Fraudologie (Denis Pénot)
Explorez tous les épisodes de Fraudologie
| Date | Titre | Durée | |
|---|---|---|---|
| 02 Jun 2020 | 2 - Contrer la fraude au président en utilisant l'humour : simple mais tellement efficace ! | 00:24:58 | |
Comme de nombreux dirigeants, Fabien sait que son identité peut être usurpée dans le cadre d’une fraude au président. Il aurait pu mettre en place des procédures, des contrôles, ou toute sortie d’outils pour protéger ses équipes mais il n’en a rien fait. Il a misé sur une astuce qui s’est révélée redoutablement efficace : l’humour ! En matière de lutte contre la fraude, la prévention est souvent la solution la plus efficace. Mais cette prévention peut se traduire de nombreuses façons ! Certains préfèreront l’installation d’outils informatiques qui obligent le dirigeant à valider les ordres de virement. D’autres choisiront de réaliser des contrôles stricts qui permettront d’éviter les erreurs. Et il existe bien d’autres parades. Toutes ces solutions peuvent être parfaitement pertinentes si elles sont adaptées à l’organisation de l’entreprise et à son mode de management. Mais peu d’entreprises mesurent réellement le retour sur investissement de ces solutions. En réalité, dans plus d’un cas sur deux (selon l’étude Euler Hermès / DFCG 2020), le facteur humain est déterminant pour déjouer une tentative de fraude. Fabien Pelletier est un dirigeant qui a un style bien à lui et en particulier un sens de l’humour très fin. Alors que la fraude au président est encore balbutiante, il participe à une réunion du CJD (le Centre des Jeunes Dirigeants d’entreprises) sur le sujet. Il décide alors de miser sur ce facteur humain en impliquant les personnes clefs dans la sécurité financière de l’entreprise : sa directrice financière et son responsable informatique… Un bonus pour les créateurs d’entrepriseSi vous êtes en phase de création d’entreprise ou que vous devez modifier la raison sociale de votre entreprise, je ne peux que vous conseiller d’écouter cette séance de fraudologie jusqu’au bout ! Vous pourriez bien économiser quelques centaines d’euros en profitant de l’expérience de Fabien… | |||
| 09 Sep 2021 | 16 - Soyez ENFIN sûrs de l'identité de vos interlocuteurs grâce à Olvid | 00:36:50 | |
L'essentiel des activités cybercriminelles s'appuient sur l'usurpation d'identité :
Donc une des pierres angulaires de votre sécurité passe par la vérification de l'identité de vos interlocuteurs, quels que soient votre métier ou votre position dans l'entreprise. Et la difficulté principale réside dans la multitude de canaux qui peuvent être utilisés pour vous contacter. Vous utilisez probablement plusieurs outils comme le mail, les SMS, le téléphone, les messageries instantanées ou la visio. AUCUN de ces canaux n'apporte techniquement de garantie sur l'identité de votre interlocuteur. Aucun, jusqu'à ce que des experts de la cryptographie créent Olvid. Thomas Baignères est l'un d'eux et il vous explique comment ça marche et pourquoi cette solution Made In France est beaucoup plus robuste que tout ce que vous avez utilisé jusqu'à aujourd'hui. Pour vous aider à aller directement aux sujets qui vous intéressent, voici la chronologie de cet épisode : 0' : contexte 1'40" : Pourquoi Olvid permet de ne plus douter de l'identité de vos interlocuteurs 4'56" : Pourquoi les autres messageries ne peuvent pas donner de garantie sur les identités 9'56" : Comment ça marche concrètement ? 14'24" : Comment Olvid s'inscrit dans les outils de l'entreprise ? 26'54" : Comment créer des liens avec l'extérieur de l'entreprise ? 28'31" : Partager ses contacts comme dans la vie réelle 29'28" : Faire adopter l'outil au plus grand nombre 32'38" : Gérer la séparation vie pro / vie perso | |||
| 21 Oct 2020 | 10 - La fraude au président : un témoignage rarissime | 00:31:04 | |
