14 conseils d’experts B2B pour sécuriser vos paiements ce mois-ci
Sans sécurité des paiements en ligne, vous pourriez sans le savoir contribuer à un programme d’armement nucléaire.
Vous pensez que c'est insensé ? Détrompez-vous. Si vous avez déjà été victime d’une arnaque cybercriminelle, il y a de fortes chances que les fonds volés aient abouti en Corée du Nord.
Alors que les agences de presse relatent des histoires juteuses de super pirates et d’espionnage informatique, les risques quotidiens pour les entreprises en croissance sont bien plus banals : les cybercriminels recherchent de l’argent.
Want more from The CFO Club?
Create a free account to finish this piece and join a community of modern CFOs and finance executives accessing proven frameworks, tools, and insights to navigate AI-driven finance.
Have an account? Log In
Parfois, ils volent des secrets qu’ils peuvent monnayer : propriété intellectuelle, cotes de crédit, ou informations de carte bancaire.
Parfois, ils prennent des entreprises en otage et réclament une rançon.
La plupart des cybercrimes commencent par leurrer les gens et siphonner de l’argent – c’est pourquoi il vous faut une solide sécurité des paiements en ligne, plus que jamais.
L’AFP, le FBI et Verizon proposent chaque année des synthèses instructives qui remontent à plusieurs années, chacune dressant un tableau de la menace croissante pour les entreprises. Toutes illustrent le même constat : les crimes les plus fréquents sont les escroqueries et les vols, beaucoup causent d’importants dommages aux sociétés concernées, et le risque ne cesse de croître.
Le rôle du Directeur Financier moderne ne cesse de s’élargir : indicateurs de performance organisationnelle, planification stratégique, et même gestion globale des risques. Comment concilier tout cela et assurer la sécurité de votre entreprise sans personnel ni budget supplémentaire ?
Je vais vous décrire les moyens les plus rapides, les plus simples et les plus efficaces de traiter le principal risque cyber pour les entreprises : les paiements en ligne. Je commence par les stratégies technologiques, puis aborde le sujet des paiements.
Technologies de sécurité – Un bon investissement ?
Si vous faites une recherche sur “sécurité des paiements en ligne”, vous tomberez généralement sur des listes top-10 qui reprennent à peu près les mêmes conseils de sécurité depuis 20 ans : mots de passe complexes, authentification multi-facteur (MFA), chiffrement, antivirus (AV), pare-feu, etc.
Ces recommandations traduisent une philosophie de défense et d’évitement du blâme. Qui peut réellement se souvenir de mots de passe longs, compliqués et totalement uniques pour chaque système utilisé ? Techniquement, cela vous protégerait, mais cela permet surtout au conseiller en sécurité de dire "Je vous l'avais bien dit !", sûr et certain que son conseil n’a pas été suivi.
Par ailleurs, les pare-feu, le multifactoriel et l’AV ne sont plus ce qu’ils étaient il y a 15 ans. Aujourd’hui, les experts en vogue estiment qu’une défense technologique solide passe par une approche XDR et un cloud fédéré WebAuthN avec un SIEM dopé à l’IA. Ou quelque chose comme ça ; cela changera d’ici 2026, promis.
Que reprocher à une check-list technique ?
Elles deviennent obsolètes trop rapidement. Tout est aujourd’hui chiffré, l’antivirus gratuit et par défaut est aussi performant, voire supérieur, aux versions commerciales, la MFA classique se contourne facilement, et l'identité 0-trust a largement remplacé l’utilité des pare-feu.
Trois principes de sécurité qui restent efficaces
Trois principes ont fait leurs preuves et continueront à l’avenir pour protéger la technologie : la délégation, le processus, et la mesure.
1. Délégation
Partout dans le monde, les entreprises réalisent que la stratégie IT la plus sûre, la plus résiliente et la moins coûteuse consiste à faire moins d’IT. Migrer vers des plateformes SaaS (Software-as-a-Service) est devenu très populaire – cela élimine presque toute la technique. Faites appel à un prestataire informatique externe pour gérer la sécurité de tout ce que vous ne pouvez éliminer.
