Une brève histoire des contrôles financiers

Depuis l’apparition du commerce, les gens se sont escroqués les uns les autres. La généralisation de la comptabilité en partie double, de la comptabilité légale et des réglementations commerciales raconte toujours la même histoire humaine : il y aura toujours des personnes pour voler tout ce qui n’est pas rivé au sol.

Au cours du siècle dernier, les registres comptables sont devenus extrêmement complexes, grâce à la technologie, la mondialisation et un paysage juridique de plus en plus compliqué. En parallèle, les méthodes des employés malhonnêtes ont évolué pour détourner de l’argent. Les professionnels et autorités comptables ont réagi en mettant en place des contrôles internes, qui, depuis leur montée en puissance dans les années 60, sont devenus essentiels dans toute entreprise bien organisée.

Depuis 15 ans, les menaces externes se sont considérablement accrues. Le raffinement croissant de la criminalité, l’importance grandissante de la technologie en entreprise et la généralisation des paiements électroniques rapides favorisent la réussite à l’échelle mondiale des arnaques, des rançons et des vols ciblant les sociétés.

La menace vient de l’intérieur

Le moyen le plus efficace de se prémunir contre ces nouvelles menaces externes est de renforcer la gouvernance de vos employés, car croyez-moi, la plus grande menace vient « de l’intérieur de la maison ».

« Vous insinuez que mon personnel n’est pas digne de confiance ? »

Non – pas toujours et pas intentionnellement.

Autrefois, le risque de fraude sur les paiements découlait principalement d’une combinaison d’opportunité, de besoins et d’accès de l’employé. Un salarié ayant accès aux fonds de l’entreprise peut être tenté d’en abuser, surtout si cela résout un problème important pour lui. Il finit alors par frauder l’entreprise et, s’il ne se fait pas prendre, cela devient souvent une habitude dont il a du mal à se défaire.

L’augmentation des fraudes externes ajoute une nouvelle dimension : la susceptibilité de vos employés, même bien intentionnés, à se faire avoir. Le « piratage » n’est pas une magie technologique qui ferait disparaître de l’argent d’un compte bancaire ; il consiste plutôt à donner un accès à un fraudeur déjà malveillant en trompant les personnes ou les systèmes.

Certes, vous pouvez former vos équipes à se montrer plus attentives face aux attaques, mais renforcer le contrôle financier sur leur travail et sur les systèmes constitue l’un des meilleurs moyens de lutter contre la fraude, quelle qu’en soit la source.

Stratégies générales

Avec l’évolution des tendances de fraude, les contrôles classiques et internes se sont rassemblés autour de trois grandes stratégies pour lutter contre la fraude sur les paiements.

Comme pour tout investissement, commencez toujours par une bonne gestion des risques : Quelles sont les menaces les plus probables et les plus préjudiciables pour votre activité ?

1. Réduire les points de défaillance uniques

C’est la version technique de notre fameux principe de séparation des tâches (SoD), qui étend le concept au-delà des personnes pour inclure systèmes et outils. Prenons l’exemple classique de la SoD : si un seul employé peut à la fois effectuer des paiements et modifier les écritures du grand livre, cela est risqué ; il incarne un point de défaillance unique pour la fraude sur les paiements. Après tout, il suffirait qu’une chose lâche (lui et son éthique) pour qu’une fraude aboutisse.

Avec les menaces actuelles, tout ce qui peut usurper leur identité est aussi un point de défaillance unique : leur mot de passe, leur ordinateur portable, ou même la prise de contrôle de leur messagerie.

Pour supprimer les points de défaillance uniques, partagez les responsabilités entre plusieurs collaborateurs et ajoutez des étapes de validation.

Cette discipline va loin. Dans les tactiques décrites plus loin dans cet article, j’aborderai certains des points de défaillance les plus courants et comment y remédier.

2. Réduire l’exposition

La réduction de votre exposition à la fraude de paiement repose sur deux axes majeurs : cibler la source et cibler l’impact potentiel. 

Agir sur la source vise à diminuer la probabilité que la menace se concrétise ; agir sur l’impact permet d’en limiter les pertes potentielles en cas d’incident. 

Considérez deux exemples classiques du contrôle de la fraude : les limites d'approbation réduisent la perte potentielle liée à des dépenses frauduleuses (impact) et le principe du moindre privilège diminue la probabilité de fraude en limitant le nombre de personnes capables de l'initier (sources).

