Selon la ‘Global Information Security Survey’, une entreprise belge sur deux estimerait ne pas être capable de détecter des cyberattaques sophistiquées.
La ‘Global Information Security Survey’ évalue tous les ans la cybersécurité de quelque 1 755 organisations de 67 pays. 56 entreprises de notre pays sont sondées et les résultats sont pour le moins alarmants : la moitié des organisations interrogées pensent ne pas être capables, à l'heure actuelle, de détecter une cyberattaque sophistiquée, tandis que 88 % de celles-ci estiment que l'architecture de sécurité de l'information ne répond pas totalement aux besoins de leur organisation.
Mais d’où viendrait le danger ?
Les entreprises interrogées craignent principalement les cyberattaques commises par des organisations criminelles (54 %), des activistes (54 %), des hackers agissant seuls (53 %) et - étrangement - leurs propres collaborateurs (40 %). Le phishing et les malwares figurent également parmi les principales menaces possibles.
Il y a urgence
Les entreprises sondées en sont bien conscientes : la cyberfraude se sophistique et le danger est partout. Pourtant, moins de la moitié d'entre elles comptent en leur sein une équipe de sécurité informatique. La raison est simple : la grande majorité des entreprises interrogées affirment ne pas disposer de suffisamment de collaborateurs qualifiés et/ou avoir des difficultés à attirer ce genre de profil.
27 % des entreprises ne font pas l’effort d’analyser les menaces relatives à la cybersécurité tandis que 21 % de celles-ci n'effectuent même pas de contrôle des identités et des accès. En d'autres termes, la porte numérique est grande ouverte aux abus. Des efforts de rattrapage s'imposent donc dans le domaine de la sécurité.
(Sources : EY et de Tijd)
18.04.2016
Se familiariser avec le phénomène de la fraude ? Aperçu des techniques les plus fréquentes
Aujourd’hui, la fraude est plus organisée, les fraudeurs plus professionnalisés qu’hier, les tentatives de fraudes plus subtiles et sophistiquées. Surtout lorsqu’il s’agit de transactions financières.
Voici un aperçu des principales techniques utilisées par ces "pros de la fraude":
Les faux transferts
De faux virements de type manuel (c.-à-d. des virements papier, des courriers ou des fax) sont envoyés à la banque de l'organisation cible. Dans bon nombre de cas, les signatures apposées sur les ordres de paiement sont de parfaites contrefaçons.
Les factures falsifiées
Dans ce cas, de véritables factures sont interceptées et falsifiées avant de parvenir au débiteur ou à la banque. L’intervention se produit au niveau des services postaux ou de l'organisation elle-même, victime dans ce cas de fraude interne.
Les fraudeurs modifient le numéro de compte du bénéficiaire. Pour les factures, ils utilisent souvent une étiquette (un post-it) invitant à désormais effectuer les virements sur un nouveau compte – d'où le nom de fraude à l'étiquette – mais désormais, de nouveaux appareils ou des logiciels permettent d’éditer des factures falsifiées presque « parfaites ».
Le social engineering et le phishing
Il s'agit ici de manipulation : le fraudeur tente de duper sa victime afin qu'elle effectue certaines opérations, généralement des transferts d'argent. Il récolte pour ce faire des noms, des numéros de téléphone directs, des soldes de comptes, des listes de commandes ou de clients, etc.
Ces éléments sont la plupart du temps glanés sur des sites publics et les réseaux sociaux, voire récupérés sur des documents non détruits dans les poubelles. Parfois, cela arrive, le fraudeur prend directement contact avec sa victime. Ces individus sont extrêmement persuasifs. Ils se font passer pour un membre de la direction ou pour le collaborateur d'une filiale à l'étranger. Les pertes liées à ce type de fraude sont souvent lourdes, avec parfois des dégâts collatéraux en matière de solvabilité et de capacité de remboursement des crédits.
Le phishing est une forme spécifique de social engineering qui consiste à aller à la « pêche » aux données personnelles, principalement par e-mail, afin de pouvoir ensuite dérober l'argent se trouvant sur un compte bancaire. Souvent, les fraudeurs jouent sur le sentiment de panique : votre code secret a soi-disant expiré ou votre compte sera clôturé si vous ne réagissez pas immédiatement. Pour faciliter la fraude, les criminels vont jusqu’à appeler leurs victimes par téléphone pour les « accompagner » (cette pratique est appelée « vishing »).
