Sécuriser les paiements B2B : 14 conseils d’experts à appliquer ce mois-ci
Sans sécurité des paiements en ligne, vous pourriez bien alimenter un programme d’armes nucléaires.
Vous trouvez cela fou ? Détrompez-vous. Si vous avez déjà été victime d’une arnaque en ligne, il y a de fortes chances que les fonds volés aient atterri en Corée du Nord.
Alors que les médias relaient des récits juteux de super hackers et d’espionnage numérique, les risques quotidiens pour les entreprises en croissance sont bien plus banals : les cybercriminels veulent de l’argent.
Want more from The CFO Club?
Create a free account to finish this piece and join a community of modern CFOs and finance executives accessing proven frameworks, tools, and insights to navigate AI-driven finance.
Have an account? Log In
Parfois, ils volent des secrets qu’ils peuvent monnayer : propriété intellectuelle, scores de crédit ou données de carte bancaire.
Parfois, ils prennent les entreprises en otage.
La plupart des cybercrimes commencent par piéger des personnes et soutirer de l’argent – voilà pourquoi vous avez besoin d’une solide sécurité des paiements en ligne, plus que jamais.
L’AFP, le FBI et Verizon fournissent chaque année des synthèses instructives remontant à plusieurs années, toutes dépeignant une image de la menace croissante pour les entreprises. Leur constat est unanime : les délits les plus courants sont les arnaques et les vols, beaucoup causent des dommages importants aux sociétés touchées, et le risque s’accroît d’année en année.
Le directeur financier moderne doit assumer des responsabilités croissantes : indicateurs de performance, planification stratégique, et même gestion des risques de toute l’organisation. Comment concilier tout cela et sécuriser votre entreprise avec les mêmes effectifs et le même budget qu’avant ?
Je vais présenter les moyens les plus rapides, simples et efficaces de faire face au plus grand risque cybernétique pour les entreprises : réaliser des paiements en ligne. Je commence par des stratégies technologiques, puis j’aborde les paiements.
Sécurité technologique : est-ce rentable ?
Si vous cherchez sur Google « sécurité des paiements en ligne », vous trouverez généralement des listes type top 10 qui reprennent les mêmes conseils de sécurité que depuis 20 ans : mots de passe complexes, authentification multi-facteurs (MFA), chiffrement, antivirus (AV), pare-feu, etc.
Ces listes découlent d’une philosophie de défense et d’évitement des responsabilités. Qui peut vraiment retenir des mots de passe longs, compliqués et totalement uniques pour chaque système utilisé ? Techniquement, cela vous protégerait, mais cela permet surtout au conseiller sécurité de dire « Je vous l’avais bien dit ! » avec l’assurance que ses conseils n’ont pas été suivis.
De plus, les pare-feu, l’authentification multifactorielle et l’antivirus ne sont plus ce qu’ils étaient il y a 15 ans. Aujourd’hui, les initiés affirment qu’une bonne défense informatique repose sur de la XDR fédérée et du cloud WebAuthN avec un SIEM dopé à l’IA. Ou un truc du genre : cela changera d’ici 2025, ça je vous le garantis.
Où est le problème d’une checklist technique ?
Elles deviennent vite obsolètes. Tout est désormais chiffré, l’antivirus gratuit et par défaut est aussi bon, voire meilleur, que les solutions commerciales, la MFA traditionnelle est facilement contournée, et la gestion d’identité zéro confiance a en grande partie remplacé le besoin des pare-feux.
Trois principes de sécurité qui resteront toujours valables
Trois principes ont résisté à l’épreuve du temps, et continueront à le faire : délégation, processus et mesure.
1. Délégation
Les entreprises du monde entier réalisent que la stratégie IT la plus sûre, la plus résiliente et la moins coûteuse, consiste à faire moins d’IT. Le passage aux plateformes SaaS (Software-as-a-Service) est la méthode la plus répandue – cela élimine pratiquement toute la technique. Faites appel à un prestataire informatique externe pour gérer les mesures de sécurité sur ce dont vous ne pouvez pas vous débarrasser.
