Les mécanismes d’authentification forte mis en œuvre par les établissements bancaires suite à la transposition en droit français de la directive européenne concernant les services de paiement dans le marché intérieur “DSP2“ a permis de réduire ces fraudes.
Cependant, alors que la digitalisation des paiements s’accélère et que la sécurisation des moyens de paiement se renforce, les tentatives de fraudes bancaires persistent et évoluent.
Afin de contourner les procédés d’authentification forte, les fraudeurs s’adaptent et utilisent désormais de nouveaux procédés, basés sur des techniques de manipulation, en mettant en confiance leurs interlocuteurs pour les inciter à communiquer des données confidentielles d’identification à leurs espaces bancaires en ligne ou de leurs moyens de paiement, ou encore à initier ou valider des opérations de paiement frauduleuses.
Quelles sont les principales fraudes auxquelles les entreprises sont exposées ?
Les “fraudes au dirigeant“ ou encore celles réalisées par des procédés frauduleux d’hameçonnage par e-mail (“phishing“), par SMS (“smishing“) ou plus récemment par de faux conseillers bancaires (“spoofing“), n’épargnent pas les entreprises et ce pour des montants parfois conséquents.
Le mode opératoire utilisé par les fraudeurs dans les cas de “fraudes au président“ est toujours le même : le fraudeur parvient à se faire passer pour le dirigeant de la société, l’avocat ou l’expert-comptable de celui-ci et contacte le service comptable d’une entreprise cible. Après quelques échanges destinés à instaurer la confiance avec le comptable, le fraudeur demande que lui soit communiqué le solde des comptes, puis que soit initié, par le comptable directement, un ou plusieurs virements européens ou internationaux non planifiés au prétexte d’une opération urgente et confidentielle liée dans la majorité des cas à un prétendu rachat de société.
Dans les hypothèses d’hameçonnage (“phishing“ ou “smishing“) les fraudeurs tentent, par l’envoi d’e-mail ou de SMS, de collecter des données confidentielles. L’e-mail et le SMS frauduleux en question imitent ou reproduisent le logo d’une banque, d’un organisme public ou de tout autre prestataire de services connu et incite son destinataire à communiquer ses identifiants et mot de passe confidentiels permettant de se connecter à son espace bancaire en ligne ou encore à divulguer les données confidentielles de sa carte bancaire (numéro, date de validité, cryptogramme visuel).
Une fois cette collecte de données confidentielles réalisée, le fraudeur dispose des éléments requis pour utiliser à distance les moyens de paiement de l’entreprise ou de son dirigeant et initier des virements ou des paiements frauduleux.
Le procédé est similaire dans les cas de fraudes aux faux conseillers bancaires (“spoofing“) qui se répandent actuellement. Une personne se faisant passer pour un conseiller bancaire appelle (le numéro qui s’affiche peut être celui de l’établissement bancaire) pour alerter son interlocuteur sur des opérations qu’il qualifie “d’anormales“. Prétendant devoir annuler ces opérations ou procéder à des vérifications, il sollicite de son interlocuteur qu’il valide directement sur son téléphone une opération au profit de l’escroc ou communique des informations confidentielles lui permettant d’initier des paiements frauduleusement.
Quelles actions mettre en œuvre pour s’en prémunir ?
La lutte contre la fraude bancaire implique une vigilance renforcée des utilisateurs de moyens de paiement. Les entreprises doivent à cette fin et en premier lieu sensibiliser leurs collaborateurs. La formation des comptables et de tous collaborateurs disposant d’accès aux comptes ou aux moyens de paiement de la société est essentielle puisque ces derniers sont les premières cibles de ces fraudes.
L’objectif est de créer quelques automatismes : analyser la provenance et le contenu de l’e-mail ou du message reçu, ou encore rappeler aux collaborateurs que les banques ne sollicitent jamais de leurs clients la communication de leurs identifiant/mot de passe ni des données d’une carte bancaire (qui sont des données strictement confidentielles) et ne demandent pas davantage de valider une opération quelle qu’elle soit, et a fortiori une opération qui n’a pas été initiée par le titulaire du compte ou la personne habilitée à le faire fonctionner.
La sécurisation des paiements au sein de l’entreprise nécessite également la mise en place d’une procédure de validation des opérations de paiement : validation systématique par le dirigeant ou un responsable des ordres de virement supérieurs à un montant déterminé en interne, autorisation préalable obligatoire pour tout virement externe, vérification via des sources fiables de l’identité de tout nouvel interlocuteur, client ou fournisseur.
La consultation régulière du solde des comptes et des opérations enregistrées au débit permettra également au dirigeant de déceler une opération frauduleuse et d’y mettre un terme en mettant notamment les moyens de paiement en opposition immédiatement ou en modifiant les codes confidentiels de connexion à l’espace bancaire en ligne.
Enfin, il est essentiel de se tenir informé de l’évolution des techniques de fraudes et de l’apparition de nouveaux procédés en consultant les communiqués diffusés par les banques et la Fédération bancaire française sur leurs sites internet respectifs. Cette dernière a d’ailleurs publié en juin 2023 un mini-guide dédié à cette thématique. Didactique et concret, il permettra aux utilisateurs de moyens de paiement d’appréhender cette problématique et d’adopter les bons réflexes.