2. Processus
Votre plus grande force, comme votre faiblesse, c’est l’humain. Identifier, rationaliser et sécuriser les activités à risque est généralement la manière la plus simple et la plus efficace d’améliorer la sécurité globale. Cela permet également de fixer les bonnes priorités aux informaticiens : protéger votre ERP est bien plus important que l’application de design graphique.
3. Mesure
Comment vous assurer que vos délégués vous protègent correctement ? Déléguez cela aussi ! Il existe des moyens gratuits et faciles pour évaluer la sécurité des paiements en ligne d’une plateforme, tous restant à jour. Cela nécessite souvent 20 minutes de recherches sur internet : amplement justifié pour les produits essentiels.
- Recherchez l’historique des violations de sécurité et des fuites de données dans l’entreprise du fournisseur.
- Trouvez-les sur une plateforme d’évaluation de la sécurité. SecurityScorecard et RiskRecon proposent une version gratuite.
- Vérifiez la présence d’un programme de chasse aux bugs ; c’est bon signe. Bugcrowd, Synack et Hackerone sont des plateformes courantes.
Si vous souhaitez une évaluation plus précise, de nombreux cabinets d’audit en cybersécurité peuvent effectuer une analyse approfondie pour un tarif abordable. Attention : la mesure n’est pas une tâche à effectuer une seule fois. Les changements dans les entreprises peuvent faire évoluer leur niveau de sécurité.
Paiements
Payer ses prestataires est une négociation : certaines méthodes vous avantagent, d’autres leur profitent. La plupart de ces aspects ne sont pas liés à la sécurité : payer par chèque et exiger des conditions NET30 vous donne un meilleur contrôle sur la trésorerie. La commodité des cartes de crédit impose un coût réel à votre fournisseur. Ce sont des éléments importants et largement débattus.
Aujourd’hui, j’explique comment les options de sécurité des paiements en ligne affectent votre risque de fraude. Je classe les principaux moyens de paiement en ligne selon le niveau de risque pour vous, explique pourquoi, et propose les meilleures façons de réduire ce risque.
Cartes de Crédit
Risque : Le plus faible
Le paiement par carte de crédit est constamment la manière la plus sûre d’effectuer un achat. Presque tous les émetteurs couvrent totalement la fraude – parfois jusqu’à un an après ; sans poser de questions. Encore mieux, comme ces sociétés ont intérêt à agir, elles investissent massivement dans la détection des fraudes au bénéfice de leurs clients. Cela peut varier en qualité selon l’institution, mais est souvent meilleur que tout ce que vous pouvez acheter.
Les données des cartes sont fréquemment volées, soit par modification d’un terminal de paiement (appelé skimmers), soit en détournant tout depuis un système central de traitement des paiements. Ce type de vol diminue chaque année, car le Payment Card Industry Security Standards Council resserre les exigences pour tous ceux qui traitent des cartes bancaires.
L’inconvénient, c’est le coût pour vos prestataires : la plupart des opérateurs prennent une commission de 2,7% pour chaque transaction, avec des remises pouvant descendre à 1,5% pour le traitement en masse. Cette commission finance principalement la couverture contre la fraude et les avantages liés aux cartes.
Protection
Utiliser des cartes professionnelles
Assurez-vous que les paiements professionnels soient réalisés avec des cartes de crédit officiellement rattachées à l’entreprise, et non à des propriétaires ou des collaborateurs. Séparer finances personnelles et professionnelles simplifie la comptabilité et protège la santé financière des dirigeants et salariés en cas de problème pour l’entreprise.
Bonus : utiliser des cartes permet aussi de constituer un historique de crédit pour l’entreprise, améliorant fortement les conditions et taux disponibles pour les emprunts. Le crédit personnel est lié au numéro de Sécurité Sociale (SSN) ; le crédit de l’entreprise est indexé sur l’EIN. Les principales agences de crédit aux États-Unis sont Dun & Bradstreet, Creditsafe, Experian Business et Equifax Business.
Cartes virtuelles
Et si vous pouviez générer autant de cartes bancaires que nécessaire en cliquant sur un bouton ? Vous disposeriez alors d’un contrôle exceptionnel contre la fraude : chaque fournisseur pourrait recevoir une carte dédiée, dont vous pourriez définir précisément le plafond. À la fin d’un contrat, vous pourriez bloquer le paiement sans dépendre de leur bonne volonté pour arrêter les prélèvements.