2. Processus
Votre plus grande force et votre plus grande faiblesse, ce sont vos collaborateurs. Identifier, simplifier et sécuriser les activités à risque est souvent la façon la plus simple et la plus efficace d’améliorer la sécurité globale. Cela permet aussi de bien hiérarchiser les priorités pour les techniciens : protéger votre ERP est bien plus important qu’une application de graphisme.
3. Mesure
Comment s’assurer que vos prestataires vous protègent vraiment ? Déléguez cela aussi ! Il existe des moyens gratuits et simples de mesurer la sécurité des paiements en ligne d’une plateforme, et ils resteront toujours d’actualité. Cela prend généralement 20 minutes de recherches en ligne : un investissement rentable pour des produits importants.
- Recherchez un historique des violations de sécurité et des fuites de données chez le prestataire.
- Consultez leur profil sur une plateforme d'évaluation de la sécurité. SecurityScorecard et RiskRecon proposent un niveau gratuit.
- Vérifiez la présence d’un programme de chasse aux bugs : c’est un bon signe. Bugcrowd, Synack et Hackerone sont des plateformes courantes.
Si vous souhaitez une plus grande précision, de nombreux cabinets de conseil en cybersécurité peuvent effectuer une analyse approfondie pour un coût raisonnable. Attention : l’évaluation n’est pas une opération unique. Au fil de l’évolution d’une entreprise, sa sécurité peut aussi changer.
Paiements
Payer vos fournisseurs est une négociation : certaines méthodes vous avantagent, d’autres les favorisent eux. La plupart de ces aspects ne sont pas liés à la sécurité : payer par chèque et exiger des conditions NET30 vous accorde un meilleur contrôle de la trésorerie. La commodité de la carte de crédit impose un coût non négligeable à votre fournisseur. Ce sont des facteurs importants et largement débattus.
Aujourd’hui, j’explique comment ces options de paiement en ligne influent sur le risque de fraude. Je classe les principaux moyens de paiement en ligne selon leur niveau de risque pour vous, j’explique pourquoi et je propose les meilleures façons de réduire ce risque.
Cartes de crédit
Risque : Le plus faible
Le paiement par carte de crédit reste la façon la plus sûre de régler des achats. Presque tous les émetteurs couvrent totalement la fraude – parfois jusqu’à un an après l’opération, sans poser de questions. Mieux encore, parce que ces compagnies y sont incitées, elles investissent massivement dans la détection des fraudes au profit de leurs clients. La qualité varie selon l’institution, mais elle est souvent supérieure à ce que vous pouvez acheter vous-même.
Les données de carte sont souvent volées, soit par modification d’un système point de vente (appelés skimmers), soit par vol massif sur un système de traitement centralisé des paiements. Ce type de vol diminue chaque année à mesure que le Payment Card Industry Security Standards Council resserre la réglementation auprès de tous les acteurs traitant des cartes.
L’inconvénient est le coût supporté par vos fournisseurs : la plupart des processeurs de cartes prélèvent 2,7 % sur chaque transaction, avec des taux réduits pour les volumes importants pouvant descendre à 1,5 %. Cette commission sert principalement à financer la couverture anti-fraude et les récompenses liées aux cartes.
Protection
Utilisez des cartes professionnelles
Assurez-vous que les paiements professionnels soient effectués via des cartes de crédit légalement rattachées à l’entreprise, et non aux propriétaires ou employés. Séparer les finances personnelles et professionnelles simplifie la comptabilité et protège la santé financière des dirigeants et salariés si un problème survient dans l’entreprise.
Bonus : l’utilisation des cartes contribue aussi à bâtir le crédit commercial, améliorant grandement les conditions et taux d’emprunt possibles. Le crédit personnel est lié au SSN, mais le crédit professionnel dépend de l’EIN. Les principales agences de crédit aux États-Unis sont Dun & Bradstreet, Creditsafe, Experian Business et Equifax Business.
Cartes virtuelles
Et si vous pouviez créer autant de cartes de crédit que vous le souhaitez en quelques clics ? Cela vous donnerait une granularité exceptionnelle dans la gestion des fraudes : chaque fournisseur recevrait sa propre carte et vous pourriez fixer la limite pour chacun selon vos besoins. À la fin d’un contrat, vous cesseriez simplement le paiement sans dépendre du fait que le fournisseur arrête de vous facturer.