La fraude au président. Nous sommes en juillet 2020, en plein déconfinement post-COVID. Sandie est comptable dans une entreprise familiale de 50 personnes. Un avocat l'appelle pour lui annoncer qu'elle va être un maillon essentiel dans une opération de fusion/acquisition confidentielle. Sandie vient d'entrer dans une bulle dont elle ne sortira qu'après avoir viré 520 000€. Une bulle dont elle ne sortira pas indemne. Toujours le même schéma Nous l'avons vu dans les précédents épisodes qui parlent de ce sujet (épisodes 2, 3 et 5), la fraude au faux président suit un schéma précis :
Après être entrée dans ce cercle vicieux, il est extrêmement difficile d'en sortir avant qu'il ne soit trop tard. Un contexte fragileForcément, Sandie se sent coupable, nulle, incompétente. Mais la victime, c'est elle, avant d'être son entreprise. Et plusieurs éléments l'ont exposée au risque qui s'est traduit par cette fraude. Le premier est lié au contexte économique : en juillet 2020, l'entreprise sortait tout juste du confinement lié à la COVID-19. Les aides gouvernementales, le chômage partiel et les PGE (Prêts Garantis par l'Etat) ont favorisé l'accroissement de la trésorerie de l'entreprise. La perspective que ses dirigeants aient identifié une cible pour une croissance externe est tout à fait plausible. Le second élément qui a favorisé cette fraude est lié au processus de paiement : Sandie pouvait réaliser des virements seule, sans l'intervention informatique de son dirigeant. Une signature manuelle sur un document papier n'a jamais empêché un virement d'être envoyé à la banque. La preuve. Le dernier point de fragilité à noter est lié à la relation de Sandie avec son patron. Le dirigeant est plus occupé à gérer ses clients et sa production industrielle qu'à veiller sur sa comptable. Et on peut très bien le comprendre. Mais ce manque flagrant de communication a permis aux fraudeurs d'isoler facilement Sandie de sa hiérarchie. Et là le conseil que vous donne Fabien Pelletier dans son témoignage de l'épisode 2 prend tout son sens. | |||
| 03 Sep 2020 | 7 - Sécuriser ses IBAN avec Trustpair | 00:24:03 | |
Baptiste Collot est le premier expert auquel je fais appel pour enrichir notre vision de la lutte contre la fraude. Il a fondé en 2017 la société Trustpair après avoir travaillé dans un grand groupe français où il a été confronté aux difficultés pour gérer une donnée fondamentale dans la vie d’une entreprise : l’IBAN. Dans les séances précédentes on a parlé de faux président et de faux fournisseur, et donc de fraude au virement puisqu’il s’agit bien du but des fraudeurs : recevoir des fonds par le biais d’un virement sur leur compte bancaire. Quand on se penche sur la fraude au virement, on en arrive inévitablement à penser à la gestion des tiers, c’est à dire les bénéficiaires qu’on doit payer. Il va falloir les enregistrer puis saisir leur numéro de compte et l’identifiant de leur banque (le code BIC). Mais comment être sûr que la personne qui m’a envoyé son RIB est bien celle qu’elle prétend être ? Comment être sûr qu’elle est bien titulaire du compte dont j’ai le numéro entre les mains ? Et enfin comment être sûr que cette information n’a pas changé depuis le dernier virement que j’ai fait à mon fournisseur ou à mon salarié ? Quand j’ai contacté Baptiste j’avais en tête la solution SEPAmail DIAMOND qui a été imaginée justement pour répondre à ces questions. Mais dans cette séance nous verrons ses limites et toute l'intelligence qui peut y être ajoutée pour mieux vous protéger : c’est justement la spécialité de Trustpair. En exploitant un maximum de sources données différentes, en les croisant, en mutualisation les analyses des comportements de paiement de leurs clients, et en élargissant constamment leur couverture géographique, ils parviennent à créer un système de vérification très robuste et qui fonctionne en Europe et au-delà. Leur service nous permet d’imaginer ce que sera la gestion des tiers dans l’avenir : une tâche automatique et fiable qui ne permettra plus aux fraudeurs de parvenir à leurs fins. Mais le chemin est encore long avant qu’il soit possible de vérifier n’importe quel numéro de compte dans n’importe quel pays donc il faut rester vigilant et continuer de miser sur l’humain pour vous protéger ! | |||