Alors que le phishing se caractérisait surtout par des mailings de masse (un groupe important reçoit le même e-mail personnalisé de manière assez maladroite), nous le constatons désormais, la tendance est au « spear phishing ». Les fraudeurs ciblent un nombre très limité de victimes sur lesquelles ils effectuent une collecte intensive d'informations personnelles afin de crédibiliser leur message au maximum. Il va de soi qu’ils choisissent des victimes « lucratives » : l’espoir de butin est bien plus conséquent auprès de particuliers nantis ou d'entreprises.
Le hacking
Si le social engineering vise essentiellement les failles humaines, le hacking se concentre davantage sur les failles techniques ou matérielles. Tout commence par un virus que des pirates introduisent dans votre ordinateur. Ce programme va collecter vos données et surveiller ce que vous faites. Le jour où vous ouvrirez une session d'e-banking, le pirate sera directement averti et glissera un pop-up dans votre session afin de vous inciter, par exemple, à valider un ordre de paiement ou à communiquer votre code secret.
Actuellement, nous avons affaire à un véritable réseau de fraude multicanal : le fraudeur vous appelle par téléphone pour vous demander de lui confier des données pendant que vous effectuez vos opérations bancaires sur Internet.
L'infiltration
Des cas de fraude récents ont révélé l'existence d'une nouvelle méthode particulièrement préoccupante. Un complice des fraudeurs se fait engager par l'organisation visée et se familiarise avec les procédures de paiement et de contrôle. Après quelques mois, ce fraudeur sous couverture effectue un ou plusieurs paiement(s) important(s) sur le compte de ses complices avant de disparaître dans la nature.
18.04.2016
Apprivoiser le risque de fraude. Ou comment déjouer les plans des fraudeurs ?
La fraude, cela n'arrive pas qu'aux autres. D’où l’intérêt de consacrer du temps et de l'attention à la prévention. Certaines mesures relativement simples vous aideront déjà à réduire les risques. Et puis,, vous n'êtes pas seul à faire face à ce fléau !
Que fait votre banque ?
Tout comme la fraude, la lutte contre la fraude est devenue une spécialisation à part entière. BNP Paribas Fortis se positionne de façon très forte par rapport à la fraude et se donne les moyens de sa politique. De nombreux dispositifs et mesures ont été mis en place pour déjouer rapidement les plans des fraudeurs :
- la prévention via la formation permanente des collaborateurs de la banque et via la communication tant interne qu'externe ;
- des dispositifs de contrôle et de détection des opérations anormales. Ce, même lorsque le paiement semble tout à fait normal (canal adéquat, signatures correctes, etc.). Peut-être, avez-vous déjà été contacté par votre chargé de relation au sujet d’une transaction qu’il désirait se faire confirmer ? Dans ce cadre, une grande attention est accordée à la détection et à la neutralisation des « money mules » : des intermédiaires qui mettent (volontairement ou pas) leur compte en banque à disposition de criminels pour transférer de l'argent volé vers l'étranger ;
- des systèmes d’analyse itératifs lorsque, malheureusement, des fraudes ont lieu, il s’agit d’opérer une veille permanente et de détecter l’émergence de nouvelles techniques ou de repérer de nouvelles tendances.
Ces moyens ne sont certainement pas infaillibles mais ils permettent de réduire le risque de façon significative. En outre, la banque dédie des équipes entières de spécialistes à la prévention et à la détection des fraudes. Ces experts mènent de véritables enquêtes lorsque des fraudes ont lieu. Ils déposent plainte à la police et prennent les mesures nécessaires à la protection et à la récupération des fonds éventuellement détournés.
Que pouvez-vous faire ?
1. Informez vos collaborateurs
- Expliquez que ce risque existe, qu’aucune information n’est anodine et qu’elle doit être traitée comme un véritable asset de la société.
- Incitez-les à analyser de manière critique les demandes qui sortent de l’ordinaire et à les signaler.
- Développez une culture du contrôle, ce qui n’est pas incompatible avec une ambiance sereine et la confiance entre collègues.
- Méfiez-vous des changements dans les habitudes de vos clients ou de vos fournisseurs. Si on vous demande par exemple de payer une facture sur un compte à l'étranger alors que vous effectuez habituellement le règlement sur un compte domestique, faites preuve de la plus grande prudence. Vérifiez cette information auprès de votre client ou fournisseur et utilisez pour ce faire des canaux de communication courants et fiables.
