close
Share with your friends
Fraude par virement électronique

Fraude par virement électronique

Fraude par virement électronique

Dans un contexte financier mondial en constante évolution où les réseaux bancaires s’amenuisent, où le volume des paiements numériques augmente et où les paiements sont traités en quelques secondes, les fraudeurs usent de créativité pour trouver de nouvelles façons de voler les organisations.  

Le risque de cyberfraude s’impose comme l’une des principales menaces auxquelles les organisations d’aujourd’hui sont confrontées. En réaction, les organisations doivent se montrer agiles pour répondre aux cybermenaces et adopter de nouvelles approches et technologies pour détecter, prédire et prévenir la fraude par virement électronique.

Comprendre la fraude par virement électronique

La fraude par virement électronique s’entend d’une situation où un fraudeur commet une fraude ou obtient de l’argent sur la base de fausses représentations. Dans le monde technologique d’aujourd’hui, les fraudeurs tentent d’infiltrer les organisations, notamment au moyen de communications électroniques comme des courriels, des messages texte ou des messages sur les médias sociaux. À l’issue d’enquêtes récentes, KPMG a observé une augmentation des attaques par hameçonnage, mécanisme permettant aux fraudeurs d’obtenir l’accès à l’information financière d’une entreprise.

Une attaque par hameçonnage s’entend d’un scénario dans lequel une personne envoie un courriel en se faisant passer pour quelqu’un d’autre afin d’obtenir des renseignements de la personne ciblée par l’attaque. Généralement, dans une attaque par hameçonnage, la victime clique sur un lien dans un courriel et saisit son mot de passe, après quoi le fraudeur est en mesure d’obtenir suffisamment d’information pour accéder au compte ou à la boîte de courriel de la victime. Le fraudeur peut ensuite extraire des informations financières qu’il pourra utiliser pour tenter d’effectuer des virements électroniques, ou encore pour usurper l’identité de la personne ciblée afin d’effectuer des virements électroniques frauduleux.

L’attaque par hameçonnage visant l’obtention d’informations financières est généralement utilisée dans l’une des deux situations suivantes :

  • le fraudeur obtient sans autorisation l’accès au compte de courriel d’un employé qui contient les informations financières d’une organisation, lesquelles sont ensuite utilisées par le fraudeur pour obtenir l’accès aux comptes bancaires de cette organisation;
  • un employé est contraint de transférer de l’argent dans un compte dont le fraudeur a le contrôle.

Prenons par exemple une situation par laquelle un employé reçoit un courriel d’un fournisseur concernant le paiement d’une facture récente. Le ton du message est convivial, le fournisseur félicite l’employé pour sa récente promotion et mentionne que la fin de l’exercice du fournisseur approche et qu’un paiement accéléré de la facture impayée serait apprécié. L’employé se rappelle que le fournisseur a récemment effectué des travaux pour l’organisation, reconnaît le nom du chargé de compte et soumet la facture en vue du paiement. Toutefois, l’employé n’a pas remarqué que le courriel auquel il a répondu provenait de l’adresse w.white@abcc0rp.com et non de w.white@abccorp.com, la véritable adresse courriel du chargé de compte.

Cependant, les actes frauduleux ne sont pas commis qu’à l’externe. Une attention particulière devrait être portée aux dommages causés par une fraude interne, lesquels peuvent être aussi grands, sinon plus, que ceux causés par une fraude externe, en raison du fait que les employés peuvent exploiter les faiblesses des contrôles d’une organisation pour cibler ses actifs financiers.

Intelligence artificielle

Alors que les volumes de données augmentent et que les mécanismes de sécurité se complexifient, les fraudeurs se tournent vers l’intelligence artificielle (« IA ») pour compromettre les données et la sécurité de celles-ci. Par exemple, les fraudeurs mettent à profit l’IA afin d’automatiser les cyberattaques, pour être plus efficaces et plus efficients lorsqu’ils exploitent les vulnérabilités, et pour développer des programmes malveillants qui peuvent évoluer de façon à passer inaperçus. Pour lutter contre l’adoption de l’IA par les fraudeurs, les organisations se tournent vers l’IA pour détecter, prédire et prévenir les cyberincidents. Le rôle que joue l’IA en lien avec la cybersécurité continuera d’évoluer dans les deux camps.
 

