> Le DAF face aux fraudes
Face à des menaces graves et précises, et une grande diversité de leurs modes opératoires, le DAF ne peut pas rester seul. La dynamique de la lutte contre les fraudes se partage ou, mieux encore, elle se transmet.
1 entreprise sur 3 a subi au moins 1 fraude avérée en 2017, contre 1 sur 5 en 2016 : la fraude reste l’un des principaux risques encourus par les entreprises. Ses modes opératoires passent de plus en plus par internet, qu’il s’agisse d’une action directe – tentative d’extorsion par ransomware par exemple, ou combinée – les fraudeurs s’introduisent dans les systèmes d’information, et recueillent les informations nécessaires à construire un scénario crédible d’usurpation d’identité qui associera téléphone, mails, fraude documentaire…
Selon le baromètre Opinion Way du Cesin (Club des Experts de la Sécurité de l’Information et du Numérique) de janvier 2018, 79 % des entreprises ont subi au moins une cyber-attaque au cours des 12 derniers mois. Dans près d’un cas sur deux, les attaques ont entraîné des conséquences directes sur l’activité de l’entreprise : indisponibilité du site Internet, arrêt de production, perte de chiffre d’affaires, retard de livraison…
« Pour la première fois, les interruptions d’activité et les incidents cyber sont au coude à coude dans le Baromètre des risques AGCS (Allianz Global Corporate & Specialty), et ils sont de plus en plus interdépendants, déclare son PDG Chris Fischer Hirs. Qu’ils soient dus à des attaques comme celle de WannaCry, ou aux défaillances de systèmes, les incidents cyber sont une cause majeure d’interruption d’activité pour les entreprises, toujours plus en réseau, dont les principaux actifs sont souvent les données, les plateformes de services ou encore leurs clients et leurs fournisseurs. »
Au-delà de la dimension cyber, la fraude classique continue à exister, sous des formes extrêmement variées, en interne comme en externe. Parmi elles, la fraude au faux fournisseur connaitrait actuellement la faveur des escrocs. Faisant croire à un changement de domiciliation, elle consiste à détourner les règlements destinés à un fournisseur vers un compte bancaire frauduleux… jusqu’à ce que le vrai fournisseur réclame son dû, ne voyant rien venir !
Faux président, faux client, faux avocat, faux fonctionnaire du fisc ou des caisses sociales, et des faux documents plus beaux que des vrais : côté fraudeurs, l’imagination est au pouvoir. Pour les DAF et leurs équipes, il n’y a pas de place à l’improvisation ; à eux de vérifier et consolider les procédures de vérification, de règlement, d’intervention sur les coordonnées bancaires des tiers, etc.
Le DAF ne peut pas protéger l’entreprise à lui tout seul. D’après l’enquête PwC de 2017, en matière de performance et de maîtrise des risques, deux-tiers des directeurs financiers (67%) souhaitent aujourd’hui améliorer le partage d’information entre équipes, et 41% s’assurer de l’appropriation des dispositifs de contrôle interne par tous les opérationnels. On ne peut que leur donner raison, tant le facteur humain constitue souvent la source numéro un du risque.
« L’étude 2018 Allianz Trade-DFCG montre que c’est le collaborateur, dans une réaction ou une initiative personnelle qui, dans un cas sur deux, a permis déjouer les tentatives de fraude externe » remarque Bruno de Laigue, Président de la DFCG. « Les procédures de contrôle interne n’arrivent qu’en seconde place bien qu’elles aient une part de plus en plus importante pour déjouer la fraude. Arrivent encore loin derrière les dispositifs de sécurité des systèmes d’information. Ces chiffres appellent clairement à continuer d’investir sur l’intelligence des collaborateurs, tant par la sensibilisation que par les procédures, mais tout autant à investir massivement en sécurité IT. »
Il reste beaucoup à faire ; selon le baromètre Cesin/OpinionWay, 73% des responsables de la sécurité des systèmes d’information pensent que les salariés sont plutôt bien sensibilisés aux risques mais demeurent peu proactifs ; 62% des entreprises ont donc mis en place des procédures de vérification du respect des recommandations par les salariés.
Il faut également se former à réagir si un sinistre survient malgré toutes les précautions. Les tests grandeur nature constituent un excellent moyen de vérifier que les procédures de sécurité fonctionnent, que les réactions des collaborateurs sont les bonnes. Pour renforcer la cyber-sécurité, la DFCG, le Cigref, l’INHES (Institut national des hautes études de la sécurité et de la justice) proposent par exemple des formations labélisées par l’ANSSI (Agence nationale de la sécurité des systèmes d’information), qui comportent des exercices de gestion de crise.
Autant d’initiatives, autant d’actions à entreprendre pour réussir à créer une véritable culture du risque à tous les échelons de l’entreprise. Une culture qui se transmettra aux nouveaux collaborateurs, jusqu’à intégrer leur ADN professionnel.