De plus en plus de fintech et de banques proposent exactement cela. À partir d’un portail web, vous pouvez créer, gérer et supprimer un nombre (virtuellement) illimité de cartes. Toutes sont adossées à un compte commun, offrant une vue d’ensemble des dépenses. Le leader du secteur est Ramp, qui a investi dans un moteur de règles personnalisées offrant un contrôle étendu.
La plus grande source de fraude par carte de crédit provient du vol d’informations. Il existe une chaîne d’approvisionnement de fraudeurs qui volent des données de cartes, d’autres qui les achètent et fabriquent des doublons, puis des « mules » qui utilisent ces doublons pour faire des achats frauduleux. La plupart d’entre nous y ont été confrontés et c’est une vraie galère : la carte doit être annulée, une nouvelle envoyée, et il faut mettre à jour tous les services liés.
Avec les cartes virtuelles, tout cela devient anodin. Les paiements inattendus sont plus évidents et il ne faut actualiser les données de paiement que chez le fournisseur concerné. Vous identifiez sans équivoque quel fournisseur a permis la fraude : les débits non autorisés affecteront leur carte dédiée.
Réseaux de paiement
Risque : Faible
Un réseau de paiement est un registre d'entreprises dont les informations de paiement ont été vérifiées. Au lieu d'échanger manuellement des données de paiement, vous sélectionnez votre fournisseur dans la liste, saisissez le montant et le paiement est transféré automatiquement. Souvent, ces réseaux sont gérés par de grandes banques et intégrés dans le cadre d'un service de gestion des comptes fournisseurs (AP). Il existe également des réseaux publics comme Bottomline Paymode-X aux États-Unis et EFTsure en Australie. Si vous utilisez un service AP fourni par une banque, assurez-vous qu'il effectue la vérification des fournisseurs. Certaines banques envoient des chèques sans vérification à l'adresse que vous indiquez ; inutile de préciser qu'elles ne protègent pas contre la fraude.
Les fintechs destinées aux petites entreprises développent elles aussi rapidement ces réseaux, et les experts de mon réseau s'attendent à une croissance significative dans ce domaine au cours des prochaines années.
L'utilisation systématique d'un réseau de paiement diminue considérablement la fraude. L'une des principales sources de fraude B2B provient des paiements interceptés entre entreprises légitimes, généralement en les incitant à utiliser de fausses informations de paiement. Les réseaux de paiement éliminent cette source d'erreur en s'assurant que les coordonnées de paiement sont correctes et en empêchant les imposteurs de rejoindre la plateforme.
Il est rare que tous vos fournisseurs figurent sur un réseau, donc cette méthode ne peut pas suffire à elle seule.
Virement ACH
Risque : Faible à moyen
Les transactions Automated Clearing House (généralement appelées ACH, ou dépôt direct) présentent le taux de fraude le plus bas parmi les méthodes de paiement commerciales en ligne. Cependant, la majorité de ces transactions sont des virements automatisés entre de grandes entreprises dotées de systèmes indépendants et sophistiqués de contrôle de fraude. Leur niveau de risque n'est donc pas le même que pour une petite entreprise. Le paiement par ACH reste assez sûr, surtout si votre fournisseur utilise une plateforme de paiement dédiée avec un portail de paiement en libre-service.
L’ACH fonctionne via le système de chèques, avec un délai de compensation de 3 à 5 jours selon des indicateurs de fraude comme le montant du paiement et l'activité antérieure. Comme le système de carte bancaire, il n'existe aucun mécanisme d'autorisation : connaître un numéro de compte suffit à débiter ce compte. Alors que l’industrie des cartes tente de maintenir le secret sur leurs numéros, cela est impossible pour les numéros de compte bancaire : ils sont accessibles à toute personne ayant accès à l’un de vos chèques ou à vos informations de paiement ACH.
De plus, la couverture contre la fraude est faible pour les entreprises. Les banques ne sont tenues de récupérer l’argent que dans les 24 heures suivant la transaction.
