Centre de ressources

Les médias vous donnent peut-être l’impression que les fraudeurs et les cybercriminels s’en prennent principalement aux grandes sociétés ou aux personnes peu méfiantes, que ce soit par téléphone ou par courriel, mais elles ne sont pas les seules victimes. En effet, les entreprises canadiennes de taille moyenne sont de plus en plus visées par les syndicats du crime et les pirates informatiques, qui déploient des méthodes toujours plus sournoises allant de la « classique » fraude par chèque aux cyberattaques sophistiquées.

Malgré cette escalade de la criminalité, les entreprises de taille moyenne ne sont pas sans moyens de protection. Elles peuvent s’équiper d’un mélange de mises à niveau des méthodes de paiement électronique et de formation traditionnelle pour sensibiliser leurs employés à la fraude.

« Les fraudeurs essaient toujours d’avoir une longueur d’avance, mais c’est par la prévention qu’on peut protéger son entreprise : attaquez le problème de front, sensibilisez votre équipe et prenez des mesures simples », déclare Paula Merrier, première directrice et chef de groupe, Services de paiements et de gestion de trésorerie pour l’Ouest du Canada à la Banque Scotia.

Suivre l’évolution des menaces

Alors que mars est le Mois de la prévention de la fraude, moment où les forces de l’ordre et les institutions financières mènent des campagnes de sensibilisation à la fraude, Mme Merrier et son équipe sensibilisent à l’année longue les clients et leurs entreprises de taille moyenne aux nouvelles menaces de fraude et aux mesures de cybersécurité.

Ces rencontres abordent la sensibilisation aux fraudes classiques, comme la fraude par chèque, par laquelle les criminels volent les provisions de chèques d’une entreprise, par exemple en se faisant passer pour un messager et en subtilisant des enveloppes à la réception ou en forçant les boîtes aux lettres, et falsifient les montants et les bénéficiaires de chèques existants, ou encore créent des contrefaçons en utilisant les renseignements bancaires volés.

Le cybercrime est toutefois en constante évolution, particulièrement dans le domaine de la compromission des courriels d’affaires. Cela se produit lorsqu’un pirate informatique s’infiltre dans les serveurs d’une entreprise pour espionner les échanges de courriels internes, s’immiscer dans des conversations et piéger un employé du service des finances ou du service de la paie. Ils peuvent entre autres se faire passer pour un employé et demander à un préposé à la paie de changer ses informations bancaires afin que la paie soit déposée électroniquement dans son propre compte.

Un autre cas de figure est celui du cybercriminel qui se fait passer pour un fournisseur et contacte le préposé aux comptes fournisseurs pour changer les instructions bancaires et détourner à son compte les prochains télévirements ou transferts électroniques de fonds. Il peut même usurper l’identité d’un membre de la direction de l’entreprise pour convaincre un employé du service des finances d’effectuer un paiement urgent.

« Ces fraudes sont étonnamment faciles à perpétrer. La majorité d’entre elles peut être évitée si l’employé prend l’habitude de toujours recontacter le demandeur en utilisant les renseignements que possède l’entreprise afin de confirmer les changements aux instructions », explique Mme Merrier

"

Il s’agit de s’assurer que le personnel connaît et comprend les protocoles de sécurité financière. Les employés, à tous les niveaux, doivent être en mesure de remettre en question toutes les transactions.

La formation au sein de l’entreprise devrait aussi sensibiliser les employés aux fraudes modernes en rappelant d’être vigilants lorsqu’ils parcourent le Web et de ne pas cliquer sur des liens suspects. Ce dernier point, note Mme Merrier, est souvent la porte d’entrée qu’utilisent les fraudeurs pour s’immiscer dans le système de l’entreprise. « Les fraudeurs tendent l’“hameçon” en envoyant un courriel qui semble authentique dans lequel l’employé est encouragé à “cliquer sur le lien”. Malheureusement, c’est ce qui donne au pirate l’accès au réseau de l’entreprise et lui permet d’installer des maliciels ou de commettre des fraudes. »

Se protéger de la fraude

Bien que la fraude s’étende à une foule de créneaux, des espions d’entreprise qui s’infiltrent dans les multinationales aux appels de « remboursement d’impôts » qu’on reçoit tous, les entreprises de taille moyenne sont des proies particulièrement vulnérables.

« Les entreprises du marché intermédiaire ne sont pas toujours aussi “technologiques” qu’elles pourraient l’être, mais la COVID-19 a forcé un grand changement dans les processus de paiements, et la Banque aide les clients à adopter des méthodes de paiement électronique qui offrent plus de protection », souligne Mme Merrier. « C’est parfois, par exemple, que le propriétaire de l’entreprise préfère signer ses chèques ou bien que l’équipe des finances de l’entreprise est petite et a plusieurs responsabilités et ne peut donc pas être experte dans tous les domaines. Dans ces cas-là, nous prenons notre rôle de conseiller de confiance très au sérieux et donnons des trucs pour aider nos clients à gérer leur entreprise en toute sécurité et avec efficacité. »

Elle ajoute que les Services de paiements et de gestion de trésorerie de la Banque Scotia ont intensifié la communication avec les clients durant la pandémie, alors que les cybercriminels ciblent de plus en plus les entreprises dont les employés travaillent à distance.

"

Nous discutons de façon proactive des questions de sécurité dans le cadre de leurs solutions financières. La COVID-19 a permis à plusieurs de trouver les failles dans leurs processus. 

Parmi les solutions faciles à adopter, les émetteurs de chèques peuvent choisir le service de Rapprochement des bénéficiaires, par lequel l’entreprise fournit à la Banque un fichier de données rassemblant les renseignements des chèques émis chaque fois qu’elle en imprime. La Banque Scotia compare ensuite chaque effet présenté à l’encaissement à la liste de chèques émis fournie par le client et rapporte les anomalies. Le rapprochement peut se faire jusqu’au nom et à l’adresse du bénéficiaire. « Nous recommandons vivement ce service à nos clients, ajoute Mme Merrier

Autrement, les clients qui utilisent les plateformes en ligne de la Banque Scotia pour les télévirements et les transferts électroniques de fonds peuvent tirer avantage de nombreuses mesures de sécurité, comme les processus d’approbation personnalisés, qui permettent des paiements plus rapides, moins coûteux et plus efficaces que s’ils étaient traités manuellement.

La sécurité n’est jamais « pour de bon »

Comme les fraudeurs sont acharnés, Mme Merrier recommande aux entreprises de ne pas voir la fraude et la cybersécurité comme une tâche réglée « pour de bon », mais plutôt de faire ce qui suit :

1.     Sensibiliser toute l’équipe : formez régulièrement ou faites des rappels à tous les niveaux de l’organisation sur les processus financiers sécuritaires et la conscientisation à la fraude afin d’être cyberprotégé au travail et à la maison.

Fiez-vous à des sources fiables du gouvernement ou du secteur, comme le Gouvernement du Canada, le Centre antifraude du Canada, Paiements Canada et l’Association des banquiers canadiens.

2.     Partager la responsabilité : souvenez-vous que la prévention de la fraude est une responsabilité partagée. Les entreprises doivent prendre les mesures nécessaires pour se protéger. Même si les institutions financières déploient leurs meilleurs efforts pour recouvrer les fonds volés, il n’y a aucune garantie que les pertes seront entièrement récupérées.

3.     Protéger vos systèmes : portez une attention constante à la protection de vos systèmes en gardant vos logiciels antivirus et pare-feu à jour, en faisant des analyses système pour déceler les virus et maliciels et en demandant une authentification à deux facteurs lorsque possible.

4.     Revoir vos processus financiers : revoyez vos processus et contrôles financiers régulièrement, y compris les mécanismes de contrôle de vos paiements et processus de rapprochement.

5.     Surveiller vos activités bancaires : surveillez les activités du compte et effectuez un rapprochement quotidien.

6.     Discuter des pratiques de paiements : parlez des pratiques exemplaires en ce qui a trait aux services de paiements et de gestion de trésorerie avec votre banquier pour trouver les options de service et les protections qui vous conviennent le mieux. Vous trouverez les points importants sur Banquescotia.com.

Enfin, Mme Merrier conseille vivement aux clients d’agir rapidement s’ils pensent être victimes d’un crime. « Le temps presse. Contactez votre banque sans tarder, recueillez le plus de renseignements possible et déposez un rapport à la police. Ensuite, prenez le temps de tirer des leçons de l’incident pour mieux protéger votre entreprise et retrouver le sentiment de contrôle et de résilience. »

"

Elle conclut en ajoutant : « On ne mettra jamais un terme à la fraude, mais on peut la prévenir en sensibilisant nos équipes, en surveillant les activités de nos comptes et nos contrôles, en plus de changer pour des moyens électroniques plus sécuritaires. Tout commence par la banque, car nous avons des conseils et des solutions à vous offrir. »