Le secteur de la cybersécurité a une notion similaire appelée « surface d’attaque », généralement employée pour décrire des systèmes. Elle combine la vulnérabilité d’un système et le nombre d’éléments qui peuvent s’y connecter et donc l’attaquer. Les équipes cyber disposent généralement de la meilleure vision sur les modes d’attaque habituels des systèmes ; leur défi réside souvent à relier cette notion à des pertes financières réelles. Les avancées sur ce sujet se sont accélérées ces dix dernières années.

D’après mon expérience, la mise en œuvre de cette stratégie représente souvent l’opportunité la plus accessible pour la plupart des organisations afin d’améliorer leur sécurité. La majorité des escroqueries comporte au moins cinq étapes et les fraudeurs doivent réussir chacune d'entre elles ; pour les contrer, il suffit de les stopper à n’importe laquelle. Pour chaque étape possible d’un scénario de fraude, réfléchissez aux moyens de réduire les sources et l’impact. La plupart du temps, plusieurs opportunités gratuites (ou presque) existent à chaque étape du processus.

Le succès de cette stratégie demande autant de rigueur (dans la découverte et la documentation des processus) que de créativité (dans la recherche de solutions). Cet exercice se prête parfaitement à une animation en équipe et génère souvent, par ailleurs, des gains d’efficacité.

3. Créer des alertes exploitables

Intégrer des alertes et indicateurs dans les processus et systèmes peut stopper une fraude avant qu’il ne soit trop tard. En un sens, c’est la technique la plus ancienne du monde : la comptabilité en partie double, le rapprochement à trois documents et la majorité des normes GAAP reposent sur des mécanismes d’enregistrement indépendants exposant les problèmes.

Cette approche a permis des transformations monumentales dans de nombreux autres secteurs au siècle dernier – de la révolution industrielle de Toyota à la gestion moderne de produits – avec les entreprises technologiques en tête d’affiche, qui promeuvent cette méthode depuis quinze ans. De mon expérience, corroborée par des leaders d'opinion en finance, cette tendance commence tout juste à s’imposer. Durant les cinq dernières années, de nombreuses petites entreprises ont adopté la gestion par indicateurs, confiant la transformation au DAF. Bonne nouvelle pour vous !

Mais allez-y prudemment : les indicateurs, tableaux de bord et alertes ont un revers. Aujourd’hui, la donnée foisonne en entreprise. Les KPI, SLA et statuts sont présentés sur de jolis tableaux de bord prêts à l’emploi. Mais si l'indicateur ou l’alerte ne provoque pas une action directe (ou pire, une action inadéquate), il vaut mieux s’en passer.

Deux cas de figure à éviter : d’abord, un trop grand nombre de fausses alertes finit par désensibiliser les équipes, qui n’y prêtent alors plus attention.

Puis certaines entreprises choisissent des indicateurs qui ne débouchent pas sur des actions concrètes. On parle alors de métriques de vanité, qui, au pire, procurent un faux sentiment de sécurité, et détournent l’attention des vrais problèmes. Comme diraient les avocats...

Pour bâtir vos alertes, privilégiez les événements porteurs de signaux réels de problème. En règle générale, ne suivez et ne déclenchez d’alerte que si tous les intervenants s’accordent à dire que le risque justifie le temps d’y prêter attention.

Join our Community

Join North America’s most innovative collective of Tech CFOs.

Sign up with LinkedIn

Or sign up with email:

Email

This field is for validation purposes and should be left unchanged.

Name*

First name Last name

Business email*

This field is hidden when viewing the form

Free Account Module

Bottom BarLanding PageFooterInlinePop UpSidebarSSO

LinkedIn profile

Seniority*

Select an optionExecutive / C-suiteVPDirectorManagerIndividual ContributorOther

Company's AI adoption maturity*

Select an optionExploring opportunitiesRunning pilotsScaling adoptionEmbedded in the business model

Tactiques pour prévenir la fraude aux paiements

Malgré l’immense valeur des contrôles internes conventionnels et éprouvés, certains restent inaccessibles à toutes sauf les plus grandes organisations. Voici quelques mécanismes que je juge particulièrement efficaces pour bloquer la fraude moderne dans les structures plus modestes, souvent pour un effort étonnamment limité. Ces contrôles sont présentés par ordre approximatif de priorité, mais la valeur et l’effort associés varieront grandement selon votre entreprise. 