| 01 Oct 2020 | 9 - Le faux fournisseur : un détail peut tout déclencher | 00:33:27 | |
Sébastien est responsable administratif et financier dans une TPE de négoce. Dans cette séance, il nous offre une masterclass de la fraude au faux fournisseur ! En 2018 cette expérience a été un véritable électro-choc. Et elle l’a poussé à mettre en place tout ce qu’il pouvait pour faire en sorte qu’elle ne puisse jamais se reproduire. Si vous voulez économiser quelques (dizaines de) milliers d’euros je ne peux que vous conseiller une écoute attentive de ce concentré de conseils pratiques ! Que s’est-il passé ? Un nouveau fournisseur étranger, un piratage de boite mail et un petit caractère qui change dans une adresse mail (le « typosquatting » décrit par mon invité de l’épisode précédent Thomas Kerjean). Il n’a pas fallu plus pour qu’un virement parte vers le compte du fraudeur. Mais le fournisseur, lui, attend toujours son règlement et il a fallu payer une deuxième fois et c’est une part du résultat net annuel qui s’envole. Non, ça n’arrive définitivement pas qu’aux autres ! Les mesures d’urgence Quand la supercherie est identifiée quelques jours après le virement, Sébastien imagine les premières mesures : on met en place des contrôles et on implique tout le monde. Plus question de se faire avoir et la responsabilité ne peut être que collective, en particulier dans une structure de 5 personnes ! Des détails qui ont leur importance : si vous décidez de mettre en place des vérifications manuelles, le changement de canal ET le changement d’interlocuteur doivent vous interpeller. Si vous recevez une demande de changement d’IBAN par mail, faites-vous confirmer la demande par une autre personne chez votre fournisseur et idéalement par un autre canal, au cas où le premier aurait été piraté. Faire des vérifications c’est bien mais pas n’importe comment… L’artillerie lourde Sébastien a vite compris que l’origine de l’attaque était le piratage du système de messagerie de son fournisseur. Et il a eu l’intelligence de se dire qu’à son tour il pourrait faire subir ce type de fraude à ses propres clients si son informatique était compromise. Il a donc fait tout ce qu’il fallait pour renforcer sa sécurité informatique :
Mais aussi ses échanges bancaires :
La morale de cette histoire Il aura fallu un traumatisme qui reste encore très présent aujourd’hui dans les esprits de tous les membres de l’équipe. Il aura fallu investir quelques centaines d’euros annuels en prestations informatiques et outils bancaires pour éviter des milliers d’euros de perte sèche. Mais aujourd’hui son entreprise n’a jamais été aussi bien armée pour faire face à tous les types de fraude externe possibles ! Et vous, vous attendez quoi pour vous équiper ? | |||
| 30 Jun 2020 | 5 - L'usurpation d'identité | 00:14:21 | |
Des costumes multiples Vous connaissez probablement la fraude au faux fournisseur, c'est celle dont nous parlions avec mes invités des épisodes 2 et 3 de ce podcast. Mais le président n'est pas le seul costume que les fraudeurs peuvent endosser. Il peut s'agir d'un avocat, d'un banquier ou de n'importe qui du moment que le rôle donne de l'ascendant au fraudeur sur sa victime. Une fraude qui continue d'évoluer Cette fraude existe depuis 10 ans mais elle continue d'évoluer. En effet avec l'essor de la visioconférence, les usurpateurs commencent à utiliser la vidéo pour rendre leur fausse identité encore plus crédible, c'est le cas de l'exemple dont je vous parle dans cette séance : le faux "Jean-Yves Le Drian" ! Une affaire digne des meilleurs films d'espionnage... Et si le fraudeur réalisait lui-même les virements à votre place ? C'est précisément ce qu'il parvient à faire en se faisant passer pour un faux technicien bancaire. Je vous explique ici comment il s'y prend et quels sont les points de vigilance à avoir en tête. | |||
