Dossier : la sécurisation des moyens de paiements dans les groupes

Sécurisation des flux financiers : risques, mécanismes et bonnes pratiques

Chaque moyen de paiement, par sa nature, appelle des mécanismes de sécurisation différents. A l’encaissement comme au décaissement, les enjeux de la sécurisation des moyens de paiement sont forts. Le trésorier doit veiller à être en conformité. Tour d’horizon sur le parcours du paiement et mises en garde sur les tentatives de fraude.
Bonne lecture !

A l’encaissement : vigilance oubliée ?

Souvent les grands oubliés de la sécurisation des moyens de paiements, le prélèvement SEPA émis et le virement reçu demandent néanmoins une vraie vigilance.

Certes, la fraude sur un moyen de paiement à l’encaissement n’induit pas de perte financière directe pour l’entreprise, a contrario des décaissements.

Cependant, recevoir un virement d’une contrepartie non -ou mal- identifiée, et devoir ensuite le rembourser en exécutant un virement, demeure risqué. En effet, cette réponse à la réception indue de fonds est un vecteur potentiel de blanchiment d’argent. En cas d’encaissements indus, il est conseillé de demander à sa banque une mise sous séquestre des fonds, avant de gérer la situation.

Prélèvements : les bons réflexes

De la même manière, lorsqu’une entreprise émet un prélèvement, elle s’oblige, lorsque le partenaire demande la restitution totale ou partielle des fonds, sans faire appel aux mécanismes disponibles du schéma SDD, à toujours effectuer le virement à l’entité qui avait été initialement prélevée.

Le schéma SDD CORE permet à toute entité référencée – auprès de la Banque de France, en France – d’émettre des prélèvements. Ainsi, chacun est susceptible de constater la présentation de prélèvements sur ses comptes bancaires. Il est alors protégé par la réglementation qui l’autorise à demander le remboursement des fonds.

Chaque créancier a la responsabilité du stockage dématérialisé des mandats de prélèvements signés par ses débiteurs. On rappellera la bonne pratique qui consiste à régulièrement auditer ses bases de mandats, ainsi que les faisceaux de preuves qui ont permis leur acceptation, notamment dans les échanges B2C.

Un certain nombre de banques teneuses de comptes proposent des mécanismes additionnels d’alerte et de contrôle. Ils permettent d’avertir le débiteur d’un prélèvement en provenance d’une nouvelle contrepartie. Ils peuvent même restreindre les capacités presque sans limites du prélèvement SEPA core, en demandant la déclaration préalable du tiers créancier, ou des pays de banques créancières, dans leurs outils de communication bancaire.
Enfin, même si l’utilisation du prélèvement B2B pour les échanges inter-entreprises se révèle plus contraignante (elle oblige le débiteur à enregistrer son mandat de prélèvement à sa banque), elle est préférée des créanciers puisqu’elle garantit l’irrévocabilité des fonds prélevés.

On note à cet égard que très peu de trésoriers mesurent le risque de liquidité correspondant.

1. Le chèque, obsolète mais encore usité

Quels risques ?

La première mesure à adopter en entreprise est de limiter autant que possible l’utilisation des chéquiers pour des raisons évidentes. Si les chèques subsistent malgré tout au sein de l’entreprise, il faut bien entendu s’assurer de leur stockage dans des coffres-forts.

On leur préférera largement l’utilisation de la lettre chèque sécurisée qui est imprimée par l’entreprise, grâce à des logiciels spécialisés comme Cegid Treasury, dans le respect de la norme “NF K11-111 – Formules de chèques payables en France”. Les entreprises qui impriment leurs chèques prennent garde à 2 éléments de cette norme. D’abord, le papier utilisé pour les lettres-chèques doit répondre à un certain nombre de caractéristiques techniques qui empêchent son altération. Ensuite, le processus d’impression doit garantir l’utilisation d’encre magnétique. C’est bien la combinaison de ces deux éléments qui assure la sécurisation du processus d’impression. Pour l’impression des chèques, certaines entreprises préfèrent la confier à leurs banques ou à des entreprises spécialisées dites façonnières. Elles se chargent alors également de leur publipostage.

