BlogArticleCyberattaques : 3 étapes pour sécuriser vos dépenses d’entreprise en ligne

Cyberattaques : 3 étapes pour sécuriser vos dépenses d’entreprise en ligne

https://a.storyblok.com/f/146026/433x433/1a367dc2fe/gabriel-boccara-freelance-writer.jpeg
Gabriel Boccara

Publié le 10 mai 2019

Gestion des dépensesCarte de paiementSécurité
edit-imgArticle
9min environ
cyberattaque-trois-astuce-securite-article

Si de plus en plus de solutions innovantes proposent une expérience totalement dématérialisée, les fraudes suivent la même courbe ascendante et se révèlent de plus en plus complexes et efficaces. Face à cette inquiétante tendance, la cybersécurité est devenue une dimension incontournable pour préserver l’intégrité financière des individus et des entreprises.

Ces dernières représentent inévitablement une cible idéale pour les cybercriminels : les opportunités de repérer et d’exploiter une faille sont nombreuses et les montants récoltés peuvent atteindre plusieurs millions. Dans ce contexte sécuritaire tendu, les paiements en ligne représentent une aubaine pour les hackers qui n’ont que peu d’effort à fournir, pour obtenir des butins conséquents.

Les entreprises françaises sous-estiment l’importance de la cybersécurité

En avril 2019 sortait le cinquième baromètre annuel des fraudes visant les entreprises, réalisé conjointement par l’association des directeurs financiers (DFCG) et l’assurance Euler-Hermes. Selon cette étude, 70% des entreprises françaises ont été victimes, d’au moins une tentative de fraude en 2018 tandis que 60% d’entre elles, n’ont toujours pas alloué de budget pour lutter contre la cybercriminalité. Paradoxalement, 69% de ces entreprises estiment que leur dispositif de cybersécurité est satisfaisant et deux tiers n’ont pas estimé nécessaire de s’assurer contre le risque de fraude. Des statistiques inquiétantes qui témoignent d’un phénomène de mésestimation du potentiel nuisible de la cybercriminalité, majoritairement présent dans les PME et les ETI.

Ce même baromètre a pu mettre en lumière que les fraudes aux faux-fournisseurs tenaient la première place (47%) des fraudes identifiées au sein des 336 entreprises interrogées. Elles consistent à se faire passer pour un fournisseur dans le but d’obtenir le paiement de factures, souvent réellement émises par le vrai fournisseur. Viennent s’ajouter à ce risque, les tentatives de phishing et de ransomware. Afin de ne pas sombrer dans la paranoïa et de retrouver un minimum de sérénité au sein des bureaux, il est devenu indispensable pour les entreprises d’adopter les bons réflexes pour sécuriser leurs paiements en ligne et pour réagir intelligemment et efficacement en cas de menace avérée.

Sensibiliser ses collaborateurs à la cybersécurité

De nombreuses solutions de cybersécurité innovantes et créatives voient le jour chaque année. Qu’elles soient développées par des éditeurs de logiciel, des entreprises de services numériques (ESN) ou des start-ups, la cybersécurité représente un marché en évolution de 10% par an. Pourtant, dans 56% des cas, les tentatives de fraude sont déjouées par la réaction ou l’initiative personnelle d’un collaborateur. Éduquer ses employés aux enjeux de cybersécurité permet donc de dresser un premier rempart contre la cybercriminalité car si les pare-feux et antivirus font offices de porte blindée, cette dernière ne sera d’aucune utilité dans le cas où un employé ouvre la porte pour une raison ou une autre, laissant la menace s’infiltrer.

formation-dangers-cyberattaques

Présenter les risques

Formations, conférences, salons ou même e-Learning, tous les moyens sont bons pour que les entreprises transforment l’ensemble de leurs salariés en experts sur les risques engendrés par la recrudescence de la cybercriminalité. En plus d’aborder les notions théoriques, il est important de s’appuyer sur des cas réels, afin que chacun puisse se projeter et identifier précisément les actions du quotidien susceptibles de faire apparaître une faille dans la sécurité informatique de l’entreprise. Mais les risques digitaux ne sont pas les seuls à menacer l’écosystème financier d’une société, avec le développement du système “sans-contact” des cartes bancaires, le risque s’étend tout aussi bien à la dimension physique. Selon un vieil adage, les voleurs ont toujours une longueur d’avance sur les autorités. Aux entreprises de faire en sorte, à défaut de pouvoir anticiper des actions malveillantes, que les collaborateurs puissent au moins être au courant des méthodes d’extorsion, “à la mode”.