| 22 Jun 2020 | 4 - La fraude au faux fournisseur | 00:11:03 | |
Quand on veut correctement se protéger contre la fraude, le point de départ incontournable est de bien connaître les risques auxquels l’entreprise est exposée. Je vous propose donc une série de cinq séances au cours desquelles je n’aurai pas invité mais j’en profiterai pour vous présenter en détail les principaux types de fraude qui ont été rapportés par les entreprises françaises en 2019 ainsi que des exemples de protections que vous pouvez mettre en place simplement. Dans le premier épisode de cette série je vous propose de vous expliquer ce qu’est une fraude au faux fournisseur. J’ai choisi de commencer par celle-ci parce qu’il représente une tentative de fraude sur 2 en 2019. Si vous en avez déjà entendu parler, vous allez peut-être en découvrir d’autres aspects qui sont moins connus et pourtant tout aussi susceptibles d’arriver à n’importe quelle entreprise. Vous pourriez également être visé(e) à titre personnel avec le 3ème aspect de cette fraude : le faux créancier de prélèvement ! | |||
| 04 Feb 2021 | 13 - L'assurance cyber | 00:24:01 | |
En matière de fraude ou d'attaque cyber il y a un "avant", un "pendant" et un "après". Donc ces trois phases doivent apparaitre dans votre dispositif de prévention pour qu'il soit complet. Le "avant" ce sont tous vos outils de sécurité informatique et la formation de vos utilisateurs pour leur permettre d'éviter les attaques. Le "pendant", c'est la vigilance de vos salariés qui va les faire réagir à temps et alerter rapidement les bonnes personnes dans votre organisation. Et le "après" ? Comment revenir à une situation normale ? Comment maintenir la confiance de vos clients et la motivation de vos équipes ? Comment faire face aux pertes financières directes et indirectes ? Votre assureur est probablement le bon interlocuteur pour répondre à ces questions. Dans cette séance de fraudologie, j'accueille Frédéric Peynoche qui a fondé le cabinet de courtage Investys France. Il va vous aider à y voir clair sur les solutions d'assurance, les garanties, les services, les coûts : vous allez tout savoir ! | |||
| 17 Sep 2020 | 8 - Blindez votre messagerie avec MailInBlack | 00:34:43 | |
Le dénominateur commun entre toutes les fraudes est la récupération d'informations sur la cible. Et pour y parvenir, les fraudeurs s'introduisent dans votre informatique par la grande porte : votre messagerie électronique. Pour blinder cette porte et empêcher ces intrusions, il faut sécuriser la messagerie mais aussi ses utilisateurs. Thomas Kerjean, dirigeant de la société MailInBlack, vient nous parler du savoir-faire qu'il met en œuvre avec son équipe pour vous y aider. Des attaques au ROI élevéLes fraudeurs sont (presque) des entrepreneurs comme les autres ! Et à ce titre ils cherchent à optimiser la rentabilité de leurs activités et donc le retour sur investissement le plus élevé. Avec le développement très fort du travail à distance et la multiplication des données disponibles sur les réseaux sociaux, le ROI des attaques sur la messagerie continue d'augmenter. Heureusement la technologie progresse et permet d'identifier de plus en plus efficacement les mails risqués. Thomas vous explique ces aspects de manière très pédagogique. Un risque systémiqueSécuriser sa messagerie c'est bien mais si vos partenaires ne sont pas protégés, le risque reste présent. Thomas nous parle du rapport de l'institut Montaigne sur le sujet du risque systémique (que vous pouvez retrouver ici : rapport Cyber menace). Même s'il n'est pas possible de sécuriser totalement le système entier, la communauté est une force pour tous les utilisateurs de la solution. Écoutez comment ça marche ! De la technologie mais pas sans des humainsEn tant que société technologique, on peut s'attendre à ce que MailInblack soit très bon techniquement. Et je pense sincèrement que c'est le cas. Mais j'ai été frappé par la conscience aigüe de Thomas de l'importance de l'humain dans la sécurisation. Lui et son équipe développent un outil d'éducation numérique qui m'a bluffé ! | |||