2. Protégez vos systèmes informatiques
Sachez tout d’abord que malgré les tentatives de hacking et autres tentatives de fraude largement relayées par la presse, PC banking Business, Connexis et Isabel restent de loin les canaux les plus sûrs pour effectuer vos opérations financières. Néanmoins, il convient de respecter les règles suivantes :
- Équipez votre ordinateur d'un antivirus et d'un pare-feu et mettez-les systématiquement à jour.
- Ne répondez jamais aux questions posées par téléphone pendant une transaction en ligne. En aucun cas, votre banque ne vous appellera pour vous demander un code ou des données confidentielles.
- N'ouvrez que la session PC banking Business ou Isabel. En d’autres termes, assurez-vous que vous n'avez pas d'autres onglets ou fenêtres actives en ligne.
- N’apposez votre signature que sur un ordre que vous avez vous-même encodé. En cas de doute, faites immédiatement stopper l'opération en cours.
- Ne cliquez pas sur des liens qui renvoient vers le site de la banque, surtout s'ils vous sont envoyés par e-mail. Tapez vous-même l'URL.
- Prenez le temps de vérifier si aucune opération suspecte (virements vers des comptes inconnus ou vers l'étranger, …) n'a été effectuée.
3. Ne communiquez pas vos données
Certes, le phishing est encore relativement rare mais il se peut que vous receviez tout à coup un e-mail qui ressemble comme deux gouttes d'eau à un message de votre banque. Ne perdez pas de vue que celle-ci ne vous demandera jamais de données personnelles par e-mail (ou par téléphone). Si c'est le cas, il s'agit d'une fraude : la banque n'est pas le véritable expéditeur du message.
Autres signes qui doivent vous mettre la puce à l'oreille : des incohérences (message non nominatif rédigé dans un français approximatif) ou le fait que le mail apparaisse dans vos spams. Nous vous recommandons vivement de marquer ces intrus en tant qu'e-mails "indésirables" dans votre logiciel de courrier électronique. A conseiller : signalez la fraude à votre provider Internet afin que celui-ci bloque cet expéditeur.
4. Bloquez les faux virements papier
Si vous êtes des utilisateurs réguliers de canaux électroniques, demandez par exemple à votre chargé de relation de placer un blocage sur vos comptes afin de limiter le risque de faux virements papier.
Il ne s’agit pas d’une opposition bétonnée qui vous empêchera définitivement d’utiliser les canaux manuels ! Mais si BNP Paribas Fortis reçoit une demande de paiement manuel sur un des comptes bloqués, ce dernier sera automatiquement rejeté par nos systèmes et renvoyé vers votre chargé de relation. Lequel prendra contact avec vous pour vérifier que cette opération doit bien être introduite.
Le jour où, en raison d'un problème informatique par exemple, vous devriez réaliser ce type d’opération papier, il vous suffira d'en avertir votre chargé de relation.
Restez vigilant
18.04.2016
Vous êtes victime de fraude ?
À qui vous adresser si vous êtes confronté à un cas de fraude ?
Vous avez reçu un e-mail suspect mais vous n'y avez pas réagi ?
Transférez l'e-mail suspect à nos spécialistes, à l'adresse phishing@bnpparibasfortis.com. Joignez-le en annexe de votre mail. Nos experts tenteront de neutraliser au plus vite le site web frauduleux.
Vous avez communiqué votre signature électronique ou d'autres informations confidentielles (par téléphone ou sur un site web), vous avez rempli des champs suspects dans PC banking ou vous avez cliqué sur un lien dans un e-mail suspect ?
Contactez notre Helpdesk :
- PC banking/PC banking Pro +32 (0)2 228 08 88
- PC banking Business +32 (0)2 565 05 00
- Central Competence Centre Connexis +32 (0) 2 228 47 77
- Isabel +32 (0) 2 404 03 35
- Isabel (BNP Paribas Fortis) + 32 (0) 2 565 28 34
Prenez immédiatement contact avec votre chargé de relation.
Vous êtes confronté à une autre forme de fraude ?
Parlez-en immédiatement à votre chargé de relation.
Vous cherchez des mesures concrètes à mettre en œuvre pour vous protéger contre le risque de fraude ?
Ouvrez-vous en à votre chargé de relation. Il pourra vous donner des conseils ou faire appel aux spécialistes de la banque pour traiter des risques spécifiques à votre organisation (par ex. en ce qui concerne vos flux ou vos produits financiers).