La principale protection contre la fraude ACH est l'obligation pour une institution financière reconnue d'initier la transaction. Aux États-Unis, le dispositif Know Your Customer (KYC), la lutte anti-blanchiment (AML) et d'autres réglementations bancaires de la FFIEC imposent des exigences strictes aux banques pour vérifier les clients et surveiller les transactions suspectes. Si la réglementation a toujours un temps de retard sur la criminalité, les banques ont tout intérêt à empêcher les criminels d’utiliser leurs services.
Protection
Ces méthodes sont valables à la fois pour l’ACH et les chèques.
Segmentez vos comptes et alertes
Créer plusieurs comptes en fonction des usages peut constituer une excellente protection à moindre coût. La mise en place d'un compte dédié pour les créances, la trésorerie et les paiements peut limiter votre exposition à la fraude. Les comptes clients doivent être régulièrement transférés sur le compte de trésorerie, et les fonds correspondant aux paiements attendus doivent être déplacés du compte de trésorerie vers un compte de paiement. Configurez des alertes pour tous les comptes, en cas de situations imprévues comme des soldes faibles.
Ainsi, les tiers ne connaissent que des comptes avec des fonds limités, ce qui limite les dégâts en cas de fraude réussie. Le degré d’automatisation dépend des banques, et de nombreuses banques proposent ce service en pack pour leurs grands clients, sous le nom de gestion de trésorerie (Treasury Management).
Fournisseurs autorisés (ACH uniquement)
Certaines banques permettent aux comptes courants professionnels de limiter les prélèvements ACH à une liste de comptes autorisés. Cela peut éliminer la possibilité de transactions ACH frauduleuses, mais exige un certain suivi et peut compliquer le dépannage.
Évitez l’ACH et les chèques pour les fournisseurs qui traitent manuellement les paiements
Le risque de fraude ACH et de fraude par chèque est directement lié au nombre de personnes qui voient vos chèques. Vous pouvez le réduire en utilisant ces moyens de paiement uniquement via des plateformes automatiques en libre-service.
Pour l’ACH, privilégiez les portails web où vous vous connectez et saisissez votre moyen de paiement. On peut souvent savoir si une telle plateforme est proposée par un fournisseur : Quickbooks, Stripe et Paypal sont des solutions populaires. Les solutions internes sont rarement automatisées et présentent donc un risque plus élevé.
Pour les chèques, il s'agit d'un service de lockbox qui traite automatiquement les encaissements de diverses entreprises. Vous pouvez vérifier si une adresse correspond à un service de lockbox en effectuant une recherche sur une carte. Si elle est rattachée à votre banque ou à un prestataire de lockbox reconnu, c’est ce que vous recherchez.
Ne rédigez pas vous-même vos chèques
Une part importante des fraudes par chèque ou ACH résulte simplement du vol de chèques dans votre courrier sortant.
Vous pouvez éviter cela en utilisant un service de paiement qui imprime et envoie les chèques à votre place. Ce service est souvent associé à un réseau de paiement. De nombreuses banques proposent cela avec divers degrés d'automatisation. Ces chèques sont imprimés dans une installation centrale, rendant le vol difficile.
Changer de banque
Si vous soupçonnez que votre banque n'a pas investi dans la protection contre la fraude par chèque ou ACH, changez simplement. Bien qu'il n'existe aucun classement indépendant et objectif des banques dans ce domaine et que vous n'ayez probablement pas le pouvoir de les auditer, quelques principes existent :
- Plus c'est gros, mieux c'est. Les grandes institutions peuvent souvent se permettre d'investir davantage dans la prévention de la fraude en ligne.
- La compétence, c'est souvent mieux. Un historique de fraudes, de mauvaise gestion ou de simple désorganisation est un mauvais signe.
- Plus c'est récent, mieux c'est. Les gestionnaires bancaires sont souvent frileux face au changement, y compris les méthodes émergentes de lutte contre la fraude pour leurs clients.