Un nombre croissant de banques et fintechs proposent justement cela. Depuis un portail web, vous pouvez créer, gérer et supprimer un nombre quasi illimité de cartes. Toutes sont débitées sur un même compte, offrant ainsi une vision centralisée des dépenses. Le leader de ce secteur est Ramp, qui a investi dans un moteur de règles personnalisées permettant un contrôle poussé.
La fraude à la carte bancaire trouve principalement son origine dans le vol de données. Il existe une vaste chaîne d’acteurs : certains volent les données, d’autres les achètent pour fabriquer de fausses cartes, et des « mules » les utilisent pour faire des achats frauduleux. Nous avons presque tous déjà vécu cela, et c’est pénible : il faut annuler la carte, en recevoir une nouvelle, et mettre à jour tous les services utilisant la carte compromise.
Avec les cartes virtuelles, ce problème devient anodin. Les paiements inattendus sont plus visibles et il suffit de changer le moyen de paiement chez un seul fournisseur. Vous savez alors exactement chez qui la fraude a eu lieu : les paiements non autorisés apparaissent sur la carte qui lui est dédiée.
Réseaux de Paiement
Risque : Faible
Un réseau de paiement est un registre d'entreprises avec des informations de paiement vérifiées. Au lieu d'échanger manuellement des données de paiement, vous sélectionnez votre fournisseur dans la liste, définissez le montant et le paiement est automatiquement transféré. Souvent, ces réseaux sont maintenus par de grandes banques et intégrés dans un service de gestion des comptes fournisseurs. Il existe quelques réseaux publics comme Bottomline Paymode-X aux États-Unis et EFTsure en Australie. Si vous utilisez un service de comptes fournisseurs proposé par une banque, assurez-vous qu'il inclut une vérification des fournisseurs. Certaines banques envoient aveuglément des chèques à n'importe quelle adresse que vous indiquez, et, inutile de le préciser, elles n'offrent donc pas de protection contre la fraude.
Les fintechs ciblant les petites entreprises développent également rapidement ces réseaux, et des experts de mon réseau s'attendent à une croissance significative dans ce domaine au cours des prochaines années.
L'utilisation systématique d'un réseau de paiement réduit considérablement la fraude (c'est aussi un avantage clé des applications de paiement mobile). L'une des principales sources de fraude B2B est l'interception de paiements entre entreprises légitimes, généralement en les incitant à utiliser des informations de paiement erronées. Les réseaux de paiement éliminent cette possibilité d'erreur : ils s'assurent que les coordonnées bancaires sont correctes et s'efforcent d'empêcher les imposteurs de rejoindre la plateforme.
Rares seront les situations où tous vos fournisseurs feront partie d'un réseau, donc cette technique ne suffit pas à elle seule.
ACH
Risque : Faible-Moyen
Les transactions Automated Clearing House (couramment appelées ACH, ou dépôt direct) présentent le taux de fraude le plus faible parmi les méthodes de paiement commercial en ligne. Cependant, la majorité de ces transactions sont des transferts automatisés entre grandes entreprises disposant de contrôles antifraude indépendants et sophistiqués. Leur exposition au risque n'est pas la même que celle d'une petite entreprise. Payer par ACH reste assez sûr, surtout si votre fournisseur utilise une plateforme de paiement dédiée avec un portail de paiement en libre-service.
L'ACH fonctionne via le système de chèques, avec un délai de compensation de 3 à 5 jours en fonction d'indicateurs antifraude comme le montant du paiement et l'activité antérieure. Comme pour le système de cartes bancaires, il n'existe pas de mécanisme d'autorisation : connaître un numéro de compte permet d'effectuer un débit sur ce compte. Alors que l'industrie des cartes bancaires tente de garder leurs numéros secrets, il n'y a aucun espoir pour les numéros de compte bancaire : ils sont accessibles à quiconque voit l'un de vos chèques ou consulte vos informations de paiement ACH.
De plus, la couverture contre la fraude est très limitée pour les entreprises. Les banques ne sont tenues de récupérer les fonds que dans les 24 heures suivant la transaction.
