par abonnement, à partir de 5 € HT/mois.

Reconnaître l’identité d’un client par son empreinte vocale

Pour les centres d’appel, la solution Verint Identity Authentication and Fraud Detection de Verint Systems simplifie et accélère le processus de validation de l’identité des clients dans le cadre d’un appel téléphonique, en les authentifiant en temps réel sur la base de leur empreinte vocale. Elle permet de se passer de mot de passe et autres questions de sécurité, en comparant la voix d’un client à celle enregistrée dans une base de données.