Une brève histoire des contrôles financiers

Depuis les débuts du commerce, les gens se sont trompés mutuellement. La diffusion de la comptabilité en partie double, de la comptabilité analytique et des réglementations commerciales racontent toutes la même histoire humaine : il y aura toujours des personnes prêtes à voler tout ce qui n’est pas attaché.

Au cours du dernier siècle, les registres comptables ont gagné en complexité, grâce à la technologie, à la mondialisation, et à un paysage juridique plus compliqué. À mesure que la complexité augmentait, les moyens pour des employés peu scrupuleux de détourner de l’argent se développaient. Les milieux comptables et les organismes de régulation associés ont donc développé des contrôles internes, qui se sont renforcés dans les années 60 pour devenir aujourd’hui une composante essentielle d’une entreprise bien gérée. 

Au cours des 15 dernières années, les menaces extérieures se sont fortement accrues. L’augmentation de la sophistication des criminels, l’importance croissante des technologies d’entreprise et la transition vers des paiements électroniques rapides ont favorisé la multiplication des escroqueries, des rançons et des vols ciblant les entreprises à l’échelle mondiale.

La menace vient de l’intérieur

Le moyen le plus efficace de prévenir ces nouvelles menaces externes est de renforcer la gouvernance de vos employés, car croyez-moi, votre plus grand danger vient de « l’intérieur de la maison ». 

« Vous voulez dire que mon personnel n’est pas digne de confiance ? »

Non – pas toujours et pas intentionnellement.

Auparavant, le risque de fraude sur les paiements provenait surtout d’une combinaison d’opportunité, de besoin et d’accès pour l’employé. Un collaborateur ayant accès aux fonds de l’entreprise peut être tenté d’en profiter, surtout si cela peut résoudre un gros problème pour lui. Il escroque alors l’entreprise et, s’il ne se fait pas prendre, cela finit souvent par devenir une habitude dont il ne sort plus.

L’essor des fraudes externes ajoute un autre facteur : la vulnérabilité de vos employés bien intentionnés face à la tromperie. Le « hacking » n’est pas une sorcellerie technologique capable de faire disparaître magiquement de l’argent d’un compte ; il s’agit de donner à un fraudeur déjà malveillant un accès par la manipulation de personnes ou de systèmes.

Même si vous pouvez former vos employés à être plus vigilants, renforcer les contrôles financiers sur leur travail et leurs outils est un des meilleurs moyens de limiter les risques de fraude, quelle qu’en soit la source.

Stratégies générales

À mesure que les tendances de la fraude évoluent, les contrôles traditionnels et internes se sont regroupés en trois grandes stratégies pour lutter contre la fraude aux paiements.

Comme pour tout investissement, commencez toujours par une gestion des risques solide : quelles sont les menaces les plus probables et les plus dangereuses pour votre entreprise ?

1. Réduire les points de défaillance uniques

Il s’agit de la version « ingénieur » du bon vieux principe de séparation des tâches (SoD), en élargissant l’idée au-delà des personnes pour inclure les systèmes et outils. Prenons le cas classique de la SoD : si un employé seul peut à la fois effectuer des paiements et modifier des écritures du grand livre, c’est risqué ; il représente un point unique de défaillance pour la fraude sur les paiements. Après tout, il suffirait qu’une seule chose fasse défaut (lui et son éthique) pour qu’une fraude soit commise avec succès.

Avec les menaces modernes, tout ce qui peut l’imiter est aussi un point de défaillance : son mot de passe, son ordinateur portable, ou même la prise de contrôle de son email.

Pour éliminer les points de défaillance uniques, partagez-les entre plusieurs membres de l’équipe et ajoutez des étapes de validation.

Cette discipline va loin. Plus loin dans cet article, je passerai en revue certains des points de défaillance les plus courants et la meilleure façon de les traiter.

2. Réduire l’exposition

Il existe deux grands axes pour diminuer votre exposition à la fraude aux paiements : cibler les sources et limiter l’impact potentiel. 

Agir sur la source des menaces permet de réduire la probabilité qu'elles se produisent ; agir sur l'impact minimise les pertes potentielles en cas de survenance. 

Considérez deux exemples classiques du contrôle de la fraude : les limites d'approbation réduisent la perte potentielle liée aux dépenses frauduleuses (impact), et le principe du moindre privilège diminue la probabilité de fraude en limitant le nombre de personnes pouvant la déclencher (sources).

