Face à l’accélération des attaques, les DAF se mettent en ordre de marche, mais restent confiants. Néanmoins, des failles subsistent concernant la sécurité des virements ainsi que l’identification et l’authentification électronique Sécurité des virements et prévention de la fraude : où en sont les entreprises ?
Sage, leader du marché des solutions intégrées de comptabilité et de paie,a mené l’enquête auprès de 500 Décideurs Administratifs et Financiers (DAF). Ce « Baromètre Sage 2016 des Directeurs Financiers : sécurité des virements et prévention des fraudes », fait un état des lieux sur la façon dont ces derniers gèrent la sécurité des virements et la prévention de la fraude au sein de leurs organisations.
62% des entreprises ont déjà subi au moins une tentative de fraude
Ces dernières années, le nombre de cyberattaques recensées dans le monde a augmenté tant en termes de fréquence, que de gravité et d’impact. La France est particulièrement concernée. 62% des entreprises interrogées ont déjà subi au moins une tentative de fraude (dont 12% ont subi 5 tentatives de fraude et plus). Parmi elles, 80% ont été victimes d’une fraude au virement du président, 18% d’une fraude dite du « test bancaire » et 14% d’une fraude interne, comme la modification d’un RIB par exemple.
La majorité des DAF pensent que la fraude est avant tout d’origine externe (73%), mais ne négligent pas pour autant le risque interne. D’ailleurs, si ceux n’ayant jamais été victimes d’une tentative de fraude redoutent avant tout la fraude au virement du président (54%), ils craignent également la fraude interne comme la falsification des RIB (50%), loin devant la cyberattaque des données financières (27%) et la fraude dite du « test bancaire » (22%).
Trois quart des DAF s’estiment protégés contre la fraude aux virements…
Toutefois, les DAF restent confiants face à ce phénomène, puisque 74% s’estiment protégés contre la fraude aux virements. 84% ont mis en place des procédures internes de sécurisation des paiements. Les principales sont : la séparation entre la saisie des paiements et l’exécution des ordres (57,7%), la définition des pouvoirs bancaires (55,5%) et la double signature (44,2%).
87% des DAF estiment que ces procédures internes sont pleinement respectées et 11% estiment qu’elles le sont partiellement. D’ailleurs, 61% ont déjà déjoué une tentative de fraude, grâce à la vigilance des collaborateurs (83%) et au respect des procédures de contrôle interne (66%).
Pourtant une faille subsiste : la validation des virements par fax est encore utilisée par 30% des DAF
Les virements frauduleux sont l’une des attaques les plus coûteuses pour les entreprises. Une faille subsiste : la validation du virement par fax. Ce processus consiste, pour les entreprises, à valider leurs demandes par fax, après avoir transmis électroniquement leurs fichiers de paiement aux banques.
La France est l’un des rares pays européens à disposer de ce système archaïque et aisé à pirater. Si les DAF confirment majoritairement leurs demandes de virement auprès de leurs banques grâce aux outils mis à leur disposition par ces dernières, le fax reste encore utilisé par 30% d’entre eux.
Le CFONB (Comité Français d'Organisation et de Normalisation Bancaires) a recommandé l’abandon de ce fax de confirmation au plus tard le 31 décembre 2016. Les premières banques cesseront son utilisation dès le 31 décembre 2015, avec une date de fin prévue en décembre 2016, et le remplaceront par des solutions électroniques plus sécurisées : la mise en place de la signature électronique EBICS TS (Electronic Banking Internet Communication Standard) ou la validation sur les différents portails Web bancaires.
74% des DAF sont au courant de cette recommandation du CFONB et 84% ont réagi en changeant leurs procédures (69%%) ou en projetant de le faire dans les 6 prochains mois (15%).
Seuls 17% des DAF sont au fait des directives européennes du type eIDAS
Face au développement de l’économie numérique, les dispositifs pour aider les entreprises à se prémunir contre la fraude se multiplient.
La France n’est pas la seule à vouloir mieux protéger les entreprises. En effet, l’Union Européenne prépare, actuellement, une convergence des systèmes de sécurité, avec la réglementation eIDAS qui sera effective au 1er juillet 2016. Ce dispositif légal sur l’identification et l’authentification électronique prévoit la mise en place de multiples dispositifs. Les pays de l’Union Européenne devront reconnaître les moyens d’identification électronique des usagers venant d’autres Etats membres. eIDAS instaure également la création d’un cadre pour les Prestataires de Services de Confiance européens (« PSCO »). Leur reconnaissance mutuelle dans l’UE sera établie par leurs signatures et cachets électroniques garantissant la traçabilité, ainsi que des services de fourniture électronique et d'authentification de sites Web.
Seuls 17% des DAF sont au fait des directives européennes du type eIDAS. Si, comme constaté lors du passage au SEPA, les entreprises ne se sentent pas nécessairement concernées par ce type de règlementations jugées contraignantes, elles ont pourtant tout intérêt à s’y plier, pour rester dans la course du numérique et renforcer leur sécurité financière face à la menace de la cybercriminalité.