1. Segmenter les comptes

Stratégie : réduire l’exposition

Ce grand classique reste trop peu adopté par les entreprises en croissance. Isoler des comptes bancaires pour les paiements peut éviter des pertes extrêmes. Gardez un compte dédié aux paiements exceptionnels, un autre pour les charges mensuelles récurrentes et un compte de trésorerie bien séparé pour les autres fonds. 

Maintenez un faible solde sur le compte habituel, provisionnez manuellement le compte des paiements exceptionnels, et ne payez jamais sur le compte de trésorerie. Toute fraude touchant l’un de ces deux premiers comptes n’entraînera que des pertes minimes ou échouera complètement.

Ce contrôle est facilement mis en œuvre grâce aux plateformes d’automatisation des comptes fournisseurs.

2. Enregistrement auprès d’agences d’évaluation de crédit

Stratégie : réduire l’exposition

Celle-ci est simple et concerne un autre type de fraude : l’usurpation d’identité de votre entreprise. Un faux crédit peut être contracté au nom de votre société, et le nettoyage peut être fastidieux. S'enregistrer dès le départ auprès des agences de crédit pour entreprises peut rendre la tâche beaucoup plus difficile aux criminels qui voudraient vous nuire de cette façon.

3. Quittez l’e-mail

Stratégie : Réduire les points de défaillance uniques

L’e-mail permet une grande quantité de fraudes et de délits. Cela n’a rien d’étonnant, car de nombreuses entreprises gèrent presque tout par ce biais. Si c’est le cas de votre société, l’e-mail est probablement un point de défaillance unique : si un fraudeur s’introduit dans vos mails, il pourrait causer de gros dégâts tout en effaçant ses traces.

Le correctif est simple : utilisez uniquement des systèmes dédiés pour effectuer des activités à haut risque.  

4. Authentification unique et authentification multi-facteurs

Stratégie : Réduire les points de défaillance uniques

Celle-ci est un peu technique, mais elle en vaut vraiment la peine. La meilleure façon de gérer les mots de passe, la fédération, élimine un grand nombre de points de défaillance uniques pour l'usurpation d'identité criminelle sur vos systèmes. Ce qu’il vous faut, c’est un système central moderne qui agit comme fournisseur d'identité pour votre personnel ; vous demanderez alors à chaque outil ou application que vous utilisez de lui faire confiance. Les employés se connectent au fournisseur d'identité, et tout le reste se connecte comme par magie.

Comme je l'ai évoqué, c’est technique, donc votre équipe informatique devra établir les connexions.

Les mots de passe représentent souvent un point faible, donc exiger une solide authentification multi-facteurs (MFA) élimine ce risque. Tout fournisseur de fédération digne de ce nom vous recommandera fortement de l’exiger également.

5. Pots de miel (« Honeypots »)

Stratégie : Alertes exploitables

Les honeypots (également appelés jetons canaris) sont une approche qui vous permet de savoir si un cybercriminel a réussi à franchir toutes vos protections et accéder à une ressource qui ne devrait pas l’être. Les honeypots sont des leurres qui envoient automatiquement une alerte lorsqu’ils sont activés. C’est le plus courant dans le secteur technologique, mais il est aussi possible d’en créer pour les données de paiement. Cela fonctionne particulièrement bien avec les plateformes financières automatisées, mentionnées dans la tactique n°10.

Mettre en place des honeypots techniques est simple et gratuit. 

6. Externalisez à un prestataire

Stratégie : Réduire les points de défaillance uniques

Passer par un prestataire n’est souvent pas seulement moins cher qu’une gestion en interne, mais c’est aussi plus résistant. L’externalisation permet d’éliminer de nombreux points de défaillance uniques en répartissant les besoins de votre société sur des équipes et systèmes plus larges.

De nombreuses entreprises constatent qu’un service de gestion des comptes fournisseurs devient l’option la moins coûteuse dès lors que cette tâche occupe la moitié du temps d’un salarié. Comme ce calcul ne prend pas en compte le coût de la fraude, je recommande souvent aux entreprises d’y réfléchir bien avant d’en arriver là. Certaines plateformes d’automatisation permettent à une équipe financière de multiplier par 100 son volume de traitement sans embauches supplémentaires ni perte de contrôle.

Externaliser vos systèmes informatiques vers une plateforme web peut aussi être une excellente manière de supprimer les points de défaillance uniques. Ils feront un travail bien plus fiable en termes de chiffrement, d’identification des malwares et vulnérabilités, de résistance aux violations de données et de prévention du phishing, que ce que vous pourriez mettre en œuvre en interne.