Le secteur de la cybersécurité possède une notion similaire appelée surface d’attaque, généralement utilisée pour décrire les systèmes. Il s’agit d’une combinaison du niveau de vulnérabilité d’un système et du nombre d’éléments susceptibles de s’y connecter et donc de l’attaquer. Les équipes cyber ont souvent une vision approfondie des méthodes d’attaque habituelles ; leur défi réside généralement à relier cette vision aux pertes financières réelles. Les avancées à ce sujet se sont accélérées au cours de la dernière décennie.

D’après mon expérience, mettre en œuvre cette stratégie constitue souvent l’opportunité la plus accessible pour la plupart des organisations afin d’améliorer leur sécurité. La majorité des arnaques se composent d’au moins cinq étapes, et les fraudeurs doivent réussir chacune d’elles pour parvenir à leurs fins ; pour les contrer, il suffit de les stopper à l’une de ces étapes. Pour chaque étape possible d’un scénario de fraude, réfléchissez aux moyens de réduire les sources et l'impact. Habituellement, plusieurs solutions existent à chaque étape du processus, souvent gratuites (ou presque).

Réussir cette stratégie requiert de la rigueur (pour identifier et documenter les processus) et de la créativité (pour imaginer des solutions). L’exercice s’y prête aussi comme activité d’équipe facilitée et permet souvent de gagner en efficacité.

3. Créer des alertes exploitables

Intégrer des avertissements et des indicateurs aux processus et systèmes permet d’arrêter la fraude avant qu’il ne soit trop tard. C’est en quelque sorte le plus vieux truc du monde : la comptabilité en partie double, le rapprochement à trois voies, et la plupart des normes GAAP reposent sur des mécanismes indépendants de tenue de registre pour révéler des problèmes. 

Cette méthode a entraîné des transformations majeures dans de nombreux autres secteurs au cours du siècle passé – de la révolution industrielle de Toyota à la gestion moderne de produits – avec les entreprises technologiques en tête, qui prônent cette approche depuis 15 ans. D’après mon expérience et le témoignage de penseurs de la finance, cette pratique commence seulement à entrer dans la norme. Ces cinq dernières années, beaucoup de petites entreprises se sont mises à gérer par les indicateurs, confiant souvent au DAF la conduite de cette transformation. Quelle chance pour vous.

Mais il faut avancer prudemment : il existe un revers à la médaille des indicateurs, tableaux de bord et alertes. Dans le monde des affaires actuel, les données foisonnent. Les KPI, SLA et états de suivi sont intégrés à de jolis tableaux de bord dès la mise en place. Mais si l’indicateur ou l’alerte ne génère pas d’action directe (ou pire, suscite une réaction inadéquate), cela devient pire qu’inutile.

Deux situations mènent à cela. D’abord, si les alertes sont trop nombreuses ou trop souvent fausses, les équipes s’y désensibilisent et finissent par les ignorer.

Ensuite, certains choisissent des indicateurs qui ne déclenchent pas d’action directe. On les nomme souvent indicateurs de vanité, et au pire, ils procurent un faux sentiment de sécurité qui détourne l’attention des vrais problèmes. Comme disent les avocats...

Lors de la création d’alertes, sélectionnez des événements susceptibles de révéler un véritable problème. En règle générale, ne suivez un indicateur et n'alertez à son sujet que si tous les acteurs concernés conviennent que le risque mérite d’y consacrer du temps. 

Join our Community

Join North America’s most innovative collective of Tech CFOs.

Sign up with:

LinkedInGoogleMicrosoft

Or sign up with email:

X/Twitter

This field is for validation purposes and should be left unchanged.

Name*

First name Last name

Business email*

This field is hidden when viewing the form

Free Account Module

Bottom BarLanding PageFooterInlinePop UpSidebarSSO

LinkedIn profile

Seniority*

Select an optionExecutive / C-suiteVPDirectorManagerIndividual ContributorOther

Company's AI adoption maturity*

Select an optionExploring opportunitiesRunning pilotsScaling adoptionEmbedded in the business model

Tactiques pour prévenir la fraude aux paiements

Même si les contrôles internes classiques demeurent très utiles, certains restent hors de portée pour tous sauf les plus grandes organisations. J’ai constaté que les mécanismes suivants sont extrêmement efficaces pour contrer la fraude moderne dans les petites structures, souvent pour un effort étonnamment modique. Ces mesures sont grossièrement classées par ordre de priorité, mais leur valeur ainsi que l'effort requis varient fortement selon les entreprises. 