| 15 Apr 2021 | 15 - La fraude et le droit du travail | 00:35:37 | |
Lorsqu'une entreprise est victime d'une fraude au président, le ou la salariée qui s'est fait manipuler perd souvent son emploi. C'est ce qui est arrivé à Sandie qui nous a courageusement livré son témoignage. Ça m'a d'abord paru très injuste : comme si les conséquences psychologiques ne suffisaient pas... Mais ensuite ça m'a amené à me poser la question des règles de droit qui s'appliquent : Dans quelles conditions une entreprise peut-elle faire porter toute la responsabilité de cette erreur à sa salariée ? Quelles obligations est-ce que l'employeur doit avoir remplies pour justifier cette faute ? Pour explorer cet aspect de la fraude, j'accueille dans cet épisode Me Sandra Lévy Regnault qui est avocate, spécialiste du droit du travail. Elle vous explique tout : les types de fautes, la différence entre une règle et un usage, les obligations de formation... Découvrez tout ce qui peut vous aider à respecter les règles et à vous défendre, que vous soyez employeur ou salarié ! | |||
| 07 Jan 2021 | 12 - Psychologie de la fraude au président | 00:32:02 | |
"Comment a-t-elle pu se faire avoir comme ça ???" Si vous avez écouté le témoignage de Sandie, vous vous êtes peut-être posé cette question. En tout cas moi, je me la suis posée. Et pour y répondre de la manière la plus constructive possible et sans jugement, je vous propose une analyse de ce qui a pu se passer dans sa tête avec l'aide d'Isabelle Pinceloup. Isabelle est psychologue spécialisée dans la psychologie du travail. Elle nous apporte un éclairage très instructif sur les mécanismes qu'exploitent les fraudeurs et nous donne des pistes pour anticiper les risques, ne pas sous-estimer les compétences du fraudeur et réparer le traumatisme. Qui sont les meilleures victimes potentielles ?La prévention de la fraude passe par l'identification des profils qui peuvent présenter le plus de risque. Et contre toute attente, Isabelle dresse le portrait robot de l'employé (ou de l'employée) idéal : empathique, soucieux de bien faire, respectueux de l'autorité... Et qui est en train de vivre un changement pro ou perso. Découvrez si vous êtes la victime idéale ou si elle fait partie de votre équipe grâce à la description et aux explications de notre psychologue ! Qui sont les fraudeurs ?Pour se protéger efficacement, il faut connaître son adversaire. Isabelle décrit les principaux traits de caractère de celui qui va tenter de mettre sa victime sous influence. Intelligent, rassurant, il sait mettre sa victime dans un état émotionnel qui va l'empêcher de réfléchir. Il sait également lui dire ce qu'elle a envie d'entendre en la valorisant et en la responsabilisant. Et ce sont toutes ces caractéristiques qui sont ses meilleures armes et ne le sous-estimez pas : il saurait vous influencer tout comme il a influencé Sandie. Comment sortir de l'influence du fraudeur ?On l'a vu le fraudeur va soumettre sa victime en parlant à ses émotions. Et ce sont précisément ces émotions qui vont empêcher Sandie de réfléchir. Or pour rompre le "charme", il faut justement se poser, prendre le temps de réfléchir et analyser la situation. C'est ce travail d'analyse qui va permettre de sortir des émotions et multiplier les chances de s'arrêter à temps. Comment se reconstruire et renforcer l'entreprise ?En écoutant témoignage de Sandie, vous avez certainement senti son traumatisme. La douleur qu'elle a vécue et qu'elle vit encore mettra du temps à s'atténuer. Isabelle nous explique pourquoi : quels sentiments se mêlent et renforcent le choc ? Découvrez aussi comment la victime peut se reconstruire et quelles seront ses difficultés dans cette reconstruction. L'entourage est important c'est certain mais quand vous n'avez plus du tout confiance ni en vous ni dans les autres, comment se livrer et demander de l'aide ? Et enfin qu'est-ce qu'il faut mettre en place dans l'entreprise pour se renforcer après une fraude ? Même si le ou la salariée quitte la boite, il y aura toujours quelqu'un qui sera exposé. La responsabilité de l'entreprise est d'identifier ce risque, de le prendre en compte et de s'y préparer. La communication, la prévention et surtout l'implication des équipes participeront à renforcer la structure. | |||