10.06.2024
La facturation électronique entre entreprises désormais obligatoire
Le projet de loi qui veut introduire cette obligation dans notre pays est actuellement en discussion au parlement fédéral. Après l’approbation du projet, la « facturation électronique B2B » sera obligatoire dès le 1er janvier 2026. Nos experts expliquent pourquoi la Belgique veut introduire ces nouvelles règles, quelles sont les conséquences pour votre entreprise et comment nous pouvons encore mieux vous accompagner.
« Il s’agit d’une réglementation européenne qui sera transposée au niveau belge dès le 1er janvier 2026, explique Emmanuel Bairiot, Responsable Produit chez BNP Paribas Fortis. Elle concerne tout assujetti à la TVA dans le cadre de relations commerciales, soit le B2B, au niveau national. Cela concernera également les relations commerciales au-delà de nos frontières à l’horizon 2028-2030 : la transmission de facture sera harmonisée au niveau européen, aves les mêmes règles d’envoi, de réception et de contenu d’information. »
« Cette régulation européenne vise notamment à limiter la fraude fiscale, complète Emmanuel Bairiot. De plus, les factures électroniques contiennent des données structurées très riches en informations pertinentes. C’est utile au niveau de la politique économique des États membres, qui peuvent ainsi prendre le pouls du tissu entrepreneurial du pays et savoir comment s’adapter et fournir des aides. Cela peut également aider les entreprises dans leur cycle « order to cash », car ce processus dématérialisé est entièrement automatisé, ce qui permet aux entreprises de gagner en efficacité et de réduire le temps entre les différentes étapes comme l’envoi, la réception, l’encaissement... »
Pas une révolution mais une évolution
« La nouvelle réglementation n'est pas tant une révolution qu'une évolution, complète Frédéric Fontaine, Head of Transaction Banking chez BNP Paribas Fortis. Ce changement réglementaire sera facilité par les solutions comptables, les softwares, par les sociétés assurant l’émission de factures électroniques.
En tant que banque et société de factoring, nous nous devons d’être présents. Dès 2026, tous les assujettis à la TVA seront interconnectés de manière digitale pour l’envoi et la réception de leurs factures. La banque doit se glisser dans ce canal pour aider nos entreprises à payer et à être payées, et aussi financer des factures sortantes si nécessaire via le factoring. Cela fait partie de notre ADN digital. Nous guiderons nos clients et clientes depuis la création et tout au long du développement et de la croissance de ce processus. Nous serons présents. »
Quel impact pour les entreprises ?
« L’e-invoicing sera obligatoire à très court terme, souligne Emmanuel Bairiot. 2026, c’est demain. Nous recommandons à nos clients professionnels de se mettre en contact avec leur fournisseur de service de facturation, afin de voir comment ils abordent ce changement au niveau du logiciel de facturation. Sera-t-il conforme aux nouvelles règles ? En tant que client, dois-je faire quelque chose en plus ? »
« Il faut anticiper, poursuit-il. Les logiciels sont en train de s’adapter, donc les choses devraient se passer assez naturellement. Mais nos clients peuvent aussi se poser la question pour leurs relations commerciales hors frontières, à moyen terme. C’est aussi l’occasion de réfléchir à son propre processus de facturation. Faut-il réorganiser certains aspects ? »
Prêts à encore mieux vous accompagner
« En tant que banque numéro 1, nous sommes toujours au fait des évolutions, se réjouit Emmanuel Bairiot. Notre ambition est d’être de plus en plus performants digitalement et d’offrir des services à portée de main à nos clients et clientes, par exemple avec des outils tels qu’Easy Banking Business. En termes stratégiques, il est donc normal que nous nous intéressions à l’e-invoicing. De plus, nous bénéficions de l’expertise du Groupe, de sa vision sur l’invoicing au niveau international. Nous pourrons donc profiter de la position du Groupe et de notre expérience dans les canaux digitaux pour accompagner notre clientèle. »
En savoir plus ?
Écoutez l’épisode sur la facturation électronique B2B.
A ne pas manquer
- Cyber criminalité. La moitié des entreprises belges mal protégées
- Se familiariser avec le phénomène de la fraude ? Aperçu des techniques les plus fréquentes
- Apprivoiser le risque de fraude. Ou comment déjouer les plans des fraudeurs ?
- Vous êtes victime de fraude ?
- La facturation électronique entre entreprises désormais obligatoire