La principale protection contre la fraude ACH est qu'elle doit être initiée par une institution financière en règle. Aux États-Unis, les réglementations de type Know Your Customer (KYC), Anti-Money Laundering (AML) et d'autres édictées par le FFIEC imposent aux banques des exigences strictes pour vérifier clients et transactions susceptibles d'activité suspecte. Bien que la réglementation ait toujours un temps de retard sur la criminalité, les banques ont tout intérêt à empêcher les criminels d'utiliser leurs services.
Protection
Ces méthodes fonctionnent aussi bien pour l'ACH que pour les chèques.
Segmenter les comptes & alertes
Créer plusieurs comptes pour différents usages peut offrir une excellente protection à faible coût. Créer un compte dédié pour les créances clients, la trésorerie et les paiements peut limiter votre exposition à la fraude. Les comptes de créances doivent être régulièrement transférés vers le compte de trésorerie, et les fonds nécessaires aux paiements attendus sont transférés de la trésorerie vers les comptes à payer. Configurez des alertes pour tous les comptes pour les situations inattendues comme des soldes bas.
De cette façon, les personnes extérieures ne connaissent que des comptes avec des fonds limités, donc les tentatives de fraude seront moins dommageables si elles réussissent. Les différentes banques proposent des niveaux d'automatisation variés pour cette stratégie et beaucoup l'offrent sous forme de services groupés pour les grands clients, habituellement appelés Gestion de trésorerie.
Fournisseurs validés (ACH uniquement)
Certaines banques permettent aux comptes courants professionnels de limiter les prélèvements ACH à une liste d'autorisations prédéfinie. Cela peut éliminer la possibilité de transactions ACH frauduleuses mais nécessite une certaine maintenance et peut être fastidieux à résoudre en cas de problème.
Évitez l'ACH et les chèques pour les fournisseurs qui traitent les paiements manuellement
Comme votre risque de fraude par ACH ou chèque dépend directement du nombre de personnes qui voient vos chèques, vous pouvez le réduire en ne les utilisant que dans des processeurs de paiement automatisés ou en libre-service.
Pour l’ACH, recherchez un portail web où vous pouvez vous connecter et saisir votre méthode de paiement. Vous pouvez souvent savoir si une telle plateforme est fournie par un fournisseur : Quickbooks, Stripe et Paypal sont des choix populaires. Les solutions développées en interne sont moins susceptibles d'être traitées automatiquement et présentent donc un risque plus élevé.
Pour les chèques, il s'agit d'une installation de type boîte postale (lockbox) qui traite automatiquement les créances pour de nombreuses entreprises. Vous pouvez vérifier si une adresse est une installation de lockbox en la recherchant sur une carte. Si elle appartient à votre banque ou à un prestataire reconnu dans le traitement des boîtes postales, c'est ce que vous recherchez.
Ne rédigez pas vos propres chèques
Une part importante de la fraude par chèque et ACH provient du simple vol de chèques dans votre courrier sortant.
Vous pouvez éviter cela en utilisant un service de paiement pour imprimer et envoyer des chèques à votre place. Cela est souvent proposé dans le cadre d’un réseau de paiement. De nombreuses banques offrent ce service avec des niveaux d’automatisation variés. Ces chèques sont imprimés dans une installation centrale et le vol y est difficile.
Changer de banque
Si vous soupçonnez que votre banque n’a pas investi dans la protection contre la fraude par chèque ou par virement ACH, changez-en simplement. Bien qu’il n’existe aucun classement indépendant et objectif des banques dans ce domaine et que vous n’ayez probablement pas les moyens de les auditer, quelques principes s’appliquent :
- Plus c’est grand, mieux c’est. Les grandes institutions peuvent souvent investir davantage dans la prévention de la fraude en ligne.
- La compétence est un atout. Un historique de fraudes, une mauvaise gestion ou une simple désorganisation sont de mauvais signes.
- La nouveauté est souvent préférable. La gestion bancaire est souvent conservatrice face au changement, y compris en ce qui concerne les nouveaux moyens de lutter contre la fraude pour leurs clients.