Comment les institutions financières s’intègrent-elles dans l’équation?

Du point de vue d’une institution financière, ce qui rend difficile la détection des fraudes par virement électronique, c’est que dans la plupart des cas, le client semble accéder de façon légitime à son compte ou donne des instructions en bonne et due forme pour un virement de fonds. Les institutions financières évaluent continuellement leurs contrôles, et de nombreuses institutions ont maintenant des équipes spécialisées qui répondent à ces risques.
 

Mesures de détection, de prédiction et de prévention de la fraude par virement électronique

Les organisations font face au besoin de plus en plus pressant d’assurer un équilibre entre l’efficience opérationnelle et la protection de l’un de ses actifs les plus précieux, c’est-à-dire ses actifs financiers. Des contrôles et des systèmes inefficaces au sein d’une organisation pourraient entraîner une mauvaise gestion des incidents frauduleux, ce qui, en retour, pourrait influer négativement sur la capacité d’une organisation à prendre de bonnes décisions en matière d’attribution des ressources et d’investissement.

Les contrôles de la fraude par virement électronique mettent à profit à la fois les solutions technologiques et l’expertise humaine. Un des principaux mécanismes de protection techniques consiste à mettre en place des droits ou des contrôles d’accès aux renseignements. Il s’agit de mécanismes qui régissent les droits d’accès aux renseignements (et leur révocation), les restrictions de l’utilisation et la sécurité. De la même façon, les droits d’accès peuvent être utilisés par les organisations pour créer une série de protocoles de gestion standardisés et personnalisés qui définissent la manière dont les renseignements sont partagés avec des tiers. Dans ce contexte, les contrôles d’accès donnent aux organisations la capacité de relier de façon sécuritaire et confidentielle leurs informations financières avec les membres clés de leur personnel.

En ce qui a trait à l’expertise humaine, les organisations devraient mettre en place un ou plusieurs des mécanismes suivants pour tenter de lutter contre la fraude par virement électronique.

  • Les organisations auraient tout intérêt à adopter des processus formels pour valider les changements à la politique prédéterminée de paiement des factures, particulièrement à l’égard des demandes de renseignements effectuées par courriel au sujet d’un paiement. Une attention particulière doit être accordée aux demandes de renseignements sur des paiements internes qui dévient des processus standardisés. Il faut toujours prendre en compte la possibilité qu’un compte ait été piraté ou « mystifié ».
  • En ce qui a trait aux demandes de paiement externe, si le processus de paiement standardisé n’est pas respecté, un mécanisme de rappel doit être mis en place pour confirmer les changements auprès du demandeur en le joignant à son numéro de téléphone habituel (et non pas au numéro de téléphone indiqué dans le courriel fournissant les instructions de paiement) ou à celui d’une personne expressément désignée.
  • Les demandes de paiement inhabituelles devraient être examinées attentivement pour confirmer qu’il s’agit de demandes légitimes, ce qui comprend :
    • les paiements en devises / destinés à une banque étrangère pour des fournisseurs locaux;
    • les demandes de paiement urgentes;
    • les paiements versés à des bénéficiaires différents;
    • les paiements de sommes très élevées.
  • Les organisations devraient élaborer des procédures de recouvrement / d’annulation des virements / paiements électroniques. Dans le cas d’une fraude par virement électronique, il faut agir vite. Selon les services secrets américains, si le virement n’a pas été rappelé dans les 72 heures, les chances de recouvrer les fonds sont de moins de 9 %.

Communiquez avec nous

 

Vous voulez faire affaire avec KPMG?

 

loading image Appel d’offres