1. Segmenter les comptes

Stratégie : Réduire l’exposition

C’est une mesure classique mais sous-utilisée par les entreprises en croissance. Isoler les comptes bancaires destinés aux paiements permet d’éviter les pertes majeures. Gardez un compte dédié pour les paiements ponctuels, un autre pour les charges fixes mensuelles, et un compte de trésorerie pour le reste des fonds. 

Maintenez un faible solde sur le compte des charges fixes, approvisionnez manuellement le compte ponctuel, et ne payez jamais depuis le compte de trésorerie. Toute fraude affectant l’un des comptes fournisseurs entraînera une perte mineure ou échouera totalement.

Cette mesure peut être simplifiée grâce aux plateformes d’automatisation des comptes fournisseurs.

2. Inscription auprès d’une agence de crédit commercial

Stratégie : Réduire l'exposition

Celle-ci est simple et traite un autre type de fraude : l’usurpation d’identité de votre entreprise. Un crédit frauduleux peut être contracté au nom de votre entreprise et la résolution peut être fastidieuse. S’enregistrer d’abord auprès des agences de crédit commercial peut rendre la tâche bien plus difficile aux criminels qui voudraient profiter de vous de cette manière.

3. Quitter l’e-mail

Stratégie : Réduire les points de défaillance uniques

L’e-mail facilite énormément la fraude et la criminalité. Ce n’est pas étonnant, puisque de nombreuses organisations l’utilisent pour presque tout. Si cela correspond à la façon de fonctionner de votre entreprise, alors l’e-mail est probablement un point de défaillance unique : si un fraudeur accède à vos e-mails, il pourrait causer de nombreux dégâts tout en effaçant ses traces.

La solution est simple : n’utilisez que des systèmes dédiés pour exécuter des activités à haut risque.  

4. Authentification unique (SSO) et authentification multifacteur

Stratégie : Réduire les points de défaillance uniques

Celle-ci est un peu technique, mais cela vaut vraiment le coup. La meilleure façon de gérer les mots de passe, via la fédération, élimine de nombreux points de défaillance uniques concernant l’usurpation d’identité sur vos systèmes. L’idéal est d’avoir un système central moderne, qui sert de fournisseur d’identité pour votre personnel ; il vous suffit ensuite d’indiquer à chaque système utilisé de lui faire confiance. Les employés se connectent au fournisseur d’identité, et tout le reste se connecte ensuite automatiquement. 

Comme je l’ai mentionné, cela requiert des compétences techniques, donc votre équipe informatique devra établir ces connexions.

Les mots de passe constituent souvent un point faible, donc exiger une authentification forte multifacteur (MFA) permet de pallier ce problème. Tout fournisseur de fédération digne de ce nom vous recommandera d’ailleurs fortement de la rendre obligatoire.

5. Pots de miel

Stratégie : Alertes exploitables

Les honeypots (parfois appelés canaries, ou « canary tokens ») sont une méthode qui vous avertit si un cybercriminel a réussi à dépasser toutes vos protections et à s’introduire là où il ne devrait pas. Les honeypots sont des leurres qui envoient automatiquement des alertes dès qu’ils sont utilisés. Cette pratique est courante dans le secteur technologique mais peut aussi être appliquée aux données de paiement. Cela peut fonctionner particulièrement bien avec les plateformes financières automatisées, que j’aborde dans la tactique n°10.

Les honeypots technologiques sont simples et gratuits à mettre en place. 

6. Externaliser à un prestataire

Stratégie : Réduire les points de défaillance uniques

Faire appel à un prestataire est souvent non seulement moins cher que de tout gérer en interne, mais aussi plus résilient. L’externalisation peut réduire de nombreux points de défaillance uniques en répartissant les besoins de votre entreprise entre une équipe et un système plus vastes. 

Beaucoup d’entreprises constatent qu’un service de gestion des comptes fournisseurs devient la solution la plus économique lorsque la gestion AP occupe la moitié du temps d’un salarié. Comme ce calcul ne prend pas en compte le coût de la fraude, je conseille souvent aux entreprises de choisir cette option bien avant ce seuil. Certaines plateformes d’automatisation permettent à une équipe financière de gérer 100 fois plus de volume sans embaucher ni perdre en contrôle. 

Externaliser vos systèmes informatiques vers une plateforme web peut aussi être un très bon moyen de supprimer les points de défaillance uniques. Ils proposeront très probablement un meilleur niveau de chiffrement, d’identification des malwares et vulnérabilités, de résistance aux violations de données et à l’hameçonnage que ce que vous pouvez assurer en interne.