Chèques
Risque : Moyen
La fraude par chèque est la source de fraude la plus courante pour les paiements interentreprises, selon le rapport annuel de l’AFP. Comme les transactions ACH, les chèques offrent un délai de 24 heures pour contester une opération. De plus, les chèques sont faciles à imprimer si le numéro de compte est connu. Toute personne ayant accès à vos chèques représente une occasion supplémentaire d’essayer de commettre une fraude par chèque ou ACH (il y a, de plus, peu d’avantages de sécurité de paiement en ligne si vous ne payez pas, justement, en ligne).
La plupart des fraudes par chèque peuvent être détectées par les banques, mais toutes n’investissent pas de la même façon, ce qui fait que la qualité de votre banque joue un rôle majeur sur ce risque.
Protection
(voir les techniques ci-dessus pour ACH)
Systèmes de paiement propriétaires
Risque : Élevé
Zelle, Cash App, Venmo, PayPal et les virements bancaires sont des mécanismes privilégiés pour la criminalité, avec très peu de sécurité de paiement en ligne. Les transactions sont instantanées et irréversibles. Ces plateformes n’ont ni contrôle réglementaire, ni protection des consommateurs, et donc peu de raisons de détecter et prévenir la fraude.
Ces plateformes sont à réserver à un usage personnel et pour de petits montants – rembourser un repas ou payer un adolescent qui a tondu votre pelouse.
Protection
Soyez prudent
Si un fournisseur doit absolument être payé via l’une de ces plateformes, soyez vigilant. Vérifiez soigneusement les détails du paiement et n’utilisez ces applications que pour des transactions dont vous pouvez vous permettre de perdre le montant. Sécurisez la plateforme au maximum : si quelqu’un parvient à s’introduire et à s’envoyer de l’argent, les conséquences peuvent être graves.
Combiner avec la segmentation des comptes
Alimenter ces plateformes de paiement par des comptes dédiés et limités est une méthode simple et efficace pour limiter votre exposition.
Cartes de débit
Risque : Mauvaise idée
Les cartes de débit combinent tous les inconvénients des cartes de crédit, ceux des chèques, sans en avoir les bénéfices. Comme une carte de débit est utilisée dans l’univers des cartes de crédit, les numéros de carte sont souvent volés et utilisés frauduleusement. Les paiements par carte de débit n’offrent aucune couverture contre la fraude : comme pour les chèques, vous devez contester toute opération frauduleuse dans les 24 heures.
Pire encore, les outils et la maturité acquises par les banques pour lutter contre la fraude aux chèques ne s’appliquent pas aux transactions par carte, et les banques qui émettent des cartes de débit investissent rarement dans les dispositifs de détection de la fraude courants chez les sociétés de cartes de crédit.
Protection
Supprimez-les
Les cartes de débit sont dangereuses, et il n’y a aucune situation où elles soient préférables à une carte de crédit. Les récompenses supplémentaires ne justifient pas le risque.
Cryptomonnaie
Risque : Délirant
C’est l’opposé même de la sécurité du paiement en ligne.
À mon avis, les seules entreprises qui doivent être payées en cryptomonnaie sont les organisations criminelles. La cryptomonnaie présente tous les désiavantages des plateformes de paiement propriétaires (instantanéité, absence de prévention de la fraude, absence d’incitations réglementaires) et elle est encore plus vulnérable aux attaques techniques, à la manipulation du marché, et à une culture de fraude au sein de ses institutions. Elle favorise le blanchiment d’argent et le vol.
Protection
Ne le faites pas
Sauf si vous êtes une organisation criminelle.
Restez vigilant, restez protégé
Bien que la fraude aux paiements en ligne soit la principale menace cybernétique pour la plupart des entreprises, il est rapide, facile et efficace de s’en prémunir. Externaliser intelligemment la technologie et privilégier des méthodes de paiement en ligne plus sûres éliminera la majeure partie de ce risque.
La plupart des autres risques liés aux comptes fournisseurs peuvent également être facilement évités. Abonnez-vous pour être informé de la suite, où j’explique comment la stratégie et le processus des comptes fournisseurs permettent aussi de déjouer les pirates et criminels.
Des idées, des avis ou des questions ? Contactez-moi, participez à la conversation ci-dessous, ou rejoignez-nous sur les réseaux sociaux.