Cela ne fonctionne que si la prestation externalisée comporte peu ou aucun point de défaillance unique. Beaucoup de prestataires financiers proposent un comptable polyvalent dédié, à temps partiel, qui gère vos systèmes et procédures : ce n’est pas une bonne idée si vous souhaitez réduire le risque. De même, de nombreuses plateformes web continuent d’utiliser les mêmes modèles fragiles qu’en 2006, rajoutent des mots à la mode comme « cloud » dans leur marketing et espèrent que personne ne regardera sous le capot. Inutile de préciser : aucune de ces deux solutions n’apporte de véritable bénéfice en sécurité.

7. Cartes virtuelles

Stratégie : Réduire l’exposition

Utiliser un prestataire de cartes virtuelles permet de contrôler précisément à qui vous payez et combien vous payez. J’ai déjà abordé les cartes virtuelles dans mon article expliquant comment sécuriser les paiements B2B. La plupart des plateformes AP automatisées proposent des cartes virtuelles.

8. Validation des fournisseurs et rapprochement à trois voies

Stratégie : Réduire l’exposition

Limiter les paiements à une liste de fournisseurs autorisés, valider les informations de paiement et rapprocher les factures avec les bons de commande peut permettre d’éliminer de nombreux types de fraudes peu sophistiqués. De nombreux prestataires proposent le rapprochement avec une liste de fournisseurs vérifiés ; cela peut être étonnamment abordable.

9. Positive Pay

Stratégie : Réduire l’exposition

Cette fonctionnalité vous permet d'envoyer chaque mois à votre banque une liste des bons de commande autorisés. La banque bloque alors les paiements ACH et par chèque qui ne correspondent pas à cette liste et informe l'entreprise lorsqu'elle le fait. Il y a vingt ans, ce mécanisme s'est fait une réputation de processus lourd, mais de nombreuses offres ont depuis considérablement simplifié les principaux inconvénients.

10. Finance Automatisée

Stratégie : Alertes exploitables & réduction des points de défaillance uniques

Une plateforme de finance automatisée peut vous offrir un contrôle extrêmement précis sur le mouvement de l'argent dans votre organisation avec nettement moins de personnel. Cela peut être d'une valeur considérable mais représente souvent une transition coûteuse. À prendre en compte :

• Paiements automatiques aux fournisseurs réguliers et de longue date. Vous pouvez généralement configurer les détails de paiement dans la fiche fournisseur.
• Facturation automatique et relance
• Virements automatisés et créances
• Alertes pour transactions et soldes inattendus
• Traitement automatique des factures et du rapprochement en trois ou deux étapes
• Détection IA/anomalie (informations ci-dessous)

Certaines plateformes vous alertent de façon intelligente sur les transactions à risque, en se basant sur les menaces actuelles du secteur et sur l'activité du grand livre qui est normale pour votre entreprise. Mon conseil ? Si vous souhaitez choisir un produit pour sa fonctionnalité de détection d'anomalies, essayez-le d'abord. Les produits IA sont toujours opaques, vous ne pouvez donc pas mesurer objectivement leur qualité. L'efficacité de ces solutions "boîte noire" tend également à se dégrader au fil des ans, à mesure que les menaces et les conditions évoluent.

Produits technologiques pour les comptes fournisseurs

Voici une sélection de plateformes de comptes fournisseurs, nouvelles et reconnues, intégrant des fonctionnalités évoquées dans cet article. Les banques proposent également des services AP et AR externalisés (souvent sous le nom de traitement de remises), généralement sous marque blanche d'un prestataire dédié.

La fraude est évitable

Vous pouvez éliminer de nombreux dommages liés à la criminalité en ligne en mettant en place des contrôles internes solides sur vos comptes fournisseurs. Bien que les menaces externes aient explosé au cours de la dernière décennie, les outils permettant de les détecter et de les prévenir se sont eux aussi développés.

Pour plus de conseils à destination des professionnels de la finance, y compris comment protéger votre entreprise contre les menaces en ligne, abonnez-vous dès aujourd'hui à la newsletter The CFO Club.

J'aimerais connaître votre avis : quels contrôles ont été les plus efficaces pour prévenir la fraude ? En avez-vous mis certains en place ? Dites-le-moi dans les commentaires ou sur les réseaux sociaux.