Chèques
Risque : Moyen
La fraude par chèque est la source de fraude la plus fréquente pour les paiements B2B, selon le rapport annuel de l'AFP. Comme pour ACH, les chèques offrent une fenêtre de 24 heures pour contester une transaction. De plus, il est facile d’imprimer des chèques si le numéro de compte est connu. Chaque personne qui voit vos chèques représente une opportunité supplémentaire de tentative de fraude par chèque ou ACH (il y a aussi peu de bénéfices en matière de sécurité des paiements en ligne quand on ne paie pas, vous savez, en ligne).
La plupart des fraudes par chèque peuvent être détectées par les banques, mais toutes n'investissent pas de la même façon ; la qualité de votre banque fait donc une grande différence sur ce risque.
Protection
(voir techniques ci-dessus sous ACH)
Systèmes de paiement propriétaires
Risque : Élevé
Zelle, Cash App, Venmo, PayPal et les virements bancaires sont des mécanismes privilégiés pour la criminalité, avec très peu de sécurité dans les paiements en ligne. Les transactions sont instantanées et irréversibles. Ces plateformes n'ont ni contrôle réglementaire ni protection du consommateur, elles ont donc peu d'incitation à détecter ou à empêcher la fraude.
Ces plateformes sont à privilégier pour les particuliers et pour de petits montants – rembourser un dîner ou payer l’adolescent qui a tondu votre pelouse.
Protection
Soyez prudent
Si un fournisseur doit être payé par l’un de ces moyens, soyez vigilant. Vérifiez soigneusement les coordonnées de paiement et n’utilisez ces plateformes que pour des transactions dont vous pouvez supporter la perte. Sécurisez autant que possible la plateforme : si quelqu’un s’y infiltre et s’envoie de l’argent, cela peut être grave.
Combinez avec une segmentation des comptes
Alimenter ces plateformes de paiement avec des comptes dédiés et limités est une méthode simple et efficace pour limiter votre exposition.
Cartes de débit
Risque : Mauvaise idée
Les cartes de débit cumulent tous les inconvénients des cartes de crédit, les inconvénients des chèques et n’en possèdent aucun avantage. Comme la carte de débit est utilisée dans l'écosystème des cartes de crédit, les numéros de cartes sont souvent volés et utilisés pour des fraudes. Les transactions par carte de débit n’ont aucune couverture contre la fraude : comme les chèques, vous devez contester toute transaction frauduleuse dans les 24 heures.
Pire, les outils et la maturité que les banques ont développés pour lutter contre la fraude par chèque ne fonctionnent pas sur les transactions par carte, et les banques émettrices de cartes de débit investissent rarement dans la détection de fraude comme le font les sociétés de cartes de crédit.
Protection
Supprimez-les
Les cartes de débit sont dangereuses et il n’existe aucune utilisation pour laquelle une carte de crédit ne soit pas meilleure. Les avantages supplémentaires ne sont pas suffisants.
Cryptomonnaie
Risque : Fou
C'est l'opposé de la sécurité des paiements en ligne.
À mon avis, les seules entreprises qui doivent être payées en cryptomonnaie sont les organisations criminelles. La cryptomonnaie présente tous les inconvénients des plateformes de paiement propriétaires (instantanéité, absence de prévention de la fraude, aucune incitation réglementaire) et est encore plus vulnérable aux attaques techniques, à la manipulation du marché et à une culture de fraude au sein de ses institutions. Elle se prête au blanchiment d’argent et au vol.
Protection
Ne le faites pas
Sauf si vous êtes une organisation criminelle.
Restez vigilant, restez protégé
Bien que la fraude de paiement en ligne soit la principale menace cybernétique pour la plupart des entreprises, il est possible d’y remédier rapidement, facilement et efficacement. Externaliser intelligemment la technologie et opter pour des méthodes de paiement en ligne plus sûres permettra d’éliminer une grande partie de ce risque.
La plupart des autres risques liés aux comptes fournisseurs sont également facilement évitables. Abonnez-vous pour être averti de ma prochaine parution, où j’aborderai comment la stratégie et les processus des comptes fournisseurs peuvent également stopper les pirates et les criminels.
Des pensées, des avis ou des questions ? Contactez-moi, rejoignez la conversation ci-dessous ou participez sur les réseaux sociaux.
