18 octobre 2022 Qui n’a jamais entendu parler de l’arnaque au Président, de fraude aux IBAN ou de fraudes internes ? La plupart du temps, ces escroqueries ont lieu dans des PME et des ETI n’ayant pas tous les degrés de validation que peuvent avoir les Grandes Entreprises (GE). Pourtant, même en PME, il est très simple de s’en prémunir, grâce à la mise en place du circuit de validation des IBAN. Explications. Petit rappel des 3 arnaques dont on parle Dans l’arnaque au Président, le fraudeur se fait passer pour le dirigeant de l’entreprise et demande au comptable de verser secrètement une somme importante sur un RIB qu’il fournit. Les échanges se font souvent par e-mail, parfois par téléphone dans les entreprises où le comptable peut ne pas connaître le dirigeant (société de taille plus importante ou tout simplement multisite). L’arnaqueur insiste sur l’urgence de la transaction et son caractère ultraconfidentiel, plongeant ainsi la victime dans une extrême solitude. Dans la fraude aux IBAN, l’escroc se fait passer pour un fournisseur par exemple et informe le comptable que son IBAN a changé. L’entreprise peut avoir été préalablement victime d’une campagne de phishing. Ainsi, l’arnaqueur a réussi à installer un logiciel espion à l’insu de l’entreprise, lui permettant de connaître les interlocuteurs de la société, qu’ils soient internes ou externes. Il peut identifier les noms des interlocuteurs chez les clients, les fournisseurs, les noms des salariés, etc. Il lui est alors très facile d’usurper leur identité ou d’imiter à la perfection leurs correspondances. Dans la fraude purement interne, qui est plus rare, un salarié malveillant remplace simplement un IBAN par le sien, que ce soit pour récupérer le remboursement des notes de frais, le paiement destiné à un fournisseur, etc. Quelques petits trucs qui doivent vous mettre la puce à l’oreilleTout d’abord, un changement de RIB n’est JAMAIS une urgence. Souvent, l’ancien RIB est encore actif, et sinon, vous pouvez toujours faire un chèque !Ensuite, les IBAN présentés par les arnaqueurs sont la plupart du temps de pays hors UE. Et lorsqu’ils sont de l’UE, ils proviennent de pays aux législations et aux contrôles plus laxistes, comme la Pologne, Chypre ou Malte. Alors, si l’IBAN commence par PL, CY ou MT, soyez vigilants. Et rappelez-vous que la prise de contact a souvent lieu à un moment charnière : à midi, pendant la pause, pendant les périodes de congés, etc. dans le but que la personne ciblée soit seule face à ses doutes ou interrogations, et qu’elle pense n’avoir d’autre choix que d’agir. Alors, comment faire ? Laisser une seule personne responsable d’un changement de RIB est dangereux pour l’entreprise. La routine, la fatigue, le fait de n’avoir jamais été victime de tels stratagèmes, peuvent amener un comptable à baisser la garde. Or, l’instauration d’un circuit de validation permet de mettre une autre personne dans la boucle. Son rôle sera justement d’être vigilant et d’avoir un regard extérieur. Dans Proginov Finances, lorsqu’un RIB est changé dans la fiche fournisseur par exemple, il reste en statut « à valider ». Si un paiement est effectué, il le sera sur l’ancien RIB, tant que le nouveau n’a pas changé de statut. Le ou les valideurs (plusieurs personnes peuvent se partager ce rôle) reçoivent un message leur indiquant qu’ils ont un ou des IBAN en attente. Je vous rappelle que pour faire une vérification, il convient de prendre les coordonnées du fournisseur que l’on connaît déjà et non pas celles indiquées dans les derniers échanges. Après validation, la personne à l’origine de la modification reçoit un message l’informant du changement de statut de l’IBAN. Par ailleurs, Proginov possède une liste d’IBAN déjà blacklistés. Ainsi, si un tel IBAN est renseigné, le système le détecte automatiquement. Dans Proginov Finances, le circuit de validation peut être mis en place à partir de n’importe quel écran de saisie d’un IBAN (une dizaine au total), mais c’est au choix de l’entreprise que de le mettre en place sur la fiche fournisseur (sans doute un minimum car il s’agit de l’arnaque la plus fréquente), sur la fiche client, pour les notes de frais des salariés, etc. De la sécurité encore et toujours Et surtout n’oubliez pas une chose : bannissez le partage de connexion (même identifiant et même mot de passe utilisés par plusieurs personnes) ! Chaque utilisateur doit être nommé. Sinon, la traçabilité (qui a renseigné l’IBAN, qui l’a validé…) n’est plus opérationnelle et le circuit de validation n’aura servi à rien !