Cybercriminalité, fraude et violations de données : quelle est l'ampleur des risques pour votre organisation ? Ou plus précisément, quelle est l'ampleur des risques pour votre propre service et ce dont vous êtes responsable ? Vous arrive-t-il de vous en préoccuper ? Cela semble être un concept lointain ; après tout, vous ne vous laissez pas berner si facilement. Vous n'êtes pas quelqu'un qui transmet simplement un code PIN à "quelqu'un de la banque" qui le demande. C'est vrai ?
Et c'est là que le bât blesse : l'idée que l'on sait vraiment quand on se fait arnaquer. Car si vous avez la moindre idée de la facilité avec laquelle il est possible de se faire passer pour quelqu'un d'autre, vous commencez à réfléchir différemment à la sécurité de vos processus.
En tant que professionnel de la finance, vous avez beaucoup de responsabilités. Tous les flux financiers au sein de l'organisation passent par vous. Si vous faites votre travail avec soin, vous ne pensez pas que la direction viendra frapper à votre porte parce que quelque chose a mal tourné.
Quels sont donc les risques spécifiques auxquels vous êtes confrontés ? Cette question varie d'une organisation à l'autre et dépend du degré de sécurité des activités de votre service et de la manière dont vos systèmes sont mis en place. Par conséquent, considérez les risques ci-dessous principalement comme une occasion d'examiner de plus près vos processus.
Fraude
La fraude aux chefs d'entreprise et aux factures est un problème grave. Selon le FBI, elles rapportent aux criminels pas moins de 1,2 milliard d'euros dans le monde. Pensez à des formes de fraude où un e-mail est envoyé au nom d'un directeur du siège pour demander un transfert d'argent afin de payer une acquisition. Pathé a perdu plus de 19 millions d'euros de cette manière ! Les criminels détournent aussi parfois les adresses électroniques internes d'une organisation (spoofing). Pensez à l'envoi de factures avec la remarque qu'un numéro de compte a changé.
Un cabinet de conseil belge a enquêté sur la fraude et a conclu que dans 37 % des cas, un membre du personnel était impliqué. Un exemple récent est la fraude de plusieurs millions de dollars au Rijkswaterstaat, où un employé avait présenté de fausses factures d'une valeur de plus de 2,3 millions d'euros.
Avant qu'elles ne parviennent au destinataire, les factures papier peuvent tout simplement être interceptées et modifiées en cours de route. Par exemple, lorsqu'une boîte aux lettres est vidée. Ce qui est ennuyeux, c'est qu'en tant qu'organisation, vous pensez avoir effectué le paiement, alors que le véritable fournisseur n'a pas reçu son argent et qu'il a toujours droit au paiement. Même si vous pouvez prouver que vous avez été victime d'une fraude, vous devez encore payer.
Il y a ensuite les factures envoyées "au hasard" pour une commande qui n'a jamais été passée ou un service qui n'a jamais été fourni, dans l'espoir que l'entreprise paiera. Ces"factures fantômes" paraissent souvent très crédibles, par exemple parce qu'elles contiennent un logo que vous reconnaissez sur d'autres factures. De cette manière, une facture supplémentaire n'est pas très visible.
La fraude à l'acquisition se produit aussi régulièrement. Il s'agit d'un cas où il est indiqué en petits caractères qu'il s'agit d'une offre jusqu'à ce que vous payiez. Il s'agit généralement de montants plus faibles, afin de rester dans les limites de tolérance, ou d'entrer dans un processus moins contrôlé. Pour les petits montants, il est souvent trop fastidieux de rechercher l'identité de l'acheteur - qui n'est évidemment jamais retrouvé - et il est plus rapide et moins coûteux de payer.
Il y a aussi les factures dont vous n'êtes pas sûr qu'elles n'ont pas été payées, sciemment ou non. Prenons l'exemple d'une facture dont le délai de paiement est dépassé depuis longtemps et dont le montant n'a toujours pas été transféré. Si la facture a été envoyée par courrier postal ou électronique, le destinataire peut toujours nier l'avoir reçue. En tant qu'expéditeur de la facture, vous n'avez alors souvent pas d'arguments à faire valoir. Le supplément pour frais administratifs est souvent omis pour des raisons de commodité et pour maintenir une bonne relation.
Livre blanc
Pourquoi la facturation électronique rend votre processus de traitement des factures beaucoup plus sûr ?
AVG
Si vous traitez des factures contenant des données personnelles, vous devez, en tant qu'organisation, vous conformer au règlement général sur la protection des données (RGPD) et donc traiter ces données avec soin. Si vous envoyez une facture par courrier électronique, il est facile de faire une erreur de frappe et ces données se retrouveront chez la mauvaise personne.
Même si vous transmettez une facture reçue pour vérification, vous courez le risque que l'e-mail parvienne à la mauvaise personne. Bien entendu, l'impact d'une telle violation de données dépend de la sensibilité de ces données. Prenons l'exemple d'un établissement de soins de santé qui inclut des données sur les patients dans la facture. Ces données de facturation n'étant pas publiques, il n'est pas souhaitable qu'elles soient divulguées. L'expéditeur et le destinataire des factures ont tous deux une responsabilité à cet égard.
Des personnes non autorisées ont-elles accès aux données ?
Qu'il s'agisse de données personnelles ou de données professionnelles (critiques), vous ne voulez pas qu'elles soient facilement accessibles. Qu'il s'agisse de personnes non autorisées en externe ou en interne.
Pouvez-vous l'éviter ? Peut-être pas à 100 %, car de nouvelles méthodes de fraude apparaissent sans cesse. Toutefois, si les données sont bien protégées et que tous les membres de l'organisation sont conscients des risques, vous pouvez minimiser la fraude. Vos systèmes sont-ils correctement sécurisés ? Avez-vous une politique en matière de mots de passe ? Tout le monde est-il conscient qu'il ne faut pas se contenter de cliquer sur les liens contenus dans les courriels ?
L'alarmisme ?
Non, la prise de conscience. Soyez conscient des risques et repensez vos processus en gardant cela à l'esprit. Votre service traite-t-il les données (financières) en toute sécurité ou y a-t-il encore du travail à faire ? Et rassurez-vous, vous n'avez pas à réinventer la roue : lisez nos conseils pour un service financier sécurisé.
Jan Willem ter Steege
Directeur général