Recrudescence des fraudes, comment mieux se protéger ?

Chaque année apporte son lot de turbulences économiques et d’incertitudes sur la résilience des entreprises face à la montée des cyber-risques et des fraudes.

Une explosion des fraudes grâce à un terrain fertile

Deux entreprises françaises sur trois ont été victimes d’au moins une tentative de fraude en 2023 (dont la moitié liées à des cyberattaques), soit une progression de 28% en un an selon une étude menée par Opinionway / SAP-Trustpair auprès de 200 directions financières.

Le Cesin (Club des Experts de la Sécurité de l’Information et du Numérique) dans son baromètre de la cybersécurité ajoute pour sa part qu’une entreprise sur deux en France a dû gérer au moins une cyberattaque au cours de l’année 2023. Parmi les fraudes les plus courantes, on peut citer l’usurpation d’identité (30% des attaques), les arnaques au Président (28%), les attaques indirectes via des tiers (27%), et les transactions frauduleuses (18%). Ces dernières concernent essentiellement les fraudes au RIB (via le piratage d’e-mails) et aux faux fournisseurs, qui touchent un tiers des victimes toujours selon l’étude Opinionway/SAP-Trustpair.

Une complexité accrue

Ces fraudes ont explosé en raison du développement de la digitalisation des entreprises. La multiplication des transactions en ligne, les crises économiques, les failles de cybersécurité et la complexité des chaînes d’approvisionnement contribuent également à cette tendance.

Aucune entreprise n’échappe totalement au risque de fraude externe ou interne. En quelques années, cette dernière a profondément évolué, s’inscrivant désormais dans des dynamiques marquées par plusieurs tendances majeures :

1. la fraude pénètre plus loin dans les organisations: il ne s’agit plus seulement de subtiliser des données ou de détourner des fonds, l’objectif est d’aller au cœur des organisations pour toucher toutes les fonctions, à mesure que la digitalisation, la dématérialisation et la diversité des usages numériques irriguent tous les métiers et les collaborateurs.
2. la fraude se diversifie et n’épargne plus aucun secteur: on le voit avec les attaques qui touchent de plus en plus les collectivités locales ou les établissements de santé.
3. la fraude est plus ciblée: les fraudeurs se focalisent sur le ROI de leurs actions et sur des cibles susceptibles de générer un gain financier immédiat, en utilisant par exemple des ransomwares et du phishing.
4. la fraude est plus coûteuse: les entreprises doivent investir de plus en plus dans des solutions de sécurité efficientes, recruter les bonnes compétences, s’assurer et, surtout, couvrir les montants de fraude dont elles sont victimes. Même avec des cyber assurances, les montants sont significatifs, voire mettent en péril la pérennité des organisations.
5. la fraude est plus difficile à détecter: les fraudes reposent sur des modes opératoires très complexes : d’une part, parce que les fraudeurs ont une connaissance très fine des processus des entreprises qu’ils ciblent, on le constate, par exemple, avec les fraudes au Président qui poussent très loin la manipulation de leurs interlocuteurs. D’autre part, avec les progrès de l’intelligence artificielle, les fraudeurs peuvent personnaliser les e-mails pour usurper des identités ou lancer des opérations de phishing mais aussi réussir à leurrer les processus de contrôle internes ou falsifier des documents numériques.
6. La fraude attire davantage les professionnels de la fraude: dans la mesure où les gains financiers générés sont de plus en plus importants, il est logique qu’elles attirent des groupes organisés et professionnels, en particulier liés à la criminalité internationale, qui s’adapte en permanence aux opportunités.
7. La fraude se déclenche plus vite: dès qu’une faille est détectée, elle est immédiatement exploitée par les fraudeurs, qui parient sur la méconnaissance des victimes afin d’engranger un maximum de profit, surtout si les risques sont faibles. Et il existe, sur le Dark Web, de nombreux outils proposés pour faciliter la vie des hackers. Selon Interpol, « la technologie apparaît comme une accélératrice d’opportunités pour les groupes criminels. L’utilisation de l’intelligence artificielle, des larges modèles de langages et des crypto-monnaies rendent les fraudes exponentielles avec un faible investissement. »