| 26 May 2020 | 1 - Se faire frauder sa carte bancaire et devenir suspect aux yeux de sa banque | 00:21:13 | |
Christophe a vécu une fraude à laquelle on a tous pensé un jour : le vol de son numéro de carte bancaire ! Sa conseillère bancaire a parfaitement réagi mais ça s’est gâté quand un collaborateur de sa banque a commencé à le soupçonner de ne pas être qu’une victime... Une situation qu’on pourrait tous vivreChristophe Greis est le dirigeant de l’agence Générale des Services de la Flèche. Comme de nombreux chefs d’entreprise, il utilise le site internet de sa banque pour consulter ses comptes et réaliser ses virements. Un jour il voit apparaitre des opérations anormales sur son compte professionnel : des virements vers son compte personnel. Ensuite 3 paiements par carte sont débités de son compte personnel auquel est rattaché la carte bancaire en question. Presque 30 000€ lui ont alors été dérobés ! Il a le bon réflexe et appelle d’abord sa conseillère bancaire. Celle-ci bloque immédiatement la carte, puis il va porter plainte pour officialiser l’existence d’une fraude. Il récupère rapidement la moitié des fonds mais le solde tarde à lui être restitué. Il se retrouve alors confronté à un collaborateur de sa banque qui lui fait sentir que sa responsabilité dans cette situation semble être engagée… Un fraude qui peut en cacher une autreNotre échange s’est beaucoup concentré sur la récupération des fonds et le sujet de sa carte. Mais Christophe explique aussi qu’il a commencé par constater des virements anormaux entre ses comptes avant d’être débité par carte. Ceci indique que le fraudeur ne s’est pas contenté de récupérer ses numéros de carte. En effet il disposait également de son identifiant et de son mot de passe pour se connecter au site bancaire ! Les fraudeurs utilisent de nombreuses méthodes pour vous soutirer ces informations. Mais la méthode utilisée est incontestablement le phishing. Pour aller plus loinEn France, une loi oblige la banque à restituer les fonds dans le cas d’une opération non autorisée. Il s’agit de l’article 133-18 du Code monétaire et financier. Néanmoins la banque peut refuser de restituer les fonds si elle soupçonne son client d’être à l’origine de la fraude. C’est pour cette raison que je vous conseille de porter plainte pour démontrer que vous êtes la victime. Sans preuve de votre dépôt de plainte, votre banque pourrait ne pas prendre en compte votre demande. Attention si vous êtes tenté de déposer une fausse plainte ! Sachez qu’il s’agit d’une escroquerie et que la peine maximale que vous encourez est de 375 000€ et de 5 ans d’emprisonnement. De quoi y réfléchir à deux fois… Merci !A l’occasion de cette toute première séance de fraudologie, je tiens à remercier chaleureusement Christophe pour sa participation. Un énorme merci également à Didier Chateau, le président de la Générale des Services, qui m’a fait l’amitié de me mettre en relation avec Christophe. | |||
| 09 Jun 2020 | 3 - Sensibiliser et sanctuariser les équipes comptables | 00:23:48 | |