Inculquer les bons réflexes

Certains réflexes s’acquièrent fatalement avec le temps et l’expérience. Comme demander une confirmation au service concerné lors de la réception d’une facture incertaine ou passer un coup de téléphone rapide à un fournisseur en cas de doute. En revanche, d’autres réflexes sont moins naturels, bien que tout aussi simples, et se doivent d’être transmis car ils peuvent faire toute la différence entre une tentative de fraude et une fraude réussie :

  • Apprendre à identifier un site de paiement sécurisé (https).

  • Éviter de laisser une trace écrite de codes confidentiels, sur papier ou sur un téléphone.

  • Faire les mises à jour proposées par les équipements.

  • Prévenir les services comptables lorsqu’un paiement douteux a été effectué.

  • Favoriser les outils de paiement sécurisés comme les cartes bancaires à usage unique.

L’un des réflexes les plus importants à inculquer à ses collaborateurs consiste à toujours garder une trace écrite d’une fraude, ou même d’une tentative, afin de la diffuser en interne. Cela permet à l’ensemble de l’entreprise d’identifier la menace et de l’éviter lorsqu’elle se présentera de nouveau. Porter plainte est également indispensable car cela permet aux autorités de repérer de nouvelles menaces et de gagner en efficacité pour le futur.

Choisir les bons outils

La dématérialisation est un phénomène qui touche chaque année, de plus en plus de dimensions de notre quotidien. Si les paiements en ligne ont longtemps été ignorés par les plus sceptiques, il est désormais clair que cette pratique est rentrée dans les mœurs. Bien que loin d’être dénuée de risques de fraudes, notamment à cause de la carte physique, qui était jusqu’à récemment, indispensable. Aujourd’hui, des solutions de cartes dématérialisées comme Spendesk existent, et elles présentent un avantage révolutionnaire : pour chaque transaction, un numéro temporaire de carte bancaire est généré, réduisant considérablement le risque de fraude.

outils-pour-securite-paiements

Pour aller encore plus loin, certaines cartes bancaires proposeront bientôt une fonction “biométrique”, ajoutant une notion de sécurité supplémentaire à l’acte d’achat en ligne, destinée aux plus dubitatifs vis-à-vis des paiements dématérialisés.

Créer une stratégie de cybersécurité afin de minimiser les risques

Comme précisé en première partie d’article, le baromètre des fraudes visant les entreprises a mis le doigt sur une problématique à large échelle. Les entreprises ne prennent pas encore totalement au sérieux les nombreux enjeux liés à une bonne stratégie de cybersécurité. Sensibiliser ses employés en fait d’ailleurs partie, mais cela ne s’arrête pas là. Pour rassurer un maximum les services financiers de l’entreprise, il est important d’établir une stratégie complète d’anticipation des risques, mais aussi de résolution de ces derniers.

Impliquer différents services dans sa réalisation

Les chartes informatiques partagent une caractéristique flagrante avec les règlements intérieurs des institutions scolaires : elles sont très peu lues. Pourtant, dans le cadre de la cybersécurité, réaliser un recueil d’obligations et de bonnes pratiques se révèle indispensable à l’établissement d’une bonne stratégie pour contrer les fraudes. Dans le meilleur des cas, si l’entreprise est dotée d’un Chief Information Security Officer (CISO), ce sera son rôle de la rédiger. Mais en considérant que ce poste n’a été créé que dans la moitié des entreprises françaises, il arrive que cette mission incombe au service informatique.

La direction informatique, bien qu’aux faits des aspects techniques liés aux fraudes, ne disposent pas systématiquement des informations liées aux usages des équipements informatiques de l’entreprise. Pour qu’une stratégie de cybersécurité soit efficiente, elle se doit d’être construite en collaboration avec les services financiers. Cela afin d’identifier dans quels cas précis, il est nécessaire d’imposer une procédure aux employés, pour supprimer tout risque de fraude interne ou externe. Le département des ressources humaines peut également être intégré à l’exercice pour les questions liées aux notes de frais par exemple.

