La Fraude électronique, une préoccupation commune aux trésoriers et aux DSI

Posté par le

Article extrait du site www.performancefinanciere.com :

Fraude interne – la plus importante – et fraude venue de l’extérieur. L’informatisation des processus, en particulier les transactions financières, n’en finit plus de nourrir l’appétit des malfaiteurs, et les angoisses des trésoriers. Lesquels ignorent bien souvent que de nombreuses parades technologiques et comportementales ont fait leurs preuves. Il suffit, pour en profiter pleinement, d’échanger avec les informaticiens sur les contraintes et les priorités de son métier.

Quelques chiffres et informations :

  • La fraude électronique a principalement pour objectif de détourner de l’argent au profit des pirates. Le mythe du hacker « Robin des Bois » a bien vécu.
  • […]
  • Comme avec les portes blindées de nos appartements, il n’existe pas de protection absolue contre les tentatives d’intrusion.
  • Comme avec les portes blindées de nos appartements, il est important de n’être ni la plus facile, ni la plus évidente des victimes
  • Plus de 80% des fraudes ont une origine interne, consciente ou pas.

 Et pourtant, des parades existent

[…]des solutions techniques existent. Ainsi, il est aujourd’hui possible de contrôler totalement la circulation, l’impression, ou encore la copie sur clés USB, d’une donnée dans le système d’information de l’entreprise. Cette capacité, proposée par les outils dits de DLP (Data Loss Protection), a été développée par des éditeurs spécialistes de la sécurité, qui voulaient répondre aux attentes des entreprises en matière de protection des données personnelles. Elle met en œuvre la surveillance de fichiers, de données (au niveau d’un champ) et parfois même d’informations spécifiées (par exemple un chiffre sensible). Lorsqu’un utilisateur tente de réaliser une opération inadéquate avec ces données, des messages de différents niveaux de gravité l’informent de son erreur, ou bloque carrément l’opération.

Or ces technologies sont assez peu utilisées jusqu’à présent. Ce ne sont pas leurs limites technologiques, ni leurs coûts de mise en œuvre qui posent problème. Mais bien le dialogue inexistant ou incomplet entre les directions informatiques et les directions métiers. En effet, qui, mieux que le trésorier de l’entreprise, peut savoir quelles sont les informations sensibles qui ne doivent pas sortir du périmètre ?

Cette technologie récente procure finalement un bon exemple du statu quo insatisfaisant qui prévaut en matière de sécurité des transactions financières électroniques. A cause de ce dernier adjectif « électronique », en effet, les spécialistes de la finance considèrent souvent que la sécurité des transactions ne les regarde plus. […]

Trésorier et DSI, que mettre en commun ?

[…] le Trésorier […] est détenteur de toute une série d’informations que le responsable de la sécurité informatique (RSSI) ignore, tout simplement parce que ce n’est pas son rôle de connaître l’ensemble des contraintes qui pèsent sur chacun des métiers de l’entreprise.

Les éléments réglementaires : par exemple, la loi anti-blanchiment impose des seuils pour les transactions au-delà desquels des vérifications supplémentaires sur l’origine des fonds et l’identité des opérateurs sont exigées. De nombreuses autres « règles » existent et pèsent sur le quotidien du trésorier qui doit évidemment les partager avec la DSI pour obtenir leur mise en œuvre. Il doit aussi, dans la mesure du possible, anticiper les nouveautés réglementaires, que le système d’information devra intégrer. En communicant le plus tôt possible avec la DSI, il facilite son travail, son efficacité et renforce donc la sécurité des transactions.

Les données critiques : le Trésorier sait quelles informations sont clés dans ses processus, et doivent donc être protégées (voire ci-dessus l’alinéa sur le DLP)

Les responsables : pour améliorer leur efficacité, mais aussi pour éviter que des personnes non autorisées n’interviennent sur les processus de la trésorerie, il faut une définition claire des profils et des droits des différents intervenants. L’informatique pourra ensuite choisir les outils adéquats pour sécuriser les processus. Par exemple, des solutions de signature électronique.

On terminera ce tour d’horizon en rappelant deux points essentiels. D’abord qu’en matière de sécurité informatique comme en matière de sécurité routière, la réponse technique ne suffit pas. Il est fondamental de travailler les comportements, donc de former et d’accompagner les collaborateurs de la direction financière. Qui, mieux que le trésorier, saura faire passer les messages sur la sécurité, vue du côté métier ?

Enfin, il est sans doute intéressant de s’interroger aujourd’hui, face à l’évolution rapide des menaces et des contraintes réglementaires, face à l’arsenal mouvant de solutions techniques et bien sûr, face aux évolutions du périmètre de l’entreprise à sécuriser : Pourquoi ne pas considérer les offres de type Saas, qui ont l’avantage d’intégrer rapidement de nouvelles fonctionnalités, souvent à frais constants, toujours sous une forme progicialisée qui facilite le déploiement et la prise en mains ?

Lire l’article complet : http://www.performancefinanciere.com/enjeux-tresorier/la-fraude-electronique-une-preoccupation-commune-aux-tresoriers-et-aux-dsi

Share Button
The following two tabs change content below.
Mon profil TwitterMon profil FacebookMy LinkedIn profile

Benoît RIVIERE

Après seize années passées en cabinet d’expertise-comptable et de commissariat aux comptes (où j’ai exercé comme expert-comptable et chef de mission audit), j’ai pris le poste de directeur comptable d’un groupe de distribution automobile en novembre 2014. Au cours de ma carrière, j’ai acquis une expérience significative en audit et en exploitation des systèmes d’information (analyse de données, automatisation des tâches, programmation informatique) au service de la production des comptes annuels et consolidés. C’est cette expérience personnelle et ma passion pour l’informatique que je partage sur ce blog. Mon CV / Réalisations personnelles et projets informatiques / Ma collection / Me contacter

Autour du même sujet :

  1. Eviter les intrusions informatiques en appliquant les règles de sécurité de base
  2. Maîtriser le risque de fraude à l’aide de la traçabilité de l’information
  3. Lu sur Mag-Securs.com : De grands patrons d’entreprises françaises visés par des hackers (escroquerie)
  4. Lu sur Silicon.fr : Les conseils d’administration au centre de l’insécurité des entreprises
  5. Changement d’hébergeur, l’occasion de redéfinir les politiques de sécurité

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *

Ce site utilise Akismet pour réduire les indésirables. En savoir plus sur comment les données de vos commentaires sont utilisées.