Les procédures et la technologie ne sont pas la réponse à tout
Pour parvenir à leurs fins, les fraudeurs utilisent souvent des outils informatiques, notamment pour collecter de l'information sur leur cible. Mais ça n'est pas parce que votre attaquant utilise des moyens informatiques que la solution la plus efficace est elle aussi de nature informatique !
Dans cette séance je vous propose une vision différente, voire décalée, pour lutter contre la fraude au faux fournisseur. Je me suis inspiré du livre "Nudge, Comment inspirer la bonne décision". Cet ouvrage passionnant dresse plusieurs constats intéressants sur les moyens de guider les choix. Une des idées développée est l'importance de l'option par défaut. C'est à dire l'option que vous proposez à vos utilisateurs s'ils ne veulent pas faire de choix.
Or en matière de lutte contre la fraude au faux fournisseur, la solution qui vient le plus vite à l'esprit est de mettre en place une procédure de contrôle plus ou moins complète et plus ou moins technologique. Mais cela ne fonctionne que si vos équipes l'appliquent à la lettre. Et donc que vos salariés s'engagent très sérieusement dans son application. Dans le prolongement des nudges, je me suis donc demandé comment faire pour que ces vérifications soient le moins possible influencées par la volonté ou la capacité des personnes qui les réalisent.
Et bien ma conclusion ne peut pas être plus simple : quand vous recevez une demande de modification d'IBAN, il ne faut pas modifier le numéro de compte !
Ne rien faire, mais le faire bien
Bien entendu je ne me suis pas arrêté là. Je vous explique en détail ce qui peut arriver dans le cas où la demande est légitime et ce qui va se passer si elle ne l'est pas.
Tout se base en réalité un élément très simple. Une information que le fraudeur ne peut pas détenir. Une information que seuls vous ET votre fournisseur détenez à un moment précis. Cette information, c'est le constat que les fonds ont été transférés sur le compte de votre bénéficiaire. Ce constat, il n'y a que vous et votre fournisseur (ou votre salarié) qui pouvez le faire.
Une fois qu'on a choisi de ne rien faire suite à une demande de changement de RIB, il va falloir se souvenir que vous l'avez reçue. Car une fois que votre fournisseur se sera fait de nouveau payer sur son ancien compte bancaire, il va vous relancer pour que vous fassiez enfin la modification. Et à cet instant-là, il vous faudra vérifier que vous aviez effectivement reçu une demande de sa part. Car alors vous serez sûr(e) que c'est bien votre fournisseur qui vous aura fait la demande initiale. S'il ne l'a pas faite, il n'aura aucune raison de vous relancer !
Donnez-moi votre avis !
Cette solution sort nettement des sentiers battus mais je suis convaincu qu'elle peut significativement réduire votre exposition à ce type de fraude. La seule condition sera de briefer vos équipes et qu'elles ne fassent jamais la modification de RIB à la première demande.
Bien sûr ça repose sur de l'humain donc c'est faillible, comme toutes les solutions, technologiques ou non. Mais dans cette proposition, ça ne vous coute aucun investissement et surtout ça s'appuie sur une "non-action". Et il est beaucoup plus facile de demander à vos équipes de ne pas agir plutôt que de changer leurs habitudes.
Je suis impatient d'avoir vos avis donc envoyez-moi vos commentaires à denis@fraudologie.fr !