Intégrer une cartographie des risques liés aux opérations financières

Pour éviter toute incompréhension, il est indispensable de lister toutes les opérations financières susceptibles d’être effectuées par un collaborateur et de les hiérarchiser en fonction de leur niveau de risque. Pour chaque niveau de risque, une procédure sécurisée en proportion doit être communiquée afin de s’assurer que l’on s’approche du risque zéro. Bien entendu, en fonction des outils utilisés, les niveaux de risques peuvent être différents d’une entreprise à une autre, rendant chaque cartographie des risques, unique. Pour une entreprise utilisant des cartes bancaires traditionnelles dont les numéros sont communiqués aux employés susceptibles de faire des achats, le paiement en ligne présentera un risque fort étant donné la possibilité que ces numéros tombent dans de mauvaises mains. En revanche, si une entreprise utilise des cartes bancaires dématérialisées à usage unique, alors le paiement en ligne sera cartographié comme présentant un risque faible.

paiement-virtuel-securite-basse

Prévoir un plan d’urgence / plan B

Certes, mieux vaut prévenir que guérir. Cependant, le risque zéro n’existe pas et une bonne stratégie de cybersécurité doit comprendre un plan d’urgence, dans le cas où une fraude aurait été détectée - ce qui est déjà une bonne chose car, dans certains cas, repérer une fraude peut prendre plusieurs semaines et l’argent se trouve déjà loin. Pour ne pas se retrouver démuni face à une fraude avérée et faire en sorte qu’elle ne se transforme pas en crise totale, quelques démarches et automatismes doivent être engagées :

  • Détecter la faille en question et la sécuriser, afin d’éviter les risques de récidive,

  • Reporter les paiements à venir et organiser un check-up du système informatique, car si une attaque est passée, il est possible que d’autres aient pu en profiter,

  • Enquêter sur les raisons de cette faiblesse dans le système de cybersécurité afin d’éviter de commettre deux fois la même erreur.

Etablir une politique de dépenses

En plus de garantir des dépenses raisonnables, associer à sa stratégie de cybersécurité, une politique de dépenses renforce notablement la quiétude financière d’une entreprise, en instaurant une culture relative aux dépenses professionnelles.

Pour éviter de frustrer des employés avec des interdictions et des restrictions, il est préférable de les responsabiliser, dans le but de ne pas rajouter un stress supplémentaire aux collaborateurs. En termes de forme, il faut éviter d’intégrer directement des textes de loi mais plutôt simplifier un maximum le discours, en adoptant un ton positif et en structurant les différentes catégories (missions à l’étranger, indemnités kilométriques, déjeuners d’affaires, etc). Afin de conserver un bon équilibre dans l’entreprise, il est important que cette politique de dépenses soit généralisée à toutes les strates de la hiérarchie. Spendesk permet d’intégrer en toute simplicité une politique de dépense à son entreprise, paramétrable à tout moment par les services financiers de l’entreprise.

Pour renforcer la sécurité de vos paiements en ligne, pensez à la digitalisation

L’apparition du paiement en ligne a complètement bouleversé nos habitudes et notre façon de faire du commerce. Mais cela a également permis à des individus malintentionnés de profiter d’un nouveau canal pour extorquer de l’argent aux entreprises, que ce soit à travers le phishing ou l’usurpation d’identité. Il faut être conscient que, pour un hacker, une opération réussie se définit par un minimum de travail pour un maximum de gain. Il est donc logique qu’ils ciblent directement les flux financiers dirigés vers l’extérieur, comme le paiement en ligne, en exploitant des potentielles erreurs humaines d’inattention ou de naïveté. Pour se prémunir contre ces attaques, un bon travail de sensibilisation, des outils adaptés et un règlement pragmatique restent les armes les plus efficaces.

Les cartes virtuelles à usage uniques proposées par Spendesk, sont générées en temps réel depuis la plateforme. Une fois l'achat effectué, elles sont détruites, empêchant ainsi tout piratage. Mais ce n’est pas encore la fin des cartes bancaires physiques, c’est pourquoi les cartes Spendesk sont elles aussi protégées, en étant plafonnées et en pouvant être suspendues en un instant depuis la plateforme par le collaborateur ou son administrateur.

Afin d'assurer un niveau de sécurité encore plus élevé, Spendesk a également développé une fonctionnalité 3D Secure. Vos paiements en lignes n'ont jamais été aussi protégés. Vous pouvez alors être serein, garder le contrôle, pendant que vos collaborateurs sont autonomes pour gérer leurs dépenses. Découvrez vite notre solution pour révolutionner et sécuriser toutes vos dépenses d'entreprise !

demonstration - spendesk - équipes finance - outil financier - gestion des dépenses d'entreprise