Céline est responsable comptable et ses fonctions l’ont exposée à de nombreuses tentatives de fraudes. Dans cette séance de fraudologie, elle nous parle de la fraude au président et de ses convictions concernant le management des équipes comptables. La sensibilisation des équipes comptables plus efficace que les meilleurs outils informatiques Ici Céline nous décrit les étapes de validation des virements qui devaient être respectées dans son entreprise. Ce processus précis avait été mis en place pour protéger l’entreprise des erreurs et des fraudes. Mais j’ai été frappé de constater que les tentatives de fraude qu’elle nous décrit ont toutes été bloquées avant même que les outils soient utilisés ! En effet les comptables qui ont été contactées ont réagi et partagé leurs doutes avec les collègues avant d’aller trop loin. Quand on n’est pas dans le feu de l’action ça peut paraitre facile, mais pour arriver à avoir des équipes aussi solides cela suppose d’avoir beaucoup travaillé en amont et c’est ce que Céline nous explique. Il s’agit d’un travail de longue haleine qui doit être renouvelé très régulièrement pour être réellement efficace ! Sanctuariser les services financiersLe point de vue de Céline est également intéressant car c’est celui d’une « opérationnelle », j’entends par là qu’elle vit les choses de l’intérieur, contrairement à un dirigeant qui est nécessairement plus éloigné du terrain. Et pour protéger les équipes des attaques, Céline nous explique pourquoi il est important pour elle de ne pas communiquer sur les équipes comptables et financières et de le leur expliquer. En effet il s’agit là d’un véritable exercice de management : en les cachant, l’entreprise protège ses comptables et valorise l’importance de leur fonction. Des critères d’anormalité identifiésPour une sensibilisation complète et efficace des équipes, nous avons souligné quelques critères qui doivent être régulièrement remis en avant. En effet dans le groupe de promotion immobilière dans lequel elle travaillait, les opérations internationales étaient rares et devaient éveiller l’attention. Encore faut-il que les comptables sachent identifier facilement qu’un numéro de compte est français ou pas ! Enfin, le moment de la semaine où on se trouve confronté à une situation anormale doit également être considéré comme un signal fort. Les fraudeurs veulent augmenter leurs chances de réussite maximisant la fragilité de leurs interlocuteurs. Une de leurs armes est d’attaquer au moment où leurs « proies » seront les moins attentives. Donc dans des moments de stress comme des veilles de jours fériés ou de week-end en fin de journée, les salariés sont pressés de rentrer chez eux et pourraient vouloir se « débarrasser » d’une demande en la traitant avec moins de rigueur que d’habitude. Il est donc important de leur répéter régulièrement comment réagir dans ces situations ! | |||
| 01 Dec 2020 | 11 - Le vaccin contre le faux fournisseur | 00:20:31 | |
Les procédures et la technologie ne sont pas la réponse à tout Pour parvenir à leurs fins, les fraudeurs utilisent souvent des outils informatiques, notamment pour collecter de l'information sur leur cible. Mais ça n'est pas parce que votre attaquant utilise des moyens informatiques que la solution la plus efficace est elle aussi de nature informatique ! Dans cette séance je vous propose une vision différente, voire décalée, pour lutter contre la fraude au faux fournisseur. Je me suis inspiré du livre "Nudge, Comment inspirer la bonne décision". Cet ouvrage passionnant dresse plusieurs constats intéressants sur les moyens de guider les choix. Une des idées développée est l'importance de l'option par défaut. C'est à dire l'option que vous proposez à vos utilisateurs s'ils ne veulent pas faire de choix. Or en matière de lutte contre la fraude au faux fournisseur, la solution qui vient le plus vite à l'esprit est de mettre en place une procédure de contrôle plus ou moins complète et plus ou moins technologique. Mais cela ne fonctionne que si vos équipes l'appliquent à la lettre. Et donc que vos salariés s'engagent très sérieusement dans son application. Dans le prolongement des nudges, je me suis donc demandé comment faire pour que ces vérifications soient le moins possible influencées par la volonté ou la capacité des personnes qui les réalisent. Et bien ma conclusion ne peut pas être plus simple : quand vous recevez une demande de modification d'IBAN, il ne faut pas modifier le numéro de compte ! Ne rien faire, mais le faire bien Bien entendu je ne me suis pas