9 – Le faux fournisseur : un détail peut tout déclencher

Partagez cette séance sur vos réseaux :

Partager sur facebook
Partager sur twitter
Partager sur linkedin
Sébastien est responsable administratif et financier dans une TPE de négoce. Dans cette séance, il nous offre une véritable masterclass de la fraude au faux fournisseur ! En 2018 cette expérience a été un véritable électro-choc. Et elle l’a poussé à mettre en place tout ce qu’il pouvait pour qu’elle ne puisse jamais se reproduire. Si vous voulez économiser quelques (dizaines de) milliers d’euros je ne peux que vous conseiller une écoute attentive de ce concentré de conseils pratiques !

Que s’est-il passé ?

Un nouveau fournisseur étranger, un piratage de boite mail et un petit caractère qui change dans une adresse mail (le « typosquatting » décrit par mon invité de l’épisode précédent Thomas Kerjean). Il n’en fallait pas plus pour qu’un virement parte vers le compte du fraudeur. Mais le fournisseur, lui, attend toujours son règlement… Il a fallu payer une deuxième fois et c’est une part du résultat net annuel qui s’envole.

Non, ça n’arrive définitivement pas qu’aux autres !

Les mesures d’urgence

Quand la supercherie est identifiée quelques jours après le virement, Sébastien imagine les premières mesures. On met en place des contrôles et on implique tout le monde. Plus question de se faire avoir et la responsabilité ne peut être que collective, en particulier dans une structure de 5 personnes !

Attention aux détails de vos contrôles manuels. Le changement de canal ET le changement d’interlocuteur doivent vous interpeller. Si vous recevez une demande de changement d’IBAN par mail, faites-vous confirmer la demande par une autre personne chez votre fournisseur et idéalement par un autre canal, au cas où le premier aurait été piraté.

Faire des vérifications c’est bien mais pas n’importe comment…

L’artillerie lourde

Sébastien a vite compris que l’origine de l’attaque était le piratage du système de messagerie de son fournisseur. Et il a eu l’intelligence de se dire qu’à son tour il pourrait faire subir ce type de fraude à ses propres clients si son informatique était compromise. Il a donc fait tout ce qu’il fallait pour renforcer sa sécurité informatique :

  • VPN (Virtual Private Network) pour les déplacements à l’étranger
  • Pare-feu pour les connexions internet
  • Système de sauvegarde en cas de compromission plus grave (ransomware ou autres)

Mais aussi ses échanges bancaires :

  • mise en place de connexions EBICS
  • certificats numériques matériels

La morale de cette histoire

Il aura fallu un traumatisme qui reste encore très présent aujourd’hui dans les esprits de tous les membres de l’équipe.

Il aura fallu investir quelques centaines d’euros annuels en prestations informatiques et outils bancaires pour éviter des milliers d’euros de perte sèche.

Mais aujourd’hui son entreprise n’a jamais été aussi bien armée pour faire face à tous les types de fraude externe possibles !

Et vous, vous attendez quoi pour vous équiper ?