Embed Size (px)
Citation preview
Sécurité, Banque et Entreprises
Prévention des risques de fraudes
Les moyens modernes de communication et les systèmes informatiques des entreprises actuelles permettent une recrudescence des fraudes de toute nature : escroqueries, abus de confiance, détournement d’actifs. Les fraudeurs usent d’artifices de plus en plus sophistiqués pour réunir les informations déterminantes et nécessaires à leur scénario. Leur but est d’émettre des virements frauduleux, le plus souvent à l’international. Les banques ont été les premières visées par ce type de fraude et constatent aujourd’hui un report important de ces tentatives sur les entreprises. Dans ce contexte, Arkéa Banque Entreprises & Institutionnels a la volonté de sensibiliser et d’informer ses clients.
Les mesures de prévention des fraudes .........................
Scénarios et exemples de fraudes .................................
Les critères d’alerte et les 7 règles d’or de la sécurité ...........
Que faire en cas de tentative réussie ? ...............................
Sécurité, banque et entreprises Prévention des risques de fraudes
Les mesures de prévention des fraudes Sécuriser vos processus et vos outils de sortie de fonds• Formaliser et automatiser vos processus.• Sécuriser les connexions aux outils informatiques dédiés.• Contrôler les accès aux données sensibles.• Limiter les personnes habilitées à ces outils.• Séparer les missions de vos collaborateurs en leur affectant des droits
distincts (saisie et validation des virements).• Effectuer régulièrement des contrôles internes.
Sécuriser les échanges avec votre banque• Respecter les procédures formalisées par votre partenaire bancaire.• Adopter les moyens d’échanges dématérialisés afin de limiter les virements
à haut niveau de risque (papiers et fax).• Privilégier les échanges avec vos contacts habituels et/ou effectuer des contre
appels.• Informer votre banque, en face à face, des personnes autorisées à effectuer les
opérations bancaires (modèle de signature, nom, coordonnées…).• Utiliser les outils de sécurité proposés par votre banque (Virtualis…).
3/44/5
67
Au moindre doute, contactez votre interlocuteur habituelau sein d’Arkéa Banque Entreprises et Institutionnels.
2 3
4
• Une fois le dossier constitué, le fraudeur lance l’attaque par e-mail (mail-phishing) ou en téléphonant à un collaborateur de la société en charge des sorties de fonds. Se faisant passer pour un dirigeant de la société, il explique avec assurance et autorité pouvant même aller jusque l’intimidation, l’urgence de réaliser un virement à l’étranger dans le cadre d’une affaire confidentielle.
• Une fois cet appel téléphonique passé, l’employé reçoit généralement les instructions par courriel voire même sur son téléphone portable personnel.
4 autres exemples de fraudes :• Mail-phishing : vous recevez un e-mail, dans lequel il vous est demandé
de « mettre à jour » ou de « confirmer suite à un incident technique » des données, notamment bancaires. Cette demande peut transiter par une invitation à se connecter en ligne par le biais d’un lien hypertexte sur un site falsifié ou un formulaire de saisie copie « conforme » du site original.
• Virements SEPA : sous le prétexte d’une mise à jour du paramétrage des nouveaux protocoles européens, un fraudeur se faisant passer pour un informaticien parvient à vous convaincre de vous connecter sur un site dédié dont la page d’accueil affiche le logo de la société ciblée. Cette opération permet de prendre le contrôle de l’ordinateur à distance et d’émettre des virements.
• Malware, spyware : un logiciel malveillant, s’installe à l’insu de l’utilisateur sur un ordinateur non protégé (ou mal protégé), lors de l’ouverture d’un e-mail frauduleux ou par téléchargement lors de la visite d’un site web. Ce virus permet au fraudeur d’avoir connaissance de (presque) tout ce qui se passe sur l’ordinateur contaminé.
• De faux ordres de virement ou de fausses factures sont envoyés par fax ou par courrier aux sociétés ciblées, ou aux banques des sociétés ciblées. Ces documents sont falsifiés et comportent une copie du logo et des signatures.
Ces types de fraude constituent un danger croissant car la qualité et la précision de ces contenus tendent à s’améliorer significativement : moins de fautes d’orthographe, une syntaxe qui progresse, des arnaques plus pertinentes, une imitation de la communication des sociétés de plus en plus crédible.