Détecter avant qu’il ne soit trop tard

Certains faussaires arrivent, après que les lettres-chèques sont imprimées, par des techniques que nous ne détaillerons pas ici, à tromper la vigilance des banques et falsifier ainsi des chèques. La plus grande difficulté – qui est somme toute relative – est d’intercepter le courrier qui contient le chèque. Certes, le trésorier d’entreprise dispose d’un recours unique qui n’est pas disponible avec les autres moyens de paiement. En effet, il est en mesure de réclamer la restitution des fonds en cas de fraude constatée, après la présentation du chèque. C’est pourquoi les entreprises victimes de fraude au chèque ne constatent que très rarement des impacts financiers directs.

Encore faut-il que l’entreprise soit en mesure de détecter dans un délai raisonnable qu’une fraude a été commise. Ainsi elle s’assurera d’utiliser :

• soit un module de rapprochement des chèques émis, ce qui permet par ailleurs de monitorer le volant de cash sorti de l’entreprise et qui potentiellement peut-être présenté en banque par les créanciers,
• soit un module de rapprochement comptable, afin de vérifier pour chaque chèque émis que son montant n’a pas été altéré, ni que le nom du bénéficiaire a changé.

Le cas des échanges B2C

Malgré cette préconisation, l’utilisation du chèque reste importante dans les échanges B2C. En effet, un des avantages intrinsèques du chèque est de ne pas requérir la capture, ni la dématérialisation, des coordonnées bancaires des bénéficiaires. Ainsi, on attendra avec beaucoup d’impatience que le déploiement du paiement instantané -et particulièrement du schéma request-to-pay – permette de diminuer encore la part du chèque dans les échanges B2C.

Quelle sécurisation possible ?

En termes de monitoring de l’utilisation des moyens de paiement et de sécurisation des chèques, certains choisissent de mettre en place des workflow de validation et de signature qui sont dématérialisés en amont de l’impression du chèque afin de se rapprocher des schémas d’usage du virement électronique.

2. Le virement émis

Il convient de distinguer plusieurs facettes dans la sécurisation des virements émis. En effet, tous les participants à ce processus de bout-en-bout doivent contribuer à sa sécurisation. Ainsi nous aborderons ce point sous des aspects organisationnels et techniques.

On-boarding des fournisseurs

Une initiative intéressante : le partage des données dans un écosystème fermé !

Un nombre très limité d’acteurs proposent à leurs clients de partager entre eux les coordonnées bancaires de leurs tiers. Il s’agit d’échanger entre eux l’historique de paiement pour savoir si des coordonnées bancaires sont fiables. Ces services sont disponibles à plusieurs niveaux dans la chaîne de paiement : soit en amont à la création du fournisseur, soit en aval juste avant le paiement. Attention, cependant, à bien respecter la confidentialité de ses fournisseurs et employés !

3. Mise en paiement et bon à payer

Vous l’aurez compris, la sécurisation du paiement en amont du processus procure-to-pay est très sensible. Elle nécessite un contrôle absolu. De plus, si les données sont sécurisées en amont, alors on pourra réduire le nombre de contrôles manuels en aval. Par ricochet, on pourra accroître la productivité globale du processus de paiement.

Le web banking -ou des systèmes dédiés- sont des excellents moyens de gagner en productivité. En interfaçant, de manière sécurisée, les systèmes amonts (gestion comptabilité fournisseur, clients ou ressources humaines…) aux outils de paiement, on réduit d’autant le nombre de contrôles humains à faible valeur ajoutée. Si les fichiers échangés sont chiffrés, on sait donc démontrer leur inaltérabilité. Il devient alors inutile de vérifier que “ce qui est sorti du système amont est bien ce qui est rentré dans le système de paiement “. Les utilisateurs peuvent alors se concentrer sur des contrôles à réelle et forte valeur ajoutée.

On sait aujourd’hui mettre en place des mécanismes de chiffrement des échanges, au niveau protocolaire ou fichier, pour garantir cela. Les systèmes évolués comme Cegid Treasury, qui proposent à leurs clients des APIs, permettent de s’affranchir des échanges de fichiers qui restent pourtant encore aujourd’hui la norme.

Bien évidemment, les échanges synchrones en temps réel apportent de la sécurité dans l’architecture des systèmes d’information.