Depuis plusieurs années, les transformations des modes opératoires des fraudes entraînent des conséquences concrètes pour les organisations victimes :

1. Des pertes financières directes ou indirectes: l’ACFE (Association of Certified Fraud Examiners)[1] estime que les entreprises perdent l’équivalent de 5% de leur chiffre d’affaires avec un coût moyen de 1,7 million de dollars. Dans l’étude Opinionway/SAP-Trustpair, une entreprise française sur deux a perdu en moyenne 50 000 euros par fraude.
2. Une dégradation de l’image de marque et de la réputation: à l’heure des réseaux sociaux et de la médiatisation des cyberattaques, les fraudes sont souvent révélées au grand public. Elles portent atteinte à l’image des entreprises victimes, on l’a vu, par exemple, avec le détournement de 100 millions d’euros qui a touché l’enseigne de grande distribution Kiabi et fait l’objet d’une large couverture médiatique mettant en évidence les lacunes du contrôle financier. L’impact médiatique se répercute également sur les clients, les actionnaires ou les investisseurs.
3. Des dysfonctionnements opérationnels: les fraudes perturbent le fonctionnement quotidien des organisations victimes, surtout lorsque des investigations sont nécessaires et que le système d’information n’est plus utilisable. Les cyberattaques constituent les premières causes de perturbations des systèmes d’information.
4. Des risques juridiques et réglementaires : les fraudes peuvent engager la responsabilité des dirigeants ou de l’entreprise en tant que personne morale, par exemple si les clients sont lésés. De même, les conséquences règlementaires (amendes, remise en conformité…) sont redoutées par quatre entreprises sur dix victimes de fraude selon l’étude Opinionway.

Parier sur l’automatisation et la surveillance en continu

Face à la prolifération, la complexité et la diversité des fraudes, comment réagir ? Trois principes fondamentaux s’imposent :

1. Élaborer des scénarios pour anticiper ce qui est le plus probable. Ils seront adaptés en fonction des métiers, des enjeux financiers, des typologies d’opérations suspectes potentielles et des processus existants. A chaque scénario sera associé un degré d’occurrence (de peu probable à très probable) et d’impact (faible à très élevé).
2. Savoir en permanence avec qui l’entreprise est connectée, qu’il s’agisse de ses clients, de ses fournisseurs/sous-traitants et de ses partenaires. C’est l’un des meilleurs moyens de prévenir des fraudes telles que les faux RIB et les faux fournisseurs.
3. Agir au plus vite en automatisant. On ne peut détecter, comprendre et réagir face aux fraudes en se reposant uniquement sur l’humain, même avec la meilleure sensibilisation. L’automatisation reste indispensable pour détecter plus vite les fraudes, repérer les signaux faibles, prendre en compte toutes les cibles potentielles et réagir en temps réel.

À ces trois commandements, on peut en ajouter un quatrième : s’équiper de solutions adaptées. En particulier AP Monitoring, qui répond à ces besoins fondamentaux :

– des scénarios facilement configurables, avec des règles pré-programmées qui peuvent se combiner avec des analyses comportementales,

– la détection des incohérences liées aux clients/tiers (changements d’adresses, de RIB, suivi des profils à hauts risques)

– l’analyse en temps réel des opérations suspectes et leur documentation (informations collectées, décisions prises, historique des alertes…) ainsi que tout autre anomalie ce qui permet d’identifier les fraudes avant qu’elles ne causent des dommages significatifs.

Il est ainsi possible, avec AP Monitoring, de lutter efficacement contre les fraudes, de manière proactive, tout en contribuant à maintenir sa conformité réglementaire !

Découvrez notre nouvelle solution très prochainement !