arrêté là. Je vous explique en détail ce qui peut arriver dans le cas où la demande est légitime et ce qui va se passer si elle ne l'est pas. Tout se base en réalité un élément très simple. Une information que le fraudeur ne peut pas détenir. Une information que seuls vous ET votre fournisseur détenez à un moment précis. Cette information, c'est le constat que les fonds ont été transférés sur le compte de votre bénéficiaire. Ce constat, il n'y a que vous et votre fournisseur (ou votre salarié) qui pouvez le faire. Une fois qu'on a choisi de ne rien faire suite à une demande de changement de RIB, il va falloir se souvenir que vous l'avez reçue. Car une fois que votre fournisseur se sera fait de nouveau payer sur son ancien compte bancaire, il va vous relancer pour que vous fassiez enfin la modification. Et à cet instant-là, il vous faudra vérifier que vous aviez effectivement reçu une demande de sa part. Car alors vous serez sûr(e) que c'est bien votre fournisseur qui vous aura fait la demande initiale. S'il ne l'a pas faite, il n'aura aucune raison de vous relancer ! Donnez-moi votre avis ! Cette solution sort nettement des sentiers battus mais je suis convaincu qu'elle peut significativement réduire votre exposition à ce type de fraude. La seule condition sera de briefer vos équipes et qu'elles ne fassent jamais la modification de RIB à la première demande. Bien sûr ça repose sur de l'humain donc c'est faillible, comme toutes les solutions, technologiques ou non. Mais dans cette proposition, ça ne vous coute aucun investissement et surtout ça s'appuie sur une "non-action". Et il est beaucoup plus facile de demander à vos équipes de ne pas agir plutôt que de changer leurs habitudes. Je suis impatient d'avoir vos avis donc envoyez-moi vos commentaires à denis@fraudologie.fr ! | |||
| 20 Jul 2020 | 6 - Le phishing et l'intrusion informatique | 00:21:23 | |
Dans cette nouvelle séance, une fois n'est pas coutume je vais vous parler un peu de technique. Tout simplement parce qu'on va décortiquer les intrusions dans votre ordinateur et dans le système d'information de votre entreprise. Si je voulais expliquer tous les types d'attaques possibles, il me faudrait plusieurs mois mais ici nous allons nous concentrer sur 2 thèmes récurrents dans la fraude : les rançongiciels (ransomware dans la langue de Shakespeare) et le phishing (hameçonnage dans la langue de Molière ;-). Les premiers vous prennent en otage et le deuxième mise tout sur votre envie de cliquer sur tout ce qui peut être cliqué : un lien dans un mail ou une pièce jointe. Mais surtout, les deux sont liés : les rançongiciels n'existeraient pas sans le phishing et c'est là que le facteur humain prend toute sa valeur car il va vous falloir identifier si vous pouvez cliquer en toute sécurité ou si vous devez jeter ce mail qui vous encourage pourtant à le faire ! Nous allons voir ensemble ce qui doit vous aider à ne pas vous faire avoir et vous éviter ces deux fraudes qui nous touchent autant à titre perso qu'à titre pro ! | |||
| 17 Feb 2021 | 14 - Ransomware : être victime sans être la cible | 00:35:34 | |
Novembre 2020, un hôpital français est attaqué par un ransomware. Son informatique est externalisée dans un datacenter, sur une baie de serveurs qui est partagée avec d'autres entreprises. L'une d'elles est un prestataire informatique qui vend ses services à des entreprises de la région nantaise. Oxinet fait partie de ses clients. Cette PME de 40 personnes va être une victime collatérale de l'attaque initiale. Antoine Pigeault, son dirigeant, vous raconte comment il a géré cette situation : 3 semaines sans données commerciales ou comptables et le risque de perdre 10 ans d'histoire de son entreprise. Il vous donne 2 conseils qu'il a tiré de cette expérience et que vous devez appliquer sans attendre de vivre la même chose que lui : 1- ne vous croyez pas invulnérable 2- Réfléchissez aux premières actions que vous allez faire si vous êtes dans la même situation | |||