Le geste de mise en paiement est déclenché par ce que l’on appelle, dans les systèmes de gestion de la comptabilité fournisseurs, l’obtention du bon à payer. Cette information, ainsi que la facture qui est à l’origine du paiement, pourront être transportées dans la suite du processus par l’intégration entre le système de communication bancaire et celui de gestion documentaire (GED), pour aider aux étapes de validation.

4. Validation : une étape manuelle souvent chronophage, à contrôler aussi

La première problématique, sur laquelle la majorité des entreprises sont défaillantes, consiste à définir quels sont les types de contrôle qui doivent être réalisés par les collaborateurs avant d’autoriser l’exécution de la demande de règlement.

Que vérifier avant de valider ?

Les valideurs ne sont pas toujours informés de ce qu’ils doivent finalement vérifier. Ainsi, ils ne savent pas forcément expliquer la nature des vérifications avant “d’appuyer sur le bouton”. Le problème principal auquel sont confrontés les valideurs est la volumétrie des instructions à vérifier. En effet, une remise de paiement peut contenir entre 10 et 500 instructions, voire des dizaines de milliers ! Il n’est pas aisé de savoir lesquelles choisir pour opérer une vérification efficace. On voudra en priorité vérifier les paiements dit “extraordinaires”.

Naturellement, on voudra systématiquement vérifier le virement de plus gros montants de la remise. Idem pour vérifier les paiements utilisant des devises de règlement exotiques. Également, les doublons de règlements à l’intention d’un même fournisseur seront vérifiés : vrai ou faux doublon ?

Des fonctionnalités avancées du système de paiement existent !

Elles permettent de dépasser le stade de la vérification basique. Le valideur peut ainsi détecter les virements vers des nouveaux fournisseurs ou des fournisseurs dont les coordonnées bancaires ont changé récemment, comme évoqué plus haut. Ce type de contrôle est basé sur l’analyse de l’historique de paiement. Il bénéficie des algorithmes proposés par les nouvelles technologies comme le Deep Learning. Il détecte, par exemple, des virements dont le montant est très en écart par rapport à ce qui est généré habituellement pour ce fournisseur ; ou des virements dont la fréquence est anormalement élevée.

Faciliter ainsi le travail du valideur l’aide à utiliser au mieux sa connaissance profonde du métier et de l’organisation de l’entreprise. Il pourra, par exemple, trouver des anomalies ou détecter un paiement vers un fournisseur avec lequel la société est en litige. Comme indiqué en préambule, la liste des contrôles à opérer doit être définie, même si elle doit laisser libre cours à la créativité du valideur.

Le trésorier, via cette analyse de la robustesse du dispositif en place, étudiera les habitudes de “ses” valideurs pour procéder à d’éventuels ajustements et permettre la mise en place de contre-mesures.

Et la Conformité des paiements ?

Le contrôle de la conformité des paiements doit également être abordé. Même s’il ne correspond pas très exactement à la fraude au paiement telle qu’on l’entend, on peut considérer que le versement de fonds à un tiers “interdit” induit un risque de blanchiment. Il peut donc mettre peut mettre en défaut l’entreprise vis-à-vis de la loi Sapin 2.

Rappel du contexte en quelques mots : Des gouvernements et des institutions interdisent les échanges commerciaux avec des personnes physiques ou morales, qui font donc l’objet de gels de leurs avoirs. Par exemple, en France, les entreprises sont soumises aux listes de l’Union Européenne, des Nations Unies et de la Direction Générale du Trésor. En plus de ces listes, certains pays étrangers imposent un principe d’extra-territorialité, notamment les États-Unis et la Russie. Pour être en mesure d’utiliser le dollar américain, il est nécessaire de se conformer à la réglementation américaine ; et donc de s’assurer de ne pas commercer avec des personnes référencées sur les listes publiées par la Direction du Trésor Américain. Toutes ces listes de personnes comprennent leur nom, éventuellement des alias, et une ou plusieurs adresses. Les personnes peuvent être des personnes physiques ou des personnes morales, éventuellement même des bateaux ou des avions.

Évidemment, il est nécessaire d’être outillé pour effectuer ces contrôles : les listes comprennent plus de 10 000 entrées. Rappelons aussi que les représentants des entreprises sont personnellement responsables de toute infraction qui pourrait être liée dans ce domaine ; c’est souvent un argument de poids pour permettre aux décideurs de choisir de mettre en place ces contrôles dans leur structure.

L’humain “authentifié” au coeur du dispositif

Tous ces contrôles sont nécessaires dans un système de communication bancaire avant d’émettre les règlements en banque. L’entreprise va décider quelles personnes seront les plus à même de les réaliser afin de garantir la qualité du processus mis en place. Il faudra néanmoins s’assurer que ce sont effectivement les personnes désignées qui effectuent les contrôles. Certains dispositifs techniques permettent de garantir l’identité de la personne qui valide les règlements. On veut ici parler d’authentification multifacteurs (MFA). Il s’agit de demander à l’utilisateur de combiner plusieurs moyens pour s’authentifier dans la solution. Par exemple, son identifiant, son adresse de messagerie, et un mot de passe à usage unique, reçu par SMS ou par messagerie. On pourra lui demander d’utiliser comme deuxième facteur d’authentification son téléphone portable, ou bien une application autonome qui génère régulièrement un code de vérification, devant être saisi dans l’application pour se connecter.

On mentionne aussi les dispositifs de biométrie. Même s’ils ont l’inconvénient de nécessiter la possession de dispositifs physiques, comme un lecteur d’empreinte digitale, ils existent depuis longtemps et reposent sur une technologie éprouvée. On peut imaginer aussi que les dispositifs de reconnaissance faciale intégrés dans les téléphones portables permettront cette authentification forte.
Tous ces dispositifs MFA sont envisagés à l’authentification dans les applications. Ils sont souvent couplés à des systèmes de Single-sign-on (SSO). Ils pourront également être utilisés au coeur des processus métiers comme la validation des paiements ou la gestion des pouvoirs bancaires ( voir chapitre 7.Pouvoirs Bancaires ci-dessous).
Ce n’est que si la nature des contrôles est claire que l’on pourra décider des meilleures personnes aptes à réaliser ces contrôles et ensuite mobiliser ses collaborateurs.

5. La signature

Quelle différence entre validation et signature ? La nuance est de taille…

La validation est interne à l’entreprise, c’est-à-dire que l’identité de la personne qui opère la validation n’est PAS transmise à la banque. Par opposition, la signature, même si elle est dématérialisée, est transmise à la banque pour vérification des pouvoirs bancaires.

En France, nous sommes très avancés en la matière. En effet, les protocoles utilisés historiquement en France s’appuient sur des signatures personnelles avec l’utilisation de cartes à puce. Maintenant, c’est le protocole EBICS qui est particulièrement déployé en France. Ce protocole s’appuie sur un dispositif proposé par SWIFT qui s’appelle 3SKey : une clé USB intégrant un certificat de signature personnelle. Le fonctionnement et simple : lorsque le fichier d’instruction bancaire est envoyé, l’outil l’accompagne du certificat de l’utilisateur. Ainsi la banque, à réception de l’instruction, peut vérifier que l’utilisateur a effectivement reçu les pouvoirs de lui donner telle ou telle instruction de règlement.

On pourra, par opposition, mentionner le réseau SWIFTNet qui n’impose pas de signature personnelle. Cela permet donc aux entreprises d’internaliser complètement la vérification des pouvoirs bancaires. Les grands groupes peuvent ainsi déléguer des actes de gestion bancaire, en l’occurrence la validation des paiements, sans pour autant déclarer ces personnes comme signataires et leur donner ainsi des autorisations élargies. Chacun des deux modèles dispose de ses avantages et de ses inconvénients il est probablement important de choisir un outil qui permet l’utilisation des deux dispositifs, ce qui est maintenant la norme sur le marché.

6. La réception du paiement

Terminons notre aventure du suivi du processus de paiement !
Nous arrivons à la dernière étape : la réception de l’instruction par la banque.

C’est à ce moment que la tentative de fraude, si elle existe, se transforme en fraude.

