Norme PCI DSS : comment se prémunir contre la fraude ?

Norme PCI DSS : comment se prémunir contre la fraude ?

La norme PCI DSS sur la Sécurisation des transactions par cartes bancaires a pour objectif de limiter la fraude par compromission des données. Depuis 2010, les chiffres de la fraude par ingénierie sociale ou Faux ordres de virements internationaux (fovi) représentent un préjudice global de 485 millions d’euros selon les chiffres de l’Office Central pour la Répression de la Grande Délinquance Financière (OCRGDF).

 

Selon l'Office central pour la répression de la grande délinquance financière (OCRGDF), la fraude représenterait 485 millions d'euros de préjudice sur trois ans © RVNW, Fotolia.com

Selon l’Office central pour la répression de la grande délinquance financière (OCRGDF), la fraude représenterait 485 millions d’euros de préjudice sur trois ans © RVNW, Fotolia.com

Les escroqueries ou tentatives se sont multipliées depuis leur apparition en 2010 et touchent toutes les entreprises quelle que soit leur taille. Jeudi 15 février 2018, les Entreprises du voyages (EdV), le Syndicat des entreprises du tour-operating (SETO) et l’Association professionnelle de solidarité du tourisme (APST) ont organisé conjointement une matinée d’information sur la norme PCI DSS.

HSBC a dressé un état des lieux de la fraude et de la manière de se prémunir.

« Fraude au président », « au changement de RIB », cybercriminalité, etc. la fraude s’est professionnalisée ces dernières années.

Selon l’Office central pour la répression de la grande délinquance financière (OCRGDF), la fraude représenterait 485 millions d’euros de préjudice sur trois ans.

En France, en 2106, huit entreprises sur dix ont été victimes d’au moins une tentative de fraude. 

On parle d’ingénierie sociale, quand il y a manipulation d’un interlocuteur au sein d’une entreprise pour qu’il effectue une transaction bancaire.

Dans le cas de la « fraude au président », qui représente 59% des fraudes, l’interlocuteur reçoit un mail de son PDG lui demandant d’effectuer un virement d’une somme importante et en toute discrétion et dans les plus brefs délais.

Autre technique, « le changement de RIB » ; l’identité d’un fournisseur connu est usurpée, vous recevez alors un mail pour vous informer du son changement de coordonnées bancaires du fournisseur. Vous ne vous rendez compte de la supercherie qu’après réclamation du véritable fournisseur.

Se faire passer pour un technicien prestataire et demander à prendre la main sur le système informatique est également monnaie courante.

Phishing, malware, la cybercriminalité s’est elle aussi sophistiquée. L’idée est là encore de récupérer des fonds.

« Il s’agit de récupérer des informations dans les systèmes informatiques des entreprises, notamment les identifiants de connexion aux outils de banque à distance, dans le but de réaliser des virements », précise Céline Plachot, chargée de prévention contre la fraude chez ‎HSBC.

Le phishing consiste à se faire passer pour une entreprise ou institution connue, et à demander par mail des données confidentielles. Le malware, lui, est un virus introduit via un lien ou une pièce jointe, qui se chargera de collecter les données personnelles souvent confidentielles.

Plus récemment, le ransomware, logiciel rançonneur, est un logiciel capable de paralyser votre système et données personnelles. Vous récupérerez vos données seulement après avoir payé une rançon.

La relation client n’échappe pas à la fraude. Au quotidien, la vente à distance (VAD) inquiète les agents de voyages présents à la matinée d’information. Les clients ont 13 mois pour contester le paiement. Solliciter une pièce d’identité ne permet pas de se défendre. Seul moyen garanti : le paiement sur Internet par carte bancaire avec le dispositif 3D-Secure.

Comment se prémunir ? Quels recours en cas d’escroquerie ?

Yves Destrebecq et Céline Plachot, chargés de prévention contre la fraude chez ‎HSBC. - CL

Yves Destrebecq et Céline Plachot, chargés de prévention contre la fraude chez ‎HSBC. – CL

Selon les professionnels anti-fraude de HSBC, il est important de maîtriser la diffusion d’informations concernant l’entreprise et de sensibiliser ses collaborateurs aux risques de fraude. 35% des incidents de cybersécurité ont été générés malgré eux par des collaborateurs. 

Il existe également des moyens simples d’éviter de se faire piéger : ne pas ouvrir les mails des expéditeurs inconnus, protéger son parc avec un anti-virus et un pare-feu, privilégier les messageries sécurisées, vérifier son compte régulièrement, ainsi que la dernière date de connexion à son compte en banque, ne pas partager ses identifiants ou encore se déconnectez après utilisation.

Il est également important de revoir ses process, par exemple mettre en place une double signature pour autoriser un virement important. 

Mais si toutes ces préconisations n’ont pas suffi à se protéger des fraudeurs, il faut réagir au plus vite et effectuer un dépôt de plainte. Il sera ensuite nécessaire de faire appel à une entreprise spécialisée en cybercriminalité. Elle analysera et restaurera le système de l’entreprise.

Quid des fonds dérobés ? Passé 24 heures il est impossible de récupérer l’argent. « Avant ce délai, les fonds n’ont peut-être pas quitté la banque, remarque Yves Destrebecq, chargé de prévention contre la fraude chez ‎HSBC. Passé les 24 heures, c’est beaucoup plus compliqué, après une semaine, il n’y a aucune chance de récupérer la somme. »

Des assurances existent pour se protéger des fraudes. « Ça ne vous exempte pas de mettre des procédures en place », prévient Yves Destrebecq. L’assurance pourra par exemple demander de prévoir un budget pour lutter contre la fraude.

  • On 23 novembre 2018
  • 0 Comments
  • 0 likes

0 Commentaires

Laissez un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *