La DFCG et Euler Hermès ont présenté une étude sur les fraudes en 2019. Un sujet que les DAF doivent prendre au sérieux puisqu’il concerne 7 entreprises sur 10. Les méthodes les plus courantes sont les usurpations d’identité pour deux tiers et l’intrusion dans le SI pour le tiers restant. (Image Pete Linforth / Pixabay)
Le réseau des dirigeants financiers français DFCG et la société d’assurance-crédit Euler Hermes ont publié une enquête sur l’attitude des entreprises face à la fraude et à la cybercriminalité en 2019, dont ils ont présenté les résultats à l’occasion de la digital automation week d’Itesoft, éditeur d’automatisation et orchestration de processus. 200 entreprises ont été interrogées sur l’état des lieux de la menace
Plus de 7 entreprises sur 10 dans l’échantillon déclarent avoir subi au moins une tentative de fraude en 2019 et pour plus d’une sur 4, la fraude s’est avérée. « La plupart du temps, les fraudeurs renouvellent leurs attaques jusqu’à 5 fois envers une même cible, jusqu’à briser les lignes de défense de l’entreprise, » a précisé Christian Laveau, président du groupe de travail cyberfraude à la DFCG. Et l’impact est lourd puisque pour un tiers des répondants, le préjudice a dépassé 10000 euros et pour un sur dix, il s’élève à plus de 100 000 euros. Sans surprise, ils sont 84% à craindre une accentuation de ces risques, soit 6% de plus qu’en 2018. D’autant plus inquiétant que l’enquête a été menée avant la crise du covid-19.
Dans 29% des cas, la fraude est une cyberfraude
Outre les usurpations d’identité (faux fournisseur, faux président, faux client, etc), les intrusions dans le système d’information représentent pour 29% les formes les plus fréquentes de fraude. En augmentation, elles sont utilisées pour des attaques directes via des ransomwares (15%) mais aussi pour préparer une fraude. Dans plus d’un cas sur deux, c’est une initiative humaine qui a révélé le problème. Selon la DFCG, cela peut signifier que les dispositifs de contrôle sont trop faibles ou pas assez systématiques, ou que trop peu d’outils techniques sont mis en œuvre.
Six entreprises sur dix n’ont alloué aucun budget à la lutte contre cette cybermenace. Les investissements entrepris vont en priorité (56%) à la sensibilisation et à la formation des autres directions que la DAF, à l’audit de sécurité des SI et des procédures de contrôle interne. Selon Christian Laveau, pour mieux se protéger, les DAF doivent absolument entreprendre plusieurs types de démarches. Ils doivent revisiter leurs standards de contrôle et les modus operandi avec leurs banquiers (identifier les signatures en accès libre, par exemple), tenir compte des signaux faibles de vulnérabilité (procédures de contrôle, informatique, employés temporaires ou en vacances, etc.) et diligenter des enquêtes internes. « Et après une cyberfraude, ajoute-t-il, ils ne doivent surtout pas oublier de communiquer sur ce qui s’est passé, d’en analyser les causes et de réaliser un retour d’expérience en bonne et due forme. »
Emmanuelle Delsol