Le malfaiteur est arrivé à ses fins et a réussi à créditer son compte bancaire ou celui de son complice. A ce moment, personne ne s’est encore aperçu du subterfuge. Il est important de s’assurer d’avoir des dispositifs rapides de détection de fraude. C’est absolument nécessaire pour que l’entreprise puisse réagir pour engager toutes les démarches utiles à la restitution des fonds.

Même si cette démarche n’est pas assurée de succès, on peut considérer que le temps joue en la faveur des faussaires. Ce n’est qu’avec la restitution d’un avis d’opéré ou d’un relevé de compte que l’émetteur pourra s’apercevoir du subterfuge.

Ainsi, il est primordial d’opérer son rapprochement bancaire aussi fréquemment que possible, idéalement quotidiennement. On note trop de cas de fraude dans lesquels l’entreprise ne s’aperçoit qu’en fin de mois que de l’argent lui manque… Éventuellement, elle sera alertée par un fournisseur qui n’aura pas été payé comme il était prévu. Certains outils proposent des modules de rapprochement des chèques émis. Ils permettent également de rapprocher, peut-être à une fréquence différente de celle des autres opérations bancaires, les virements émis de vérifier les bénéficiaires des règlements.

Point d’attention : communiquez vos soupçons
La communication interne, en cas de fraude, via l’alerte des collègues est un point majeur de lutte contre la fraude. Ainsi, certains grands groupes internationaux animent leurs trésoriers régionaux : ils leur routent, après anonymisation évidemment, tous les cas de tentative de fraude ou de fraude qu’ils ont rencontrés. Il est évidemment crucial de partager ces informations aussi rapidement que possible au sein de l’entreprise.

On notera le cas d’une entreprise du SBF120 victime à plus de 10 reprises de la même fraude : tant que cela marche, le fraudeur joue encore ! On rappellera aussi que la création exceptionnelle de comptes comptables permettant d’enregistrer des virements exceptionnels liés, par exemple, à des opérations de croissance externe doit également être contrôlée.

7. La gestion des pouvoirs bancaires

Revenons un peu en arrière. Une fois les remises de paiement prêtes à être envoyées en banque, il est utile de s’intéresser à la gestion des pouvoirs bancaires. Ils sont la définition des actes de gestion délégués et sous-délégués aux collaborateurs d’une société en ce qui concerne :

• la gestion des comptes bancaires,
• la gestion des moyens de paiements et
• les instruments financiers.

Les représentants de la société mettent à jour les pouvoirs bancaires et les envoient aux banques, encore sous forme papier. Celles-ci vérifient ensuite que les personnes dont elles reçoivent instructions sont bien habilitées. Dans le cadre des paiements, on voudra par exemple autoriser des collèges de signataires ou autoriser des personnes sur des périmètres géographiques spécifiques.

Dans un grand nombre de cas, la banque teneuse de compte est partie prenante de la lutte contre la fraude. C’est elle qui fournit le service de vérification de l’identité et de la qualité des personnes. Ainsi, il paraît incontournable de s’assurer de la sécurité de ces processus de gestion des pouvoirs bancaires. En effet quel est l’intérêt de mettre en place des workflows de paiement absolument sécurisés si, d’un autre côté, n’importe qui peut modifier les pouvoirs bancaires et demander le rajout de personnes à la banque ?

Oui, il est utile de dématérialiser et de sécuriser la gestion des pouvoirs bancaires dans des outils spécialisés produisant à même niveau de sécurité que ceux traitant des règlements.

Nous sommes bien d’accord que la lutte contre la fraude est l’affaire de tous. Mais c’est la juste combinaison des nombreux éléments techniques et organisationnels balayés dans ce dossier qui pourra la parer. C’est la somme de tous ces éléments qui concourt à la sécurisation des moyens de paiement tout au long du cycle.

Le virement sécurisé de A à Z est possible avec Payment Factory de Cegid Treasury :

Cegid Treasury gère l’ensemble du process, depuis le contrôle et la gestion des tiers jusqu’au rapprochement bancaire. Notre solution intègre toute la communication bancaire, la gestion des pouvoirs bancaires, le rapprochement bancaire, et propose l’émission de lettre chèque et gère les mandats SEPA.

Nous sommes experts. Notre solution a été développée avec des Trésoriers qui connaissent toutes vos exigences.