Fraude visant la trésorerie : Gestion des risques dans un monde numérique

La cyberfraude d’entreprise, dont le coût annuel pour l’économie mondiale est estimé à 600 milliards de dollars américains, évolue. Les méthodes traditionnelles, comme le piratage informatique, l’hameçonnage ou l’utilisation de logiciels malveillants, ont fait place à des stratagèmes complexes dans le cadre desquels des auteurs de crimes effectuent des recherches approfondies, repèrent une vulnérabilité au sein d’une entreprise et attaquent une cible précise à un moment précis. En raison de leur accès aux fonds d’une société, les équipes de trésorerie se retrouvent maintenant dans la mire des criminels.

Selon Vincent Iarocci, chef, Gestion de trésorerie d’entreprises, Valeurs Mobilières TD, c’est la réalité de la fraude d’entreprise en 2020. « Les entreprises doivent être conscientes que le comportement de leurs employés risque d’être manipulé à leur insu », affirme-t-il. « Les voleurs se sont rendu compte que la meilleure façon d’obtenir un gain important est de faire en sorte que la personne ciblée agisse de façon volontaire. » Si cela fonctionne, les pertes monétaires pourraient s’élever à plusieurs dizaines voire centaines de millions de dollars.

Cibles de choix

Les services de trésorerie sont les principales cibles de ce type d’activité. « Les opérations sont de plus en plus numériques, et les fraudeurs s’adaptent », affirme Rob Hooper, chef de l’information, Valeurs Mobilières TD en Europe. « Des milliards de dollars sont en jeu chaque jour, et les outils et les tactiques utilisés par ces criminels évoluent constamment et deviennent de plus en plus sophistiqués. »

Ceux qui commettent des fraudes visant la trésorerie déploient souvent des efforts incroyables pour y arriver. La TD est intervenue dans des cas où des auteurs malveillants ont créé un faux cabinet d’avocats, envoyé des ententes de confidentialité et tenu des conférences téléphoniques pour créer et traiter une opération frauduleuse. Dans d’autres cas, ils ont repéré l’emplacement d’un chef des finances, attendu qu’il soit hors de la couverture réseau, avant d’utiliser une fausse adresse courriel personnelle pour se faire passer pour lui et demander à un analyste d’effectuer un transfert.

Les fraudeurs utilisent souvent les propres outils de l’équipe de trésorerie. Un service de trésorerie d’entreprise a été victime de la compromission de l’adresse courriel d’un de ses fournisseurs : les voleurs ont utilisé cette adresse pour envoyer une fausse lettre informant le client d’un changement dans ses comptes bancaires pour les paiements futurs. Le client a ensuite utilisé un transfert électronique de fonds (TEF) pour verser plus de 1,2 million de dollars canadiens dans le compte. Lorsque le changement de compte frauduleux a été découvert, le transfert n’a pas pu être contrepassé et les fonds étaient irrécupérables.

Chaque fois que la fraude a été menée à bien, c’est parce que les bonnes cibles ont été choisies. « Le degré de sophistication est élevé. Les fraudeurs déploient beaucoup d’efforts pour déterminer qui sera leur cible au sein d’une entreprise », affirme M. Iarocci. « Quels sont ses antécédents? Que contient son profil LinkedIn? Quelle est la structure organisationnelle et quel est son rôle dans l’entreprise? Au moment opportun, ils se feront passer pour cette personne, par voie électronique, en utilisant ses codes d’accès pour effectuer une opération frauduleuse. »

Réduction du risque

Compte tenu de l’importance de l’enjeu pour les services de trésorerie, que peuvent faire les gestionnaires pour réduire les risques d’être victimes de telles fraudes? La première étape, et la plus importante, consiste à prendre leurs doutes au sérieux. Si une opération semble étrange ou qu’une pression trop forte est exercée, les agents des services de trésorerie doivent arrêter et bien s’assurer que tout est en règle. « N’hésitez pas à prendre le téléphone pour confirmer si le courriel est légitime », explique Hooper. « L’une des plus grandes défenses qu’offre Valeurs Mobilières TD, c’est sa structure. Nos clients savent qu’ils peuvent appeler et poser des questions sans devoir passer par un centre d’appels. Si quelque chose semble anormal, de notre côté ou de celui de nos clients, nous savons que nous pouvons faire un appel pour nous assurer que tout est en règle. »

Il est également important d’investir dans une solide défense contre la fraude. Même s’il peut être tentant pour les entreprises d’essayer d’économiser de l’argent sur leur service de trésorerie, cela peut accroître leur vulnérabilité aux attaques. Un service de trésorerie dont le personnel est réduit sera plus durement touché en cas de fraude, ce qui pourrait perturber considérablement les activités.

À Valeurs Mobilières TD, la sécurité de nos clients est une priorité absolue. Nous luttons activement contre la fraude en offrant la mise en correspondance quotidienne des opérations et l’interception des chèques, l’autorisation double pour les paiements et des programmes internes pour détecter les virements interbancaires douteux. De plus, le Groupe Banque TD a créé le Centre de fusion TD, un nouveau centre d’opérations basé à Toronto qui permettra de détecter et de bloquer efficacement les cybermenaces mondiales. Le Centre de fusion TD adopte une approche proactive pour protéger la TD et ses clients. Une équipe composée de membres des équipes de cybersécurité, de gestion de la fraude et d’intervention à la suite d’incidents s’efforce d’assurer une réponse collaborative à tout problème.

« Il y aura toujours des fraudeurs, mais les bonnes défenses peuvent les éloigner de votre organisation. Vous ne voulez pas être une cible facile », affirme M. Iarocci. Bien que les risques et les dangers de la fraude soient évidents, le fait de donner aux collègues les moyens de les repérer et d’y réagir peut grandement contribuer à prévenir les attaques.

Mesures clés de défense contre la fraude :

1. Faites preuve de vigilance

N’hésitez pas à prendre le téléphone pour vérifier la légitimité d’un courriel. Traitez toute modification apportée aux renseignements sur un compte comme un signal d’alarme. Ne divulguez jamais de codes d’accès. Aucune institution financière digne de confiance ne demandera ces renseignements par téléphone ou par courriel.

2. Servez-vous des caractéristiques de sécurité.

Mettez en place l’authentification à deux facteurs pour tous les paiements par virement interbancaire et par transfert électronique de fonds. Lorsque c’est possible, appliquez des limites pour les paiements de factures et établissez des limites d’autorisation appropriées pour les employés.

3. Mettez en œuvre des procédures de prévention de la fraude et effectuez des rapprochements réguliers.

N’attendez pas la fin du mois pour passer en revue les opérations. Faites quotidiennement le rapprochement des opérations et signalez immédiatement toute opération inhabituelle à votre banque. Réduisez l’erreur humaine en confiant à différentes personnes la responsabilité d’émettre les chèques plutôt que de rapprocher les relevés bancaires.

4. Validez la source et faites attention à ce sur quoi vous cliquez.

Examinez attentivement l’adresse courriel : elle peut ressembler à une adresse que vous connaissez, mais avec une légère différence qui doit éveiller vos soupçons. Par exemple, si l’adresse réelle est abc_123@mail.ca, un exemple d’adresse frauduleuse pourrait être abc_123@mial.ca. N’ouvrez jamais une pièce jointe et ne cliquez jamais sur un lien provenant d’un expéditeur inconnu.

5. Mettez à jour vos logiciels et votre navigateur.

Installez une protection antivirus et les correctifs de sécurité de vos logiciels. Faites régulièrement appel à un conseiller ou à un service externe qui examinera votre réseau et vos applications Web pour détecter les failles de sécurité qui vous rendent vulnérables aux attaques.