Sécurité des virements, identification et authentification électronique : des failles subsistent !
Sage, spécialiste des solutions intégrées de comptabilité et de paie, a mené l’enquête auprès de 500 décideurs Administratifs et Financiers pour savoir où ils en étaient dans la sécurité des virements et la prévention de la fraude. Ce « Baromètre Sage 2016 des Directeurs Financiers : sécurité des virements et prévention des fraudes », fait un état des lieux sur la façon dont ces derniers gèrent la sécurité des virements et la prévention de la fraude au sein de leurs organisations.
62 % des entreprises victimes d’une tentative de fraude
Ces dernières années, le nombre de cyberattaques recensées dans le monde a augmenté tant en termes de fréquence, que de gravité et d’impact. La France est particulièrement concernée. 62 % des entreprises interrogées ont déjà subi au moins une tentative de fraude (dont 12 % ont subi 5 tentatives de fraude et plus). Parmi elles, 80 % ont été victimes d’une fraude au virement du président, 18 % d’une fraude dite du « test bancaire » et 14 % d’une fraude interne, comme la modification d’un RIB par exemple.
La majorité des DAF pensent que la fraude est avant tout d’origine externe (73 %), mais ne négligent pas pour autant le risque interne. D’ailleurs, si ceux n’ayant jamais été victimes d’une tentative de fraude redoutent avant tout la fraude au virement du président (54 %), ils craignent également la fraude interne comme la falsification des RIB (50 %), loin devant la cyberattaque des données financières (27 %) et la fraude dite du « test bancaire » (22 %).
3/4 des DAF s’estiment protégés contre la fraude aux virements…
Toutefois, les DAF restent confiants face à ce phénomène, puisque 74 % s’estiment protégés contre la fraude aux virements. 84 % ont mis en place des procédures internes de sécurisation des paiements. Les principales sont : la séparation entre la saisie des paiements et l’exécution des ordres (57,7 %), la définition des pouvoirs bancaires (55,5 %) et la double signature (44,2 %). 87 % des DAF estiment que ces procédures internes sont pleinement respectées et 11 % estiment qu’elles le sont partiellement. D’ailleurs, 61 % ont déjà déjoué une tentative de fraude, grâce à la vigilance des collaborateurs (83 %) et au respect des procédures de contrôle interne (66 %).
… pourtant une faille subsiste : la validation des virements par fax est encore utilisée par 30 % des DAF
Les virements frauduleux sont l’une des attaques les plus coûteuses pour les entreprises. Une faille subsiste : la validation du virement par fax. Ce processus consiste, pour les entreprises, à valider leurs demandes par fax, après avoir transmis électroniquement leurs fichiers de paiement aux banques.La France est l’un des rares pays européens à disposer de ce système archaïque et aisé à pirater. Si les DAF confirment majoritairement leurs demandes de virement auprès de leurs banques grâce aux outils mis à leur disposition par ces dernières, le fax reste encore utilisé par 30 % d’entre eux.
Le CFONB (Comité Français d’Organisation et de Normalisation Bancaires) a recommandé l’abandon de ce fax de confirmation au plus tard le 31 décembre 2016. Les premières banques cesseront son utilisation dès le 31 décembre 2015, avec une date de fin prévue en décembre 2016, et le remplaceront par des solutions électroniques plus sécurisées : la mise en place de la signature électronique EBICS TS (Electronic Banking Internet Communication Standard) ou la validation sur les différents portails Web bancaires.
74% des DAF sont au courant de cette recommandation du CFONB et 84 % ont réagi en changeant leurs procédures (69 %) ou en projetant de le faire dans les 6 prochains mois (15%). Cette mesure n’est qu’une étape du vaste dispositif qui sera déployé, en 2016, autour de l’identité électronique, pour sécuriser les entreprises, face à la recrudescence de la cybercriminalité.
Seuls 17% des DAF sont au fait des directives européennes du type eIDAS
Face au développement de l’économie numérique, les dispositifs pour aider les entreprises à se prémunir contre la fraude se multiplient. La France n’est pas la seule à vouloir mieux protéger les entreprises. En effet, l’Union Européenne prépare, actuellement, une convergence des systèmes de sécurité, avec la réglementation eIDAS qui sera effective au 1er juillet 2016. Ce dispositif légal sur l’identification et l’authentification électronique prévoit la mise en place de multiples dispositifs. Les pays de l’Union Européenne devront reconnaître les moyens d’identification électronique des usagers venant d’autres Etats membres. eIDAS instaure également la création d’un cadre pour les Prestataires de Services de Confiance européens (« PSCO »). Leur reconnaissance mutuelle dans l’UE sera établie par leurs signatures et cachets électroniques garantissant la traçabilité, ainsi que des services de fourniture électronique et d’authentification de sites Web.
Seuls 17 % des DAF sont au fait des directives européennes du type eIDAS. Si, comme constaté lors du passage au SEPA, les entreprises ne se sentent pas nécessairement concernées par ce type de règlementations jugées contraignantes, elles ont pourtant tout intérêt à s’y plier, pour rester dans la course du numérique et renforcer leur sécurité financière face à la menace de la cybercriminalité.
« Début 2015, la fraude au président représentait plus de 400 millions d’euros de dommages pour les entreprises qui en ont été victimes. Les chiffres ne cessent d’augmenter. Les attaques s’industrialisent et se professionnalisent. Au départ, les entreprises visées étaient plutôt celles du CAC 40, car plus faciles à cerner par les fraudeurs, mais aujourd’hui les PME et les TPE sont également visées », commente José Teixeira, Chef de marché Cash management et Electronic banking chez Sage. « Globalement, la fraude est bien connue et identifiée par les directions financières. Elles se sont mises en ordre de marche pour se prémunir. Les moyens de protection reposent actuellement beaucoup sur l’humain. Des efforts restent donc à faire et elles en sont conscientes puisque 46 % des DAF déclarent avoir un projet d’amélioration en matière de prévention des fraudes et de sécurité des virements. D’ailleurs, les moyens de protection plus sécurisés sont en cours de déploiement. Parmi les leviers d’amélioration, cette enquête Sage révèle que moins de la moitié des DAF (40 %) dispose de systèmes d’identification forts. L’e-token est le plus répandu (56 %), suivi de la carte à puce (27 %) et du badge électronique (21 %). De plus, la majorité d’entre eux (66 %) n’a jamais mené d’audit des flux financiers »