Scénarios et exemples de fraudes Zoom sur la fraude par « ingénierie sociale » ou « fraude au président » : manipulation des personnes afin de faire exécuter des opérations
Les grandes lignes sont les suivantes :• Le fraudeur constitue un dossier « social engineering » de la société ciblée
(KBis, endettement, statuts constitutifs, comptes annuels, logo de la société, effectif, culture de l’entreprise… ) dans le but d’obtenir un maximum d’informations y compris concernant les dirigeants.
Informer vos collaborateurs• Sensibiliser les collaborateurs sur les différents scénarios possibles
de fraude.• Systématiser la connaissance des fournisseurs, clients et partenaires.• Autoriser l’esprit critique de vos collaborateurs.• Faciliter l’échange avec la hiérarchie.• Encourager les bonnes initiatives et les acteurs ayant déjoué une tentative.
Limiter la diffusion de l’information• Interdire la diffusion d’informations sensibles sur les réseaux sociaux
par les collaborateurs.• Vérifier les informations diffusées sur les sites internet de la société.• Limiter l’accès aux documents sensibles (modèles de fax, documents
contenant les modèles de signatures des dirigeants…).• Conserver la confidentialité des signatures manuscrites des dirigeants.
5
Les critères d’alerte et les 7 règles d’or de la sécurité de vos opérations
En cas de contact téléphonique ou par e-mail par une personne que vous ne connaissez pas mais se présentant comme étant un collaborateur de votre société et/ou en cas de doute sur son origine :
• Être sûr de l’identité de votre interlocuteur en vérifiant son authenticité auprès de vos interlocuteurs habituels.
• Utiliser les adresses habituelles de votre répertoire (e-mail, fax, téléphone).• Ne pas cliquer sur les liens internet contenus dans un courriel douteux.• Vérifier que vous êtes bien sur un site sécurisé « https ».• Ne pas divulguer vos identifiants ou vos mots de passe.• Ne pas communiquer les noms et coordonnées des collaborateurs ayant
déposé leurs pouvoirs et signatures.• Ne pas transmettre de données sensibles (mise à jour de données adminis-
tratives, vérification des moyens de paiements, déblocage de carte).
CRITÈRES D’ALERTE
Que faire en cas de tentative réussie ?
Si une tentative de fraude s’avère avoir fonctionné, les mesures de protection à prendre immédiatement sont de :
Détecter et déjouer les tentatives de fraudes c’est :• Respecter strictement vos procédures internes. • Faire preuve d’une vigilance constante. • Favoriser une communication régulière entre vos salariés.
• Demander le blocage des fonds le plus vite possible auprès de votre banque.• Déposer plainte auprès de la police locale. • Aviser par téléphone la division économique et financière du Service Régional de
Police Judiciaire et déposer plainte auprès de ce service. Le SRPJ s’organisera pour contacter la police locale en cas de virement à l’étranger afin de faciliter le gel des fonds et l’identification du titulaire du compte destinataire.
Demande de confidentialité
Aplomb de l’interlocuteur
Usage d’autorité
Pression, intimidation
Opération exceptionnelle
Connaissance pointue de l’entreprise
Demande urgente
Non-respect des procédures habituelles
Même en cas de tentative non réussie : relever les numéros et heures d’appel du fraudeur, garder les e-mails frauduleux, conserver les enregistrements des appels s’ils existent, demander l’extraction de la source (en-tête) de ces e-mails, déposer plainte directement au SRPJ.
123
Au moindre doute, contactez votre interlocuteur habituelau sein d’Arkéa Banque Entreprises et Institutionnels.
6 7
Société anonyme à Directoire et Conseil de surveillance au capital de 830 000 000 euros, banque et courtage d’assurances (N° ORIAS : 07 026 594) RCS BREST 378 398 911. Siège social : Allée Louis Lichou - 29480 Le Relecq-Kerhuon.
Adresse postale : Immeuble Le Sextant - 255 rue de St Malo - CS 21135 - 35011 Rennes Cedex.
Mar
s 20
16 -
Cré
dits
pho
tos
: IS
tock
Améliorons ensemble notre sécurité en adoptant les bonnes pratiques !