Cette approche n’est efficace que si la solution externalisée ne comporte que peu ou pas de points de défaillance uniques. Beaucoup de prestataires financiers proposent un comptable dédié — à temps partiel — qui travaille dans vos systèmes et selon vos processus : ce n’est pas une bonne option si votre objectif est de réduire le risque. De même, bon nombre de plateformes web continuent d’utiliser des conceptions fragiles datant de 2006, ajoutent des mots-clés « cloud » à leur marketing, et espèrent que personne ne verra ce qu’il y a sous le capot. Inutile de préciser que ces deux options ne procurent aucun avantage en matière de sécurité. 

7. Cartes virtuelles

Stratégie : Réduire l'exposition

Faire appel à un fournisseur de cartes virtuelles permet de contrôler précisément à qui vous payez et combien vous pouvez payer. J’ai déjà traité le sujet des cartes virtuelles dans mon article sur la sécurisation des paiements B2B. La plupart des plateformes AP automatisées proposent des cartes virtuelles.

8. Validation des fournisseurs et rapprochement en trois étapes

Stratégie : Réduire l’exposition

Limiter les paiements à une liste de fournisseurs autorisés, valider les informations de paiement et rapprocher les factures des bons de commande peuvent aider à éliminer une grande partie des fraudes les moins sophistiquées. De nombreux prestataires proposent des rapprochements avec une liste de fournisseurs vérifiés ; cela peut s’avérer étonnamment abordable.

9. Positive Pay

More Articles

• 14 conseils d’experts B2B pour sécuriser vos paiements ce mois-ci
• Les risques de ChatGPT préparent une croissance record de la cybercriminalité
• Audit des processus métier : pourquoi le DAF doit s’en préoccuper (+ Comment s’y prendre)

Stratégie : Réduire l’exposition

Cette fonctionnalité vous permet d’envoyer une liste des bons de commande autorisés à votre banque chaque mois. La banque bloque alors les paiements ACH et par chèque qui ne correspondent pas, et notifie l’entreprise le cas échéant. Ce mécanisme a acquis une réputation il y a 20 ans d’être fastidieux, mais de nombreuses solutions ont depuis grandement simplifié le processus.

10. Finance automatisée

Stratégie : Alertes actionnables et réduction des points de défaillance uniques

Une plateforme de finance automatisée peut vous permettre un contrôle extrêmement précis sur la façon dont l’argent circule dans votre organisation, avec une fraction du personnel habituel. Cela peut s’avérer extrêmement précieux mais il s’agit souvent d’une transition coûteuse. À envisager :

• Paiements automatiques aux fournisseurs réguliers et de longue date. Vous pouvez généralement configurer les modalités de paiement dans la fiche du fournisseur.
• Facturation automatique et relance
• Transferts et créances clients automatisés
• Alertes pour les transactions et soldes inattendus
• Traitement automatique des factures et rapprochements en 3 étapes ou 2 étapes
• Détection d’anomalies/IA (plus d’informations ci-dessous)

Certaines plateformes vous alertent instantanément sur les transactions à risque, en se basant sur les menaces actuelles du secteur et sur les habitudes normales d’activité de votre grand livre. Mon conseil ? Si vous choisissez un produit en raison de sa fonctionnalité de détection d’anomalie, testez-le d’abord. Les solutions d’IA sont toujours des boîtes noires, impossible donc de juger objectivement la qualité. L’efficacité de ces produits-« boîte noire » a tendance aussi à se dégrader avec le temps, au fur et à mesure que les menaces et le contexte évoluent.

Solutions technologiques pour les comptes fournisseurs

Voici une sélection de nouvelles et de solutions AP établies, avec les fonctionnalités mentionnées dans cet article. Les banques proposent également l’externalisation des comptes fournisseurs et des comptes clients (souvent présentée comme du traitement de remise), généralement en marque blanche via un prestataire spécialisé.

La fraude peut être évitée

Vous pouvez éliminer beaucoup des dégâts liés à la criminalité en ligne en mettant en place des contrôles internes solides sur les comptes fournisseurs. Alors que les menaces externes ont explosé ces dix dernières années, les outils pour les détecter et les prévenir se sont également développés (un des avantages des applications de paiement mobile est justement d’aider à cela).

Pour plus de conseils à destination des financiers, y compris sur la manière de protéger votre entreprise contre les menaces en ligne, abonnez-vous dès aujourd’hui à la newsletter The CFO Club.

J’aimerais avoir votre retour : quels contrôles se sont révélés les plus efficaces pour prévenir la fraude ? En avez-vous déjà mis certains en place ? Faites-le-moi savoir en commentaire ou sur